1.3.5.8.1.
Gestione dei diritti
1.3.5.8.1.2. Pagina di registrazione "Banche dati utente
|  |
| Indietro | Avanti |
PARTsolutions supporta diversi database utenti alternativi. Uno o tutti possono essere attivi contemporaneamente, ma solo Windows è adatto per il login automatico nei client. In tutti gli altri casi, l'inserimento manuale della password è obbligatorio. [PARTsolutions supports several user databases. One or more of them can be active at a given time. However, only Windows allows for automatic login within the clients. In all other cases, the manual input of the password is mandatory at login time.]
Per visualizzare gli utenti/gruppi nella pagina della scheda Assegnazione dei diritti [Assign rights], spuntare la casella Attivo [Active] nelle pagine della scheda corrispondente. L'ordine della valutazione corrisponde all'ordine delle schede: Windows, poi ERP, poi gli altri...
Limite per le query [Limit for queries]: il valore massimo è 999999.
La limitazione può essere utile, ma può anche significare che i risultati presentati non sono completi.
Al più tardi a partire da una quantità di >9999 voci in AD, la funzione di ricerca in Assegnazione dei diritti [Assign rights] -> Utenti/gruppi noti [Known users/groups] non funzionerà più in modo affidabile, ma forse anche prima, anche se questo può essere intercettato utilizzando il pulsante .. pulsante.
Fondamentalmente, il comportamento dipende molto dal server AD specifico.
Configurazione di SSO tramite Microsoft Azure
Nota: OpenID non funziona nei processi batch (quindi Windows deve essere attivato anche nei database degli utenti [User databases] ).
Di seguito troverete una descrizione dettagliata, che dovrete solo adattare al vostro ambiente.
Nel primo passo, create una registrazione dell'app per CADENAS PARTsolutions/3Dfindit nella vostra azienda in Microsoft Azure.
Andare su https://portal.azure.com.
Accedere a Microsoft Azure con il proprio account Microsoft.
Se sono state impostate le autorizzazioni API, appare anche la seguente domanda, a meno che l'amministrazione non abbia impostato un consenso per tutti gli utenti. In caso contrario, ogni utente deve dare il proprio consenso esplicito. Vedere sotto.
Fare clic su Registrazioni app.
Fare clic su Nuova registrazione.
Completare la finestra di dialogo Registrazione della domanda e fare clic su .
Nome: inserire un nome di visualizzazione qualsiasi (ad es. "CADENAS PARTsolutions/3Dfindit").
Tipi di conto supportati: Selezionate l'opzione Solo conti in questa directory dell'organizzazione (solo "<azienda>" - cliente singolo) (nella figura esemplificativa "CADENAS Technologies AG"),
URI di reindirizzamento (opzionale): selezionare Client pubblico/nativo (mobile e desktop) nel campo dell'elenco e inserire http://localhost/auth/login nel campo di immissione.
Filtrare in base all'applicazione appena creata.
Selezionare la voce Autenticazione.
Selezionare la voce Configurazione dei token e fare clic su Aggiungi richiesta di gruppo.
Completare la pagina di dialogo Modifica diritti del gruppo come segue:
Affinché il login funzioni, è necessario impostare le seguenti autorizzazioni API:
Il tipo deve essere impostato su "Delegato".
Se Group.Read.All e GroupMember.Read.All e User.Read.All inoltre impostato allora all'interno di PARTadmin gli utenti e i gruppi possono essere può essere elencato. Per l'autenticazione pura, questo non è necessario.
Aprire il riepilogo. Qui è possibile copiare gli ID desiderati negli appunti per incollarli in PARTadmin.
In PARTadmin, selezionare la pagina della scheda Database utenti [User databases] e la sottopagina OpenID nella categoria Gestione dei diritti [Rights administration].
In Tipo di base [Basic Type], selezionare l'opzione Microsoft Azure AD.
![Database utenti [User databases] -> OpenID](https://webapi.partcommunity.com/service/help/latest/pages/it/partsolutions_user/doc/resources/img/img_a17067b95e9b4c8884595664dd8fa59c.png)
Compilare i singoli campi in base ai dati di Microsoft Azure:
Issuer: questo url specifica il percorso del realm del provider OpenID o del tenant Azure [This url specifies the path to the Openid provider realm or Azure tenant.].
https://login.microsoftonline.com/<Tenant-ID>/
Client ID/App ID: l'ID dell'applicazione o l'ID del cliente per PARTsolutions nel provider OpenID (AppId nella registrazione dell'applicazione del portale Azure) [The application ID or client ID for PARTsolutions in the OpenId provider (AppId in the application registration of the Azure portal)].
Segreto del cliente [Client-Secret]: il segreto del cliente memorizzato nella registrazione dell'app per questo cliente. Può essere omesso se non è richiesto l'elenco degli utenti/gruppi tramite l'API Graph. Rilevante solo per Azure [The client secret that is stored in the app registration for this client. Can be omitted if there is no need to list the users/groups via the Graph API. Is only relevant for Azure.].
Il gruppo desiderato può anche essere aggiunto manualmente utilizzando prima Test... per determinare il nome corretto del gruppo. viene utilizzato per determinare il nome corretto del gruppo.
Normalmente, l'opzione non è necessariamente richiesta, a meno che non sia impostata l'opzione Determina attributi aggiuntivi tramite l'endpoint UserInfo [Identify additional attributes using the UserInfo endpoint].
È possibile creare e leggere gli ID in Certificati e segreti.
Client-Redirect-Uri: se un cliente ha problemi a configurare l'OpenID, deve utilizzare questa impostazione e l'URI msal della pagina di registrazione dell'applicazione.
Qui si inserisce l'URI di reindirizzamento memorizzato nella registrazione dell'applicazione che deve essere utilizzato. Se questo campo è vuoto, viene utilizzato https://localhost/auth/login. Questo URI deve essere autorizzato nella registrazione dell'applicazione. Questa voce è prevista solo per la piattaforma dei dispositivi mobili e delle applicazioni desktop. Non viene utilizzato nell'applicazione web per 3dfindit, ma solo per il login a PARTadmin o PARTdataManager. L'URI inserito può essere completamente fittizio, poiché è rilevante solo per la valutazione del reindirizzamento dal provider OpenID. [The redirect URI stored in the app registration that is to be used is entered here. If this field is empty, https://localhost/auth/login is used. This URI must then be allowed in the app registration. This entry is only intended for the mobile device and desktop applications platform. It is not used in the web application for 3dfindit, but only for the login to PARTadmin or PARTdataManager. The URI entered here can be completely fictitious, as it is only relevant for the evaluation of the redirect from the OpenID provider.]
msa64992203d-d6b0-4900-c40c-641ba8c06e1a://auth
Scopi [Scopes]: Scopi richiesti per l'autenticazione, separati da spazi. Il valore predefinito è "openid offline_access" [Required scopes for authentication. Separated by spaces. The default is "openid offline_access"].
Rivendicazioni del nome utente [Username-Claims] (facoltativo): Elenco separato da virgole di rivendicazioni che dovrebbero essere considerate come fonte per l'ID utente. L'impostazione predefinita è "preferred_username,upn,email,sub" [Comma-separated list of claims to be considered as the source for the user ID. The default setting here is "preferred_username,upn,email,sub"].
Richiesta di gruppo [Group Claim] (opzionale): Nome della richiesta da cui estrarre l'appartenenza al gruppo. L'impostazione predefinita è "gruppi" per Azure e "ruoli" per tutto il resto. Può essere modificato in qualsiasi altra richiesta [Name of the claim from which the group membership is to be extracted. The default is "groups" for Azure and "roles" for everything else. Can be switched to any other claim here.].
Gruppo richiesto [Required group]: nome di un gruppo in cui l'utente deve trovarsi per essere considerato un utente valido. Se non viene specificata alcuna voce, tutti gli utenti sono considerati validi [Name of a group in which the user must be in order to be considered a valid user. If no entry is specified, all users are considered valid.].
Determinare gli attributi aggiuntivi tramite l'endpoint UserInfo [Identify additional attributes using the UserInfo endpoint]: Non rilevante per Azure.
Aprire la pagina PARTadmin -> categoria Gestione dei diritti [Rights administration] -> scheda Assegnazione dei diritti [Assign rights].
-> Si apre la finestra di dialogo Verifica autenticazione [Check authentification...]....
Selezionare l'opzione OPENID e fare clic su Login.... [Login...]
-> Si apre la finestra di dialogo Autentica utente [Authenticate user].
Fare clic sul proprio account, inserire la password e fare clic su .
-> I dati vengono visualizzati nell'area di dialogo Risultati [Result].
Annotare l'utente o il gruppo desiderato e chiudere la finestra di dialogo.
Selezionare la voce Utente o Gruppo e fare clic su
-> Si apre la finestra di dialogo Inserisci gruppo [Enter group...]....
Inserire il nome dell'utente o del gruppo e confermare con .
Assegnare il set di ruoli desiderato al gruppo o all'utente selezionato.
Avviare PARTdataManager per il test e fare clic sul pulsante Autentica/modifica utente [Authenticate/switch users].
-> Si apre la finestra di dialogo Autentica utente [Authenticate user].
![Pagina della scheda "Assegnazione dei diritti [Assign rights]](https://webapi.partcommunity.com/service/help/latest/pages/it/partsolutions_user/doc/resources/img/img_bccc201807b54657b86ef60e214913c4.png)
![[Nota]](https://webapi.partcommunity.com/service/help/latest/pages/it/partsolutions_user/doc/images/note.png)
Se è possibile effettuare il login tramite l'utente Windows (Autologin), è necessario attivare l'opzione Attiva [Active] nella pagina della scheda Windows.
L'opzione Attiva [Active] è attivata di default, il che ha senso nella maggior parte dei casi.
Se è disattivato, l'autenticazione utente basata su Windows non può avvenire.
Utilizzare Active Directory se disponibile (altrimenti si utilizza solo il database utenti locale del computer) [Use Active Directory - if available (otherwise only local user database of computer is used)]:
Negli scenari Azure ID / Entra ID, i computer potrebbero non essere in grado di risolvere gli utenti AD tramite l'accesso al controller AD (anche se sono ancora connessi a un dominio).
In queste situazioni, non è consigliabile cercare di eliminare gli utenti tramite AD.
Questa opzione consente di disattivare le ricerche AD. Il database degli utenti locali rimane utilizzabile, poiché il server potrebbe essere in esecuzione come account utente locale.
Usa catalogo globale per le query [Use global catalog for queries]: attivare l'opzione per una foresta di Active Directory (l'impostazione predefinita è "off").
Limitazione per le query [Limit for queries]: Assicurarsi che non venga inserito alcuno 0!
Ciò accade quando si rimuove il segno di spunta Attivo [Active] per Windows, quindi si chiude e si riavvia PARTadmin e si riattiva il database utenti "Windows".
Tenere conto delle appartenenze a gruppi nidificati [Check for hierarchical group memberships]: La valutazione avviene in modo ricorsivo attraverso livelli gerarchicamente sovraordinati.
Estrarre l'appartenenza al gruppo da uno speciale attributo AD/LDAP [Extract group membership from special AD/LDAP attribute]:
![[Suggerimento]](https://webapi.partcommunity.com/service/help/latest/pages/it/partsolutions_user/doc/images/tip.png)
Se si verificano problemi con l'autologin nel PARTapplicationServer tramite il nome utente di Windows, controllare le seguenti impostazioni di base:
Nella finestra di dialogo "Proprietà Internet" -> scheda "Avanzate" deve essere attivata l'opzione "Attiva l'autenticazione integrata di Windows".
Nella finestra di dialogo "Impostazioni di sicurezza - Zona Internet" è necessario attivare l'opzione "Login automatico solo nella zona Intranet".
L'indirizzo http del server dell'applicazione deve essere incluso nella zona di sicurezza locale.
Se il login con gli utenti ERP deve essere possibile nella finestra di dialogo Autenticazione utente, l'opzione Attivo [Active] deve essere attivata (default).
Creare gli utenti tramite il pulsante .... pulsante. Inserire un nome [Name] e una password [Password] nella finestra di dialogo. Se si desidera modificare la password in un secondo momento (tramite ..), è sufficiente impostarne una nuova (quella vecchia non verrà visualizzata).
Se i requisiti di cui sopra sono soddisfatti, l'autenticazione dell'utente può essere effettuata nella finestra di dialogo Autentica utente [Authenticate user] con l'inserimento di utente e password.
![Autenticare l'utente [Authenticate user]: Inserimento di utente e password](https://webapi.partcommunity.com/service/help/latest/pages/it/partsolutions_user/doc/resources/img/img_2de143aa882b476eb3d4b1686d4dd4dd.png)
Se sono disponibili più ruoli, si apre la finestra di dialogo Seleziona ruolo [Select role].
![Seleziona il ruolo [Select role]](https://webapi.partcommunity.com/service/help/latest/pages/it/partsolutions_user/doc/resources/img/img_a2c957117faa48d0a694f33765aa9d0d.png)
Se non è possibile autenticare alcun utente, viene visualizzato il messaggio di errore Nome utente o password non validi! [Invalid username or password!]
![Nome utente o password non validi! [Invalid username or password!]](https://webapi.partcommunity.com/service/help/latest/pages/it/partsolutions_user/doc/resources/img/img_52c561e2945e4657b995ecc5cb3a7674.png)
