================================================== Configurare autentificare SSO ================================================== Configurare server SSO ====================== Se acceseaza serverul cu un utilizator cu drepturi de administrare si se realizeaza urmatoarele actiuni: 1. Se defineste un REALM actionand *Select realm -> Add realm* (se recomanda utilizarea unui nume fara spatii) .. note:: La nivelul unui REALM pot fi configurate: teme pentru interfata, optiuni de autentificare, email de pe care se va realiza comunicarea cu utilizatorii, valabilitate sesiuni si token-uri. Informatiile necesare configurariilor ce trebuie realizate in ERP se regasesc la adresa *http[s]://hostname_server_sso:port_server_sso/auth/realms/NUME_CONFIGURAT_REALM/.well-known/openid-configuration* 2. In cadrul REALM-ului definit la pasul anterior se adauga un client nou actionand *Configure -> Clients -> Create* si se completeaza campurile de pe ecran conform descrierii de mai jos: Client ID Id-ul clientului ce face legatura intre configurarea din serverul de SSO si firma din ERP (se recomanda utilizarea unei valori fara spatii) Client Protocol Protocolul utilizat pentru comunicarea cu serverul de ERP - alegeti valoarea *openid-connect* Valid Redirect URIs Lista cu URI-uri catre care serverul de SSO poate redirecta cererile dupa autentificare / deconectare cu succes. Se vor configura aici adrese accesibile de pe statia client: *http[s]://hostname_erp:port_erp/app/sso, http[s]://hostname_erp:port_erp/app/callback* sau doar *http[s]://hostname_erp:port_erp/app* urmata de /``*`` Admin URL URL-ul de pe serverul de ERP unde serverul de SSO poate trimite cereri administrative (de exemplu: deconectarea unei liste de sesiuni sau a tuturor sesiunilor). URL-ul va avea forma *http[s]://hostname_erp:port_erp/app/* si trebuie sa fie accesibil de pe masina ca gazduieste serverul de SSO. Configurare ERP =============== In ERP configurarea pentru SSO se realizeaza in consola de administrare a aplicatiei, astfel: 1. Accesati tab-ul *Informatii Firme* si selectati in browse firma pentru care doriti sa adaugati/modificati configurarea de SSO 2. Actionati butonul *Configurare Single Sign On* Pentru adaugarea unei noi configurari: * obtineti un exemplu de configurare prin actionarea butonului *Descarca Exemplu* * salvati fisierul obtinut pe disc si completati valorile din fisier conform indicatiilor si a configurarilor realizate anterior in serverul de SSO (realm, client id, etc.) * selectati fisierul pregatit de pe disc in campul *Incarca fisier configurare* si actionati butonul *Incarca configurare* * actionati butonul *Test* pentru verificarea fisierului incarcat Pentru modificarea unei configurari existente: * descarcati fisierul de configurare curent prin actionarea butonului *Descarca configurare* * salvati fisierul obtinut pe disc si efectuati modificarile in el * stergeti configurarea existenta din baza de date prin actionarea butonului *Sterge configurare* * selectati fisierul de configurare modificat de pe disc in campul *Incarca fisier configurare* si actionati butonul *Incarca configurare* * actionati butonul *Test* pentru verificarea fisierului incarcat Autentificare utilizator de tip SSO =================================== Daca la nivelul bazei de date pe care este pornita instanta de ERP exista cel putin o configurare de tip SSO, pe pagina standard de autentificare va fi afisat un link catre pagina de SSO. In pagina de SSO se disting doua situatii posibile: 1. Utilizatorul nu este autentificat in serverul de SSO / sesiunea de SSO a expirat * se introduce codul firmei si se actioneaza butonul *Login SSO* * daca exista configurare pe firma respectiva, se realizeaza navigarea automata spre furnizorul de SSO unde se va face efectiv autentificarea cu utilizator si parola, urmand ca utilizatorul sa fie redirectionat catre arborele de functii in cazul autentificarii cu succes * daca nu exista configurare pe firma respectiva, sistemul emite mesaj de eroare corespunzator 2. Utilizatorul este autentificat in serverul de SSO cu o sesiune activa * se poate naviga direct catre arborele de functii prin actionarea butonului *Continua ca: Utilizator* * se poate realiza deconectarea sesiunii de SSO si implicit a tuturor sesiunilor de lucru din ERP bazate pe aceasta prin actionarea butonului *Logout SSO* * pentru a se loga din nou in aplicatie utilizatorul va proceda ca la punctul 1. .. note:: Autentificarea de tip SSO este disponibila doar pentru utilizatorii configurati corespunzator, in functia *Utilizatori -> Atribute* campul *Autentificare* trebuie sa aiba valoarea **SSO**. Daca utilizatorii din SSO nu exista in serverul de ERP, acestia sunt adaugati automat la prima autentificare in serverul de SSO, intr-un grup stabilit la nivelul fisierului de configurare, urmand ca drepturile specifice la nivel de functii si actiuni sa fie configurate in ERP.