1.3.5.8.1.  Gestione dei diritti
1.3.5.8.1.2. Pagina di registrazione "Banche dati utente
Indietro  Avanti
1.3.5.8.1.2. Pagina di registrazione "Banche dati utente
1.3.5.8.1.2.1. Pagina della scheda "OpenID
1.3.5.8.1.2.1.1. Microsoft Azure AD / Entra ID
1.3.5.8.1.2.2. Pagina della scheda "Windows
1.3.5.8.1.2.3. Pagina della scheda "ERP (plinkusers)

PARTsolutions supporta diversi database utenti alternativi. Uno o tutti possono essere attivi contemporaneamente, ma solo Windows è adatto per il login automatico nei client. In tutti gli altri casi, l'inserimento manuale della password è obbligatorio. [PARTsolutions supports several user databases. One or more of them can be active at a given time. However, only Windows allows for automatic login within the clients. In all other cases, the manual input of the password is mandatory at login time.]

Per visualizzare gli utenti/gruppi nella pagina della scheda Assegnazione dei diritti [Assign rights], spuntare la casella Attivo [Active] nelle pagine della scheda corrispondente. L'ordine della valutazione corrisponde all'ordine delle schede: Windows, poi ERP, poi gli altri...

Esempio: pagina della scheda "Windows

Figura 1.159. Esempio: pagina della scheda "Windows

  • Limite per le query [Limit for queries]: il valore massimo è 999999.

    La limitazione può essere utile, ma può anche significare che i risultati presentati non sono completi.

    Al più tardi a partire da una quantità di >9999 voci in AD, la funzione di ricerca in Assegnazione dei diritti [Assign rights] -> Utenti/gruppi noti [Known users/groups] non funzionerà più in modo affidabile, ma forse anche prima, anche se questo può essere intercettato utilizzando il pulsante Aggiungi manualmente. [Add manually ...].. pulsante.

Fondamentalmente, il comportamento dipende molto dal server AD specifico.

1.3.5.8.1.2.1. Pagina della scheda "OpenID

1.3.5.8.1.2.1.1. Microsoft Azure AD / Entra ID

Configurazione di SSO tramite Microsoft Azure

Nota: OpenID non funziona nei processi batch (quindi Windows deve essere attivato anche nei database degli utenti [User databases] ).

Di seguito troverete una descrizione dettagliata, che dovrete solo adattare al vostro ambiente.

1.3.5.8.1.2.1.1.1. Registrazione di app Azure

Nel primo passo, create una registrazione dell'app per CADENAS PARTsolutions/3Dfindit nella vostra azienda in Microsoft Azure.

  1. Andare su https://portal.azure.com.

  2. Accedere a Microsoft Azure con il proprio account Microsoft.

    Microsoft Azure -> Selezionare l'account

    Figura 1.160. Microsoft Azure -> Selezionare l'account

    Se sono state impostate le autorizzazioni API, appare anche la seguente domanda, a meno che l'amministrazione non abbia impostato un consenso per tutti gli utenti. In caso contrario, ogni utente deve dare il proprio consenso esplicito. Vedere sotto.

    Microsoft Azure -> Autorizzazioni necessarie

    Figura 1.161. Microsoft Azure -> Autorizzazioni necessarie

  3. Fare clic su Registrazioni app.

    Microsoft Azure "Registrazioni di app"

    Figura 1.162. Microsoft Azure "Registrazioni di app"

  4. Fare clic su Nuova registrazione.

    Microsoft Azure "Nuova registrazione

    Figura 1.163. Microsoft Azure "Nuova registrazione

  5. Completare la finestra di dialogo Registrazione della domanda e fare clic su Registrazione.

    • Nome: inserire un nome di visualizzazione qualsiasi (ad es. "CADENAS PARTsolutions/3Dfindit").

    • Tipi di conto supportati: Selezionate l'opzione Solo conti in questa directory dell'organizzazione (solo "<azienda>" - cliente singolo) (nella figura esemplificativa "CADENAS Technologies AG"),

    • URI di reindirizzamento (opzionale): selezionare Client pubblico/nativo (mobile e desktop) nel campo dell'elenco e inserire http://localhost/auth/login nel campo di immissione.

    Microsoft Azure "Registra applicazione"

    Figura 1.164. Microsoft Azure "Registra applicazione"

  6. Filtrare in base all'applicazione appena creata.

    Registrazioni app -> Filtro

    Figura 1.165. Registrazioni app -> Filtro

  7. Selezionare la voce Autenticazione.

    Microsoft Azure "Autenticazione" -> "Dispositivo mobile e applicazioni desktop"

    Figura 1.166. Microsoft Azure "Autenticazione" -> "Dispositivo mobile e applicazioni desktop"

  8. Fare clic su Aggiungi URI e inserire le righe seguenti:

    • Restituzione dell'autenticazione dell'utente all'AppServer nel caso standard:

      http://localhost/auth/login

    • Per le applicazioni web come 3Dfindit, il server dell'applicazione deve essere specificato esplicitamente:

      https://<computername>:<port>/service/login/sso

  9. Fare clic su Salva.

  10. Selezionare la voce Configurazione dei token e fare clic su Aggiungi richiesta di gruppo.

    Microsoft Azure "Configurazione del token" -> "Aggiungi richiesta di gruppo"

    Figura 1.167. Microsoft Azure "Configurazione del token" -> "Aggiungi richiesta di gruppo"

  11. Completare la pagina di dialogo Modifica diritti del gruppo come segue:

    • Attivare i gruppi di sicurezza.

    • In ID, selezionare l'opzione NetBIOSDomain\sAMAccountName.

    • In Accesso, selezionare l'opzione NetBIOSDomain\sAMAccountName.

    Microsoft Azure "Configurazione token" -> "Modifica rivendicazione gruppo"

    Figura 1.168. Microsoft Azure "Configurazione token" -> "Modifica rivendicazione gruppo"

    Confermare con Aggiungi.

  12. Affinché il login funzioni, è necessario impostare le seguenti autorizzazioni API:

    • offline_access

    • openid

    Il tipo deve essere impostato su "Delegato".

    Figura 1.169. 

    Se Group.Read.All e GroupMember.Read.All e User.Read.All inoltre impostato allora all'interno di PARTadmin gli utenti e i gruppi possono essere può essere elencato. Per l'autenticazione pura, questo non è necessario.

  13. Aprire il riepilogo. Qui è possibile copiare gli ID desiderati negli appunti per incollarli in PARTadmin.

    Panoramica di Microsoft Azure

    Figura 1.170. Panoramica di Microsoft Azure

1.3.5.8.1.2.1.1.2. Pagina di registrazione "Banche dati utente

In PARTadmin, selezionare la pagina della scheda Database utenti [User databases] e la sottopagina OpenID nella categoria Gestione dei diritti [Rights administration].

In Tipo di base [Basic Type], selezionare l'opzione Microsoft Azure AD.

Database utenti [User databases] -> OpenID

Figura 1.171.  Database utenti [User databases] -> OpenID

Compilare i singoli campi in base ai dati di Microsoft Azure:

  • Issuer: questo url specifica il percorso del realm del provider OpenID o del tenant Azure [This url specifies the path to the Openid provider realm or Azure tenant.].

    Microsoft Azure:

    https://login.microsoftonline.com/<Tenant-ID>/

    Microsoft Azure "Panoramica" -> "Directory ID (client)"

    Figura 1.172. Microsoft Azure "Panoramica" -> "Directory ID (client)"

  • Client ID/App ID: l'ID dell'applicazione o l'ID del cliente per PARTsolutions nel provider OpenID (AppId nella registrazione dell'applicazione del portale Azure) [The application ID or client ID for PARTsolutions in the OpenId provider (AppId in the application registration of the Azure portal)].

    Microsoft Azure "Panoramica" -> ID applicazione (client)

    Figura 1.173. Microsoft Azure "Panoramica" -> ID applicazione (client)

  • Segreto del cliente [Client-Secret]: il segreto del cliente memorizzato nella registrazione dell'app per questo cliente. Può essere omesso se non è richiesto l'elenco degli utenti/gruppi tramite l'API Graph. Rilevante solo per Azure [The client secret that is stored in the app registration for this client. Can be omitted if there is no need to list the users/groups via the Graph API. Is only relevant for Azure.].

    Il gruppo desiderato può anche essere aggiunto manualmente utilizzando prima Test... per determinare il nome corretto del gruppo. viene utilizzato per determinare il nome corretto del gruppo.

    Normalmente, l'opzione non è necessariamente richiesta, a meno che non sia impostata l'opzione Determina attributi aggiuntivi tramite l'endpoint UserInfo [Identify additional attributes using the UserInfo endpoint].

    È possibile creare e leggere gli ID in Certificati e segreti.

    Microsoft Azure "Certificati e segreti

    Figura 1.174. Microsoft Azure "Certificati e segreti

  • Client-Redirect-Uri: se un cliente ha problemi a configurare l'OpenID, deve utilizzare questa impostazione e l'URI msal della pagina di registrazione dell'applicazione.

    Qui si inserisce l'URI di reindirizzamento memorizzato nella registrazione dell'applicazione che deve essere utilizzato. Se questo campo è vuoto, viene utilizzato https://localhost/auth/login. Questo URI deve essere autorizzato nella registrazione dell'applicazione. Questa voce è prevista solo per la piattaforma dei dispositivi mobili e delle applicazioni desktop. Non viene utilizzato nell'applicazione web per 3dfindit, ma solo per il login a PARTadmin o PARTdataManager. L'URI inserito può essere completamente fittizio, poiché è rilevante solo per la valutazione del reindirizzamento dal provider OpenID. [The redirect URI stored in the app registration that is to be used is entered here. If this field is empty, https://localhost/auth/login is used. This URI must then be allowed in the app registration. This entry is only intended for the mobile device and desktop applications platform. It is not used in the web application for 3dfindit, but only for the login to PARTadmin or PARTdataManager. The URI entered here can be completely fictitious, as it is only relevant for the evaluation of the redirect from the OpenID provider.]

    Esempio:

    msa64992203d-d6b0-4900-c40c-641ba8c06e1a://auth

  • Scopi [Scopes]: Scopi richiesti per l'autenticazione, separati da spazi. Il valore predefinito è "openid offline_access" [Required scopes for authentication. Separated by spaces. The default is "openid offline_access"].

  • Rivendicazioni del nome utente [Username-Claims] (facoltativo): Elenco separato da virgole di rivendicazioni che dovrebbero essere considerate come fonte per l'ID utente. L'impostazione predefinita è "preferred_username,upn,email,sub" [Comma-separated list of claims to be considered as the source for the user ID. The default setting here is "preferred_username,upn,email,sub"].

  • Richiesta di gruppo [Group Claim] (opzionale): Nome della richiesta da cui estrarre l'appartenenza al gruppo. L'impostazione predefinita è "gruppi" per Azure e "ruoli" per tutto il resto. Può essere modificato in qualsiasi altra richiesta [Name of the claim from which the group membership is to be extracted. The default is "groups" for Azure and "roles" for everything else. Can be switched to any other claim here.].

  • Gruppo richiesto [Required group]: nome di un gruppo in cui l'utente deve trovarsi per essere considerato un utente valido. Se non viene specificata alcuna voce, tutti gli utenti sono considerati validi [Name of a group in which the user must be in order to be considered a valid user. If no entry is specified, all users are considered valid.].

  • Determinare gli attributi aggiuntivi tramite l'endpoint UserInfo [Identify additional attributes using the UserInfo endpoint]: Non rilevante per Azure.

1.3.5.8.1.2.1.1.3. Pagina della scheda "Assegnazione dei diritti

  1. Aprire la pagina PARTadmin -> categoria Gestione dei diritti [Rights administration] -> scheda Assegnazione dei diritti [Assign rights].

    Pagina della scheda "Assegnazione dei diritti [Assign rights]

    Figura 1.175. Pagina della scheda "Assegnazione dei diritti [Assign rights]

  2. Fare clic sul pulsante Test.... [Test...]

    -> Si apre la finestra di dialogo Verifica autenticazione [Check authentification...]....

    Accedere con OpenID

    Figura 1.176. Accedere con OpenID

  3. Selezionare l'opzione OPENID e fare clic su Login.... [Login...]

    -> Si apre la finestra di dialogo Autentica utente [Authenticate user].

    Dialogo di accesso OpenID

    Figura 1.177. Dialogo di accesso OpenID

  4. Fare clic sul proprio account, inserire la password e fare clic su Accedi.

    -> I dati vengono visualizzati nell'area di dialogo Risultati [Result].

    Determinare i gruppi/utenti disponibili

    Figura 1.178. Determinare i gruppi/utenti disponibili

  5. Annotare l'utente o il gruppo desiderato e chiudere la finestra di dialogo.

  6. Selezionare la voce Utente o Gruppo e fare clic su Aggiungi manualmente.... [Add manually ...]

    -> Si apre la finestra di dialogo Inserisci gruppo [Enter group...]....

    Aggiungere un gruppo manualmente

    Figura 1.179. Aggiungere un gruppo manualmente

  7. Inserire il nome dell'utente o del gruppo e confermare con OK.

    -> La voce è impostata.

  8. Assegnare il set di ruoli desiderato al gruppo o all'utente selezionato.

    Assegnare il set di rotoli ERP

    Figura 1.180. Assegnare il set di rotoli ERP

    [Nota]Nota

    Se non sono stati attivati profili [Profiles] per il gruppo specifico, vengono utilizzati quelli presenti in Logged in *.

  9. Salvare le impostazioni.

  10. Avviare PARTdataManager per il test e fare clic sul pulsante Autentica/modifica utente [Authenticate/switch users].

    -> Si apre la finestra di dialogo Autentica utente [Authenticate user].

    Il login avviene tramite "AzureAD/OpenID".

    Figura 1.181. Il login avviene tramite "AzureAD/OpenID".

  11. Accedere con il proprio nome utente (e-mail) e la password.

1.3.5.8.1.2.2. Pagina della scheda "Windows

Se è possibile effettuare il login tramite l'utente Windows (Autologin), è necessario attivare l'opzione Attiva [Active] nella pagina della scheda Windows.

L'opzione Attiva [Active] è attivata di default, il che ha senso nella maggior parte dei casi.

Esempio: pagina della scheda "Windows

Figura 1.182. Esempio: pagina della scheda "Windows

Se è disattivato, l'autenticazione utente basata su Windows non può avvenire.

  • Utilizzare Active Directory se disponibile (altrimenti si utilizza solo il database utenti locale del computer) [Use Active Directory - if available (otherwise only local user database of computer is used)]:

    Negli scenari Azure ID / Entra ID, i computer potrebbero non essere in grado di risolvere gli utenti AD tramite l'accesso al controller AD (anche se sono ancora connessi a un dominio).

    In queste situazioni, non è consigliabile cercare di eliminare gli utenti tramite AD.

    Questa opzione consente di disattivare le ricerche AD. Il database degli utenti locali rimane utilizzabile, poiché il server potrebbe essere in esecuzione come account utente locale.

    [Nota]Nota

    • La disattivazione dell'opzione impedirà anche al PARTapplicationServer stesso di utilizzare gli account AD.

    • Ciò significa che non è possibile utilizzare utenti del servizio basati sul dominio. Per eseguire il servizio, invece, utilizzare gli account utente locali.

      Figura 1.183. 

  • Usa catalogo globale per le query [Use global catalog for queries]: attivare l'opzione per una foresta di Active Directory (l'impostazione predefinita è "off").

  • Limitazione per le query [Limit for queries]: Assicurarsi che non venga inserito alcuno 0!

    Ciò accade quando si rimuove il segno di spunta Attivo [Active] per Windows, quindi si chiude e si riavvia PARTadmin e si riattiva il database utenti "Windows".

  • Tenere conto delle appartenenze a gruppi nidificati [Check for hierarchical group memberships]: La valutazione avviene in modo ricorsivo attraverso livelli gerarchicamente sovraordinati.

    [Suggerimento]Suggerimento

    Potrebbe essere necessario utilizzare questa impostazione anche durante i test nella scheda Diritti assegnati [Assign rights] per registrare tutte le assegnazioni.

  • Estrarre l'appartenenza al gruppo da uno speciale attributo AD/LDAP [Extract group membership from special AD/LDAP attribute]:

Risoluzione dei problemi

  • Se si verificano problemi con l'autologin nel PARTapplicationServer tramite il nome utente di Windows, controllare le seguenti impostazioni di base:

    Nella finestra di dialogo "Proprietà Internet" -> scheda "Avanzate" deve essere attivata l'opzione "Attiva l'autenticazione integrata di Windows".

    Attivare l'autenticazione integrata di Windows

    Figura 1.184. Attivare l'autenticazione integrata di Windows

    Nella finestra di dialogo "Impostazioni di sicurezza - Zona Internet" è necessario attivare l'opzione "Login automatico solo nella zona Intranet".

    Figura 1.185. 

    L'indirizzo http del server dell'applicazione deve essere incluso nella zona di sicurezza locale.

    Pagina della scheda "Sicurezza" -> Intranet locale -> Siti

    Figura 1.186. Pagina della scheda "Sicurezza" -> Intranet locale -> Siti

1.3.5.8.1.2.3. Pagina della scheda "ERP (plinkusers)

Se il login con gli utenti ERP deve essere possibile nella finestra di dialogo Autenticazione utente, l'opzione Attivo [Active] deve essere attivata (default).

Creare gli utenti tramite il pulsante Aggiungi [Add...].... pulsante. Inserire un nome [Name] e una password [Password] nella finestra di dialogo. Se si desidera modificare la password in un secondo momento (tramite Modifica. [Edit...]..), è sufficiente impostarne una nuova (quella vecchia non verrà visualizzata).

Figura 1.187. 

Se i requisiti di cui sopra sono soddisfatti, l'autenticazione dell'utente può essere effettuata nella finestra di dialogo Autentica utente [Authenticate user] con l'inserimento di utente e password.

Autenticare l'utente [Authenticate user]: Inserimento di utente e password

Figura 1.188.  Autenticare l'utente [Authenticate user]: Inserimento di utente e password

Se sono disponibili più ruoli, si apre la finestra di dialogo Seleziona ruolo [Select role].

Seleziona il ruolo [Select role]

Figura 1.189.  Seleziona il ruolo [Select role]

Se non è possibile autenticare alcun utente, viene visualizzato il messaggio di errore Nome utente o password non validi! [Invalid username or password!]

Nome utente o password non validi! [Invalid username or password!]

Figura 1.190.  Nome utente o password non validi! [Invalid username or password!]

Questo accadrà quando ...

  • ... tutti i database degli utenti sono disattivati

    Esempio di database utenti "ERP(plinkusers)" disattivato

    Figura 1.191. Esempio di database utenti "ERP(plinkusers)" disattivato

  • non esiste una mappatura tra utente e record di ruolo (campo vuoto, anche nessun segnaposto *).

    Figura 1.192. 

Indietro Risali Avanti
1.3.5.8.1.1. GDPR  Partenza 1.3.5.8.1.3. Pagina della scheda "Assegnazione dei diritti