Single Sign-on¶
Previs v režime Single Sign-on môže fungovať v dvoch režimoch (oba využívajú Active Directory / ďalej len AD) a to Active Directory Synchronization (ďalej len AD sync) alebo Claims Based Authentication. Ktorý z týchto systémov je použitý vo Vašej spoločnosti zistíte v prihlasovacom okne Previsu (ak je už systém Single Sign-on implementovaný). Ak sa u Vás používa systém AD sync, v prihlasovacom okne Previsu budete mať zaškrtnutú možnosť trusted connection (alebo service account v prípade, že sa synchronizácia využíva v kombinácii so servisným kontom). V druhom prípade bude v prihlasovacom okne Previsu zaškrtnutá možnosť Claims Based.
V oboch prípadoch je potrebné vytvoriť na doméne AD skupiny (nie distribučné):- jednu centrálnu AD skupinu pre Previs, napr. s názvom Previs_Core. Tejto skupine bude treba prideliť SQL prístup na testovaciu aj produkčnú databázu (na požiadanie vykoná dodávateľ Previsu). V prípade, že sa používa servisné konto, táto skupina nie je potrebná, SQL prístup sa pridelí servisnému kontu
- jednu AD skupinu pre každú databázovú rolu Previsu tak, aby každá z nich bola členom skupiny Previs_Core. Volať sa môžu ľubovoľne.
- jednu AD skupinu pre každú aplikačnú rolu Previsu. Volať sa môžu ľubovoľne
Ďalej je potrebné vytvoriť (ak nie sú) všetkým užívateľom Previsu AD kontá. Tieto AD kontá treba zaradiť do AD skupín pre aplikačné aj databázové role podľa toho, kam majú mať dotyční užívatelia prístup. Ak beží služba PrevisAPI pod samostatným doménovým kontom (na väčšine spoločností to takto je), treba toto doménové konto zaradiť do skupiny Previs_Core.
Následne je potrebné v Previse vyplniť meno príslušnej AD skupiny (aby Previs vedel, ktorá AD skupina zodpovedá ktorej roli):- v činnosti MENU / Administrácia / Bezpečnosť / Aplikačné role, do políčka Názov AD skupiny (Sync)
- v činnosti MENU / Administrácia / Bezpečnosť / Databázové role - AD sync, do políčka Názov AD skupiny (Sync)
- prepísanie nastavení každého užívateľa z pôvodného Previs konta na nové doménové konto
- zakázanie SQL prístupov pre pôvodné Previs kontá
- inštaláciu služby zabezpečujúcej synchronizáciu AD skupín s Previsom (alebo implementácia CLAIMS servera)
Príklad vytvorenia potrebných AD skupín¶
- PREVIS_CORE
- PREVIS_DB_Admin (ako člena PREVIS_CORE)
- PREVIS_DB_Owner (ako člena PREVIS_CORE)
- PREVIS_DB_Garant (ako člena PREVIS_CORE)
- PREVIS_DB_Gr (ako člena PREVIS_CORE)
- PREVIS_DB_Grantor (ako člena PREVIS_CORE)
- PREVIS_DB_Lab (ako člena PREVIS_CORE)
- PREVIS_DB_LabAdmin (ako člena PREVIS_CORE)
- PREVIS_DB_Labden (ako člena PREVIS_CORE)
- PREVIS_DB_Metro (ako člena PREVIS_CORE)
- PREVIS_DB_Savom (ako člena PREVIS_CORE)
- PREVIS_DB_Tmr (ako člena PREVIS_CORE)
- PREVIS_AP_Laborant
- PREVIS_AP_Metrolog