Single Sign-On přihlašování (SSO)
GIRITON umožňuje uživatelům přihlašovat se pomocí loginu a hesla a nabízí také přihlašování pomocí Single Sign-On. Pokud ve vaší společnosti používáte SSO, není potřeba vytvářet uživatelům v GIRITONu samostatné loginy a hesla. V jediném firemním účtu můžete mít uživatele, kteří se přihlašují výhradně přes SSO, uživatele, kteří se přihlašují výhradně loginem + heslem a uživatele, kteří se přihlašují buď SSO anebo loginem + heslem.
To, který uživatel se může přihlašovat pomocí SSO, nastavíte v agendě Personalistika na kartě Účet webové aplikace aktivací zatržítka Přihlášení SSO povoleno.
Při přihlášení přes SSO do GIRITONu se provádí porovnání uživatelského loginu z SSO s loginem z GIRITONu. Tzn. máte-li například ve svém SSO login "vas@login.com", je nutné, abyste v GIRITONu v agendě Personalistika v kartě Účet webové aplikace měli vyplněn stejný login (heslo vyplňovat nemusíte, má-li se uživatel přihlašovat pouze přes SSO).
Microsoft Entra ID (dříve AzureAD, Azure Active Directory)
V portálu Azure zvolte Entra ID účet, ze kterého budete potřebovat údaje Directory (Tenant) ID, dále Application (client) ID a také App secret. V portálu Azure si tyto údaje vygenerujete následujícím postupem. Pozor, když vyplňujete "Redirect URI", vyplňte webovou adresu vašeho docházkového účtu (ve formátu "https://vasefirma.giriton.com") a to včetně "https://" na začátku.
Do webové aplikace GIRITON se přihlašte jako uživatel s oprávněním Administrátor. Jděte do Menu uživatel > Nastavení a v dialogu se přepněte na kartu Přihlášení SSO. Zde vyplňte všechny hodnoty z Entra ID viz výše a uložte změny. Tím jste aktivovali možnost přihlásit se do GIRITONu přes SSO. Na přihlašovacím dialogu GIRITONu přibude tlačítko "Přihlásit přes Microsoft Azure AD".
Okta
V administrativním rozhraní Okta jděte do sekce Applications > Create App Integration > OIDC - OpenID Connect > Web Application. Zde vyplňte následující volby:
- App integration name: GIRITON SSO
- Grant type: Authorization Code, Refresh Token
- Sign-in redirect URIs: vyplňte webovou adresu vašeho docházkového účtu (ve formátu "https://vasefirma.giriton.com") a to včetně "https://" na začátku.
- Sign-out redirect URIs: vyplňte webovou adresu vašeho docházkového účtu (ve formátu "https://vasefirma.giriton.com") a to včetně "https://" na začátku.
- Assignments: Controlled access: nastavte dle potřeby
Uložte změny.
Následně budete z nově vytvořené Okta Application potřebovat tyto údaje:
- Client ID (něco jako 1pdb2iqetsRn46OaW789)
- Client Secret (zobrazí se po kliknutí na ikonku "oko")
- Client URL (něco jako trial-7366426.okta.com, popř. jiná vaše doména od Okta)
Do webové aplikace GIRITON se přihlašte jako uživatel s oprávněním Administrátor. Jděte do Menu uživatel > Nastavení a v dialogu se přepněte na kartu Přihlášení SSO. Zde vyplňte všechny hodnoty z Okta viz výše a uložte změny. Tím jste aktivovali možnost přihlásit se do GIRITONu přes SSO. Na přihlašovacím dialogu GIRITONu přibude tlačítko "Přihlásit přes Okta".
Google SSO
Pro SSO přihlášení přes účty Google nabízíme dvě varianty, a to "Google" a "Google Workspace".
Vyberte tuto možnost, pokud chcete povolit SSO přihlášení kterémukoli uživateli, jehož email je registrovaný u Google (ať už jako Google freemail xxx@gmail.com, tak také Google účty na Google Workspace). Tuto možnost chcete typicky vybrat v případě, kdy nemáte firemní účet Google Workspace, na kterém by měli všichni vaši uživatelé (kteří mají mít SSO aktivní) vytvořen svůj účet.
V této variantě není potřeba nic dalšího vyplňovat.
Google Workspace
Vyberte tuto možnost, máte-li firemní Google Workspace účet, na kterém mají všichni vaši uživatelé (kteří mají mít SSO aktivní) vytvořen účet.
V této variantě je potřeba vyplnit vaše "OAuth Client ID" a "Client Secret".
- Tyto údaje získáte po přihlášení do Google Cloud konzole (jako administrativní uživatel) na adrese https://console.cloud.google.com/auth/clients
- Vytvoříte nový OAuth dle https://support.google.com/cloud/answer/10311615
- Při volbě "User type" zvolte "Internal", aby se mohli přihlašovat pouze uživatelé vašeho vlastního účtu Google Workspace.
- V sekci Clients přidejte nového Clienta typu "Web application", kterého pojmenujete například "Giriton SSO login".
- Do sekce "Authorized redirect URIs" přidejte "https://vasefirma.giriton.com", resp. adresu, na které se přihlašujete do vašeho účtu GIRITON.
- Uložte nového Clienta.
- U nově přidaného Clienta klikněte na ikonku "tužka" (Edit OAuth Client).
- V novém okně zkopírujte "Client ID" a "Client secret" do aplikace Giriton.