Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Microsoft Office 365


Poglavlja:

  1. Minimalna potrebna programska podrška
     
  2. Registracija ustanove za korištenje usluge Microsoft Office 365
     
  3. Registracija usluge u sustavu AAI@EduHr
     
  4. Podešavanje usluge Microsoft Office 365 za autentikaciju korisnika putem sustava AAI@EduHr
     
  5. Registracija plugina za sinkronizaciju podataka iz LDAP imenika sa Azure AD-om
     
  6. Instalacija i podešavanje libo365connect-aosi-aai plugina
     
  7. Prijenos postojećih korisnika u Azure AD
     
  8. Odgovori na često postavljana pitanja
     

Važno!

Slike i poveznice na ovoj stranici odgovaraju aktualnom stanju u trenutku nastanka tog dijela uputa. Obzirom da se usluga Microsoft Office 365 s vremena na vrijeme proširuje novim funkcionalnostima, moguće je da informacije prikazane na slikama ne odgovaraju u potpunosti sadržaju izbornika koji se prikazuju u administrativnom sučelju, ali generalne smjernice kako iskonfigurirati Office 365 za autentikaciju korisnika putem sustava AAI@EduHr trebale bi ostati nepromijenjene.

Popis ustanova koje prema ugovoru Ministarstva znanosti i obrazovanja te Microsofta imaju pravo na besplatno korištenje Office 365 usluge naveden je u ovoj datoteci.

Navedene ustanove imaju pravo na besplatno korištenje Office 365 programskih alata obuhvaćenih Education E1 licencom. Više informacija o programskim alatima obuhvaćenim navedenom licencom možete pronaći na Microsoftovim stranicama. Na istoj stranici odabirom opcije Get started for free možete registrirati vašu ustanovu za korištenje Office 365 usluge.

Postupak registracije svoje ustanove za korištenje Office 365 programskih alata započnite tako da otvorite korisnički račun u Office 365 sustavu koji ćete koristiti u nastavku ovih uputa. Otvaranje korisničkog računa prvi je korak u postupku registracije domene vaše ustanove u sustavu Office 365, a započet ćete ga tako da na adresi: https://products.office.com/en-us/academic odaberete Get started.

Bitno je naglasiti da taj korisnički račun treba biti oblika:

proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com


Ako je netko s vaše ustanove već prošao kroz proces samoregistracije, u procesu registracije vaše domene pojavit će se poruka koja kaže da ne možete registrirati domenu jer je već registrirana. U tom slučaju trebate preuzeti ovlasti nad svojom domenom na način opisan u ovim uputama (zahvaljujemo kolegama iz Microsofta Hrvatska koji su napisali upute).

Po preuzimanju ovlasti nad domenom, administratorski korisnički račun u sustavu Office 365 potreban za nastavak postupka možete otvoriti kroz web sučelje Office 365.

Minimalna potrebna programska podrška

Prilikom izrade ovih uputa korištena je sljedeća programska podrška:

Registracija ustanove za korištenje usluge Microsoft Office 365

Prilikom registracije za korištenje usluge Microsoft Office 365 otvorit ćete korisnički račun za administriranje usluga u Windows Azure oblaku (oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com). Uporabom web preglednika prijavite se s navedenim korisničkim računom na Office 365 administrativno sučelje koje se nalazi na adresi:

https://portal.office.com


Office 365 administrativno sučelje

Nakon prijave kliknite na ikonu Administrator i zatim u izborniku s lijeve strane odaberite opciju DOMENE:


Odabir domene u MS Office administratorskom sučelju

Prikazat će vam se tablica s popisom domena za koje možete koristiti Office 365 uslugu. Ako se DNS/LDAP domena vaše ustanove ne nalazi na tom popisu, dodajte je odabirom opcije Dodaj domenu:


Dodavanje domene u MS Office administratorskom sučelju

Da biste Microsoftu dokazali da je dodana domena zaista u vlasništvu vaše ustanove, morat ćete na vašem DNS poslužitelju dodati odgovarajući zapis sukladno uputama koje će vam se ispisati na ekranu:


Potvrda vlasništva nad domenom

Obzirom da je potrebno neko vrijeme da se podaci uneseni na DNS poslužitelju propagiraju, odjavite se iz administratorskog sučelja i pričekajte barem sat vremena prije nego što nastavite s procedurom opisanom u ovim uputama.

Nakon što se ponovo prijavite u Office 365 administratorsko sučelje, odaberite opciju Kliknite da biste ovjerili domenu. Ako ste ispravno unijeli podatke na vašem DNS poslužitelju i ako su se ti podaci uspješno propagirali, dobit ćete odgovor da je vlasništvo domene potvrđeno, a u tablici će se pored naziva domene vaše ustanove pojaviti natpis da je postavljanje uspješno dovršeno.

Važno: da biste u nastavku procedure autentikaciju za svoju domenu mogli prepustiti SSO servisu sustava AAI@EduHr, kao zadana (defaultna) domena za vašu ustanovu mora biti odabrana ona u kojoj je vaša korisnička oznaka oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com (kao na slici dolje SRCEOffice365.onmicrosoft.com - ispod te domene treba pisati zadana ili default).


Prikaz odabrane domene

Registracija usluge u sustavu AAI@EduHr

Da bi prijava u Office 365 putem sustava AAI@EduHr za određenu LDAP domenu funkcionirala, potrebno je registrirati Office 365 uslugu u sustavu AAI@EduHr. Registracija se vrši putem Registra resursa, web aplikacije koja se nalazi na adresi

https://registar.aaiedu.hr/

Registru mogu pristupiti davatelji/vlasnici usluga uporabom elektroničkog identiteta u sustavu AAI@EduHr.

Zahtjev za registracijom u registar, a zatim i korištenje registra davatelji/vlasnici usluga mogu ostvariti i putem računa neke od društvenih mreža: Facebook, Google, LinkedIn, Twitter. Nakon poslanog zahtjeva, administrator registra prihvaća/ne prihvaća zahtjev korisnika.

Nakon što se prijavite u registar, na popisu opcija u gornjem izborniku izaberite  Registracija resursa. Otvorit će vam se prozor s formom za upis općih podataka o resursu, kontakata povezanih sa resursom te administratorima resursa.

Pri vrhu forme za unos podataka o novom resursu, u polju "Kao administrator usluge potvrđujem da će usluga biti pružana sukladno odredbama Pravilnika o ustroju AAI@EduHr" trebate staviti kvačicu kako biste potvrdili da prihvaćate uvjete korištenja AAI@EduHr infrastrukture definirane Pravilnikom o ustroju autentikacijske i autorizacijske infrastrukture sustava znanosti i visokog obrazovanja u Republici Hrvatskoj.

Prihvaćanje uvjeta definiranih Pravilnikom AAI@EduHr sustava

U odjeljku Općih informacija potrebno je unijeti sljedeće podatke:

  • Naziv resursa: Microsoft Office 365 za korisnike iz (naziv ustanove)
  • Opis resursa: Autentikacija putem sustava AAI@EduHr za korisnike iz domene (LDAP domena ustanove)
  • Vrsta resursa: produkcija
  • Matična ustanova s kojom je resurs povezan: odaberite ustanovu za koju se registrira autentikacija za Office 365
  • Partner federacije s kojim je resurs povezan: - nijedan -
  • Globalna usluga s kojom je resurs povezan: Microsoft Office 365
  • Web adresa (URL) na kojoj se aplikacija nalazi: http://login.microsoftonline.com

Kao na primjeru na sljedećoj slici:

Ispunjavanje Općih podataka u Registru resursa

Nakon što ste ispunili dio forme s općim podacima ispunite informacije o kontaktima te administratorima resursa, te spremite resurs.

Važno je naglasiti da odabirom osobe toj osobi NEĆETE dodijeliti administrativne ovlasti nad Office 365 sustavom, nego samo ovlasti administriranja podataka o Office 365 usluzi u registru resursa!

Sljedeće je potrebno resursu dodati SAML autentikacijski modul.

Odabir autentikacijskog protokola

U formi SAML konfiguracije potrebno je unijeti tzv. SAML metapodatke Office 365 servisa u skladu s sljedećim uputama:

  • U izborniku "Auth Service" odaberite Univerzalni
  • U izborniku "NameID Format" odaberite urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • U izborniku "NameID Attribute" treba stajati hrEduPersonPersistentID
  • Uključite opciju "Sign Response"
  • U polje EntityID upišite: https://login.aaiedu.hr/office365/module.php/saml/sp/metadata.php/srce.hr (umjesto srce.hr potrebno upisati LDAP domenu matične ustanove za koju registrirate resurs)
  • U polje AssertionConsumerService URL upišite: https://login.aaiedu.hr/office365/module.php/saml/sp/saml2-acs.php/srce.hr (umjesto srce.hr potrebno upisati LDAP domenu matične ustanove za koju registrirate resurs)
  • U polje SingleLogoutService URL upišite: https://login.aaiedu.hr/office365/module.php/saml/sp/saml2-logout.php/srce.hr (umjesto srce.hr poterbno upisati LDAP domenu matične ustanove za koju registrirate resurs)

U dijelu forme "Atributi" trebaju biti označena tri atributa:

  • hrEduPersonUniqueID (Korisnička oznaka)
  • hrEduPersonHomeOrg (Oznaka matične ustanove)
  • hrEduPersonPersistentId (Trajna korisnička oznaka)

U prazno polje "Namjena" za svaki ručno označeni atribut treba upisati:

"Identifikacija i autorizacija korisnika u sustavu Office365"

Nakon što popunite formu prema uputama registraciju novog resursa i kliknete na opciju Zatraži dodavanje konfiguracije, obavijest o postavljanju novog zahtjeva za registracijom bit će automatski dostavljena administratorima sustava AAI@EduHr koji će pregledati unesene podatke i odobriti zahtjev ili vas eventualno upozoriti na neke nedostatke koje treba ispraviti da bi zahtjev mogao biti odobren.

Obavijest o odobravanju zahtjeva dobit ćete elektroničkom poštom, a sama autentikacija bi trebala proraditi u roku od najviše 5 minuta od trenutka kada zahtjev bude odobren.

Podešavanje usluge Microsoft Office 365 za autentikaciju korisnika putem sustava AAI@EduHr

U sljedećih nekoliko koraka potrebno je koristiti Windows Powershell konzolu. Neki su nam korisnici prijavili da su naišli na probleme pri instalaciji i pokretanju Powershell konzole. Najčešći problem, kao i njegovo rješenje opisan je na Stack Overflow stranici.

Za omogućavanje autentikacija korisnika putem sustava AAI@EduHr potrebno je izvršiti sljedeću proceduru:

  1. Dohvatite poslužiteljski certifikat s adrese
     https://login.aaiedu.hr/office365/module.php/admin/federation/cert?set=saml20-idp-hosted&entity=https%3A%2F%2Flogin.aaiedu.hr%2Foffice365%2F&prefix=
    i pohranite ga u neki direktorij na vašem računalu, npr. C:\Users\korisnik\Downloads\
  2. Na svom računalu pokrenite Windows Powershell konzolu, izvršite naredbu
     


    connect-msolservice
     


    i prijavite se uporabom administratorskog korisničkog računa (onog koji ste otvorili u prvom koraku i koji je oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com, dakle ne AAI@EduHr elektroničkim identitetom):

    VAŽNO: Za prijavu u PowerShell konzolu OBAVEZNO koristiti korisnički račun oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com. Ni u kom slučaju korisnički račun oblika jednakog vašem elektroničkom identitetu iz sustava AAI@EduHr!!!
    Prijava u PowerShell konzolu

 

VAŽNO: zbog povećanog broja upite korisnika koji su ignorirali prethodnu uputu naglašavamo opet:

Za prijavu u PowerShell konzolu OBAVEZNO koristiti korisnički račun oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com. Ni u kom slučaju korisnički račun oblika jednakog vašem elektroničkom identitetu iz sustava AAI@EduHr!!!

Korisnički račun za prijavu u PowerShell konzolu

 

PowerShell konzola

 

3. Nakon toga potrebno je u Windows Powershell konzoli izvršiti jednu za drugom sljedeće naredbe (pritom u prvoj naredbi umjesto domena.hr trebate upisati DNS/LDAP domenu vaše ustanove, a u šestoj naredbi trebate upisati ispravnu putanju do certifikata koji ste dohvatili u prvom koraku i spremili ga u neki direktorij na vašem računalu):
 

 


$dom = "domena.hr"

$fedbrandname = "AAI@EduHr"
$url = "https://login.aaiedu.hr/office365/saml2/idp/SSOService.php?entityID=https://login.aaiedu.hr/office365/"+$dom
$uri = "https://login.aaiedu.hr/office365/"+$dom
$logouturl = "https://login.aaiedu.hr/office365/saml2/idp/SingleLogoutService.php?ReturnTo=https://login.aaiedu.hr/office365/logout.php"
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Users\korisnik\Downloads\cert.pem")
$certdata = [system.convert]::tobase64string($cert.rawdata)
set-msoldomainauthentication -domainname $dom -federationbrandname $fedbrandname -authentication Federated -passivelogonuri $url -signingcertificate $certdata -issueruri $uri -logoffuri $logouturl -preferredauthenticationprotocol SAMLP


Postupak i rezultat izvršavanja trebali bi izgledati otprilike kao na sljedećoj slici:

Postupak izvršavanja naredbi

Ako prilikom izvršavanja prethodno navedenih naredbi unesete neki pogrešan podatak i Single Sign-On autentikacija ne funkcionira ispravno, konfiguraciju možete poništiti naredbom:



set-msoldomainauthentication -authentication Managed -domainname domena.hr

 



pri čemu domena.hr treba zamijeniti DNS/LDAP domenom vaše ustanove. Nakon toga za omogućavanje Single Sign-On autentikacije potrebno je ponovo izvršiti naredbe navedene u koraku 3.

 

 

Registracija plugina za sinkronizaciju podataka iz LDAP imenika sa Azure AD-om

Da bi se klijentska aplikacija (u ovom slučaju libo365connect-aosi-aai plugin) mogla spojiti na Azure AD (Microsoftov imenik u cloudu iz kojeg se autoriziraju korisnici za upotrebu Office 365 usluge nakon uspješne autentikacije na našem SSO servisu), potrebno ju je registrirati u Azure web sučelju, iz sučelja prekopirati parametre potrebne za njeno spajanje na Azure (clietn ID i key), te ovlastiti plugin da čita i piše podatke o korisnicima s vaše ustanove u Azure AD.

  1. Prijavite se u web sučelje na adresi: https://portal.office.com (onim korisničkim računom koji ste otvorili u prvom koraku i koji je oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com, dakle ne AAI@EduHr elektroničkim identitetom);

  2. U izborniku koji se otvori odaberite Admin:

    Podešavanje Azure AD za povezivanje sa sustavom AAI@EduHr

  3. U izborniku s lijeve strane kliknite na Show all, pa odaberite opciju Azure AD. Nakon toga ćete biti preusmjereni na upravljačko sučelje Azure AD. U tom procesu ćete možda morati opet unijeti zaporku:

    Podešavanje Azure AD

  4. Sad kliknite na Azure Active Directory, pa na App registrations, pa na New registration:

    Podešavanje Azure AD

  5. Upišite naziv aplikacije (npr. AOSI-o365 plugin) i kliknite na Register:

    Podešavanje Azure AD

  6. U ovom koraku je potrebno izgenerirati ključ kojim će se vaš plugin predstavljati Azure AD. U novododoanoj aplikaciji kliknite na Certificates & secrets, pa na New client secret, upišite opis, odaberite željeno vrijeme trajanja i kliknite na Add.

    Podešavanje Azure AD

  7. Nakon dodavanja ključa, obavezno kiliknite na Copy to clipboard da kopirate ključ u memoriju i zalijepite ga negdje jer će trebati u nastavku ovih uputa za podešavanje plugina.

    Podešavanje Azure AD

  8. Da bi plugin mogao prenositi korisnike u Azure AD, mora moći čitati podatke iz imenika i pisati podatke u imenik. Zato mu morate dati odgvarajuće dozvole. Kliknite na Api permissios, pa na Add permission

    Podešavanje Azure AD

  9. Odaberite Microsoft Graph

    Podešavanje Azure AD

  10. Kliknite na Application permissions.

    Podešavanje Azure AD

  11. Odaberite User, pa označite kao na slici dolje potrebne dozvole čitanja i pisanja u Azure AD i kliknite na Add permissions.

    Podešavanje Azure AD

  12. Nakon što ste dodali odgovarajuće dozvole, kliknite na Grant admin consent...

    Podešavanje Azure AD

  13. Za nastavak podešavanja plugina, potreban je application (client) ID. Kliknite na Overview, pa na ikonicu pored Client ID, kopirajte ga u memoriju i zalijepite u neku datoteku da ga iskoristite u nastavku uputa

    Podešavanje Azure AD

  14. Da bi vaša aplikacija (libo365connect-aosi-aai plugin) imala sve potrebne dozvole, potrebno ju je dodati u grupu administratora. Za tu operaciju na svom računalu pokrenite Windows Powershell konzolu, izvršite naredbu:

    PS C:\> connect-msolservice

    i prijavite se uporabom administratorskog korisničkog računa kojeg ste koristili i u prethodnom koraku (onog koji ste otvorili u prvom koraku i koji je oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com, dakle ne AAI@EduHr elektroničkim identitetom):
    Prijava u PowerShell sa administratorskim računom
  15. U ovom koraku ćete koristiti CLIENT ID koji ste prije nekoliko koraka kopirali. U prvu naredbu unutar jednostrukih navodnika iskopirajte svoj CLIENT ID i izvršite sljedeći niz naredbi:

    PS C:\> $ClientIdWebApp = 'OVDJE ISKOPIRAJTE SVOJ CLIENT ID'
    PS C:\> $webApp = Get-MsolServicePrincipal –AppPrincipalId $ClientIdWebApp
    PS C:\> Add-MsolRoleMember -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId
  16. Time ste završili podešavanje Azure AD za sinkronizaciju s vašim imenikom. Prije nego krenete instalirati plugin, još trebate biti sigurni da imate dovoljno licenci za dodjelu svojim korisnicima koje ćete iz LDAP imenika uvesti u Azure AD. Broj aktivnih licenci možete provjeriti tako da u web sučelju Office 365 usluge na adresi https://portal.office.com u izborniku s lijeve strane, odaberete podizbornik Naplata pa u njemu kliknete na Licence i pogledate koliko valjanih licenci kojeg tipa imate, te od njega oduzmite broj dodijeljenih licenci kako biste saznali koliko Vam je licenci ostalo za dodjelu.
    Plugin omogućava da se različite vrste licenci dodijele različitim vrstama korisnika ovisno o vrijednosti atributa hrEduPersonPrimaryAffiliation (primarna povezanost s ustanovom) zbog toga je važno provjeriti imate li dovoljno licenci za studente/djelatnike.
    Licence u Azure AD-u
    Isti podatak sa šifrom licence možete dobiti kroz Windows Powershell konzolu pokretanjem naredbe:

    PS C:\> get-msolaccountsku

    Na slici su istaknute šifre licenci potrebne za podešavanje plugina, a zaokružen je broj valjanih licenci analogno podatku koji je vidljiv kroz web sučelje.

    Šifre licenci

 

Instalacija i podešavanje libo365connect-aosi-aai plugina

AOSI plugin libo365connect-aosi-aai služi sinkronizaciji korisnika iz LDAP imenika ustanove u Azure AD. Detaljan opis plugina, svih njegovih funkcionalnosti i postavki možete pronaći na stranici s opisom plugina.
U procesu instalacije trebat ćete upisati CLIENT ID i KEY koji ste iskopirali u koracima 6. i 7. prethodnog poglavlja pa ih imajte spremne prije nego krenete u postupak instalacije.
Plugin ćete instalirati na svom Linux Debian poslužitelju (na poslužitelju morate imati root ovlasti) na kojem je instaliran vaš AOSI web servis naredbom:

# apt-get install libo365connect-aosi-aai

Prijenos postojećih korisnika u Azure AD

Ako plugin instalirate prvi put, potrebno je napraviti početnu sinkronizaciju korisnika iz LDAP imenika u Azure AD. Sinkronizacija se izvodi na način da pokrenete skriptu koja će napraviti eksport korisnika u .ldif datoteku, a sinkronizacijski mehanizam koji je dio plugina će u prvom sljedećem pokretanju (dakle, u sljedećih 10 minuta) korisnike iz .ldif datoteke upisati u Azure AD. Sinkronizacijski mehanizam ne trebate pokretati Vi, već se on pokreće automatski svakih 10 minuta.

Ako u Azure AD / Office 365 već postoje neki korisnici naša je preporuka izbrisati ih prije pokretanja sinkronizacije. Pri tom posebnu pažnju treba obratiti na podatke koje bi ti korisnici mogli imati u Office 365 sustavu. Korisnici koji postoje u Office 365 prije sinkronizacije se više neće moći prijaviti u Office 365 nakon što autentikaciju korisnika preuzme login servis sustava AAI@EduHr zato što im je immutableID već postavljen prilikom otvaranja korisničkog računa u Office 365, a da bi se korisnički račun u Office 365 povezao s e-identitetom vrijednost atributa immutableID u Office 365 treba biti jednaka vrijednosti atributa hrEduPersonPersistentID u imeniku.

Da biste eksportirali sadržaj imenika, na poslužitelju morate imati root ovlasti i pokrenuti naredbu:

# /usr/lib/aosi/Plugins/o365connectLdapExport.pl

Često postavljana pitanja

U log-u /var/log/aosi/o365connect/o365connectTransferToAzure.log mi se pojavljuju greške. U čemu je problem?

Ako Vam se u logu /var/log/aosi/o365connect/o365connectTransferToAzure.log pojavljuju greške:

Use of uninitialized value in string eq at /usr/lib/aosi/Plugins/o365connectTransferToAzure.pl line 149,
Use of uninitialized value in concatenation (.) or string at /usr/lib/aosi/Plugins/o365connectTransferToAzure.pl line 164

potrošili ste licence koje su u postavkama plugina podešene da se dodjeljuju korisnicima. U koraku 16 ovih uputa opisano je kako provjeriti broj dostupnih licenci.

Ako se u logu /var/log/aosi/o365connect/o365connectTransferToAzure.log pojavljuju greške:

Tue Sep 26 08:10:01 CEST 2017 : status:401 Unauthorized

Istekao je ključ koji ste generirali u koraku 6 ovih uputa. Potrebno je generirati novi ključ i upisati ga u konfiguracijsku datoteku plugina na stazi /etc/aosi/plugins/o365connect.conf u parametar ofc_clientSecret.

Ključ ćete izgenerirati na sljedeći način:

Prijavite se u Office 365 korisničkim računom koji ima administratorska prava. U sučelju kliknite na ikonicu u gornjem lijevom kutu, pa u izborniku odaberite Admin kao na slici dolje:

Generiranje ključa

Nakon toga u izborniku odaberite Show all, pa Identity kao na slici dolje

U sljedećem koraku iz izbornika odabertie Applications, pa App registrations, kliknete na All applications i odaberete AOSI o365 plugin (odnosno svoj plugin ovisno o nazivu plugina koji ste upisali prilkom uspostave veze)

Kliknite na Certificates & secrets i prikazat će Vam se svi do sad generirani ključevi za pligin. Među njima je i onaj istekli kojeg trenutno koristite. Odaberite New client secret

AOSI-o365 plugin

Upišite potrebne podatke - opis ključa, odaberite rok trajanja i kliknite na Add

Keys

Nakon što je novi ključ kreiran, jako je bitno da ključ u ovom koraku kopirate jer ga poslije nećete moći više vidjeti. Za kopiranje ključa kliknite na ikonicu Copy to clipboard kao na slici dolje. Taj ključ trebate upisati u konfiguracijsku datoteku plugina. Ako su vaši primarni servisi udomljeni na računalu Srca, to je ključ koji trebate dostaviti AAI@EduHr timu.

Ključ u konfiguracijskoj datoteci plugina

Zbog isteklog ključa ili nekog drugog razloga promjene koje su nastale u imeniku nisu prenesene u Azure AD. Postoji li način da se prepoznaju i prenesu promjene koje nisu prenesene?

Kao što piše u uputama za AOSI plugin za sinkronizaciju Azure AD i LDAP imenika promjene nastale u imeniku se u Azure AD prenose na sljedeći način: kad se dogodi neka promjena u imeniku koja je izvršena posredstvom AOSI web servisa, komponenta plugina sve promjene koje se na određenom setu atributa dogode u LDAP imeniku piše u .ldif datoteku na stazi /var/log/aosi/o365connect/o365connect_DOMENA.ldif. Druga komponenta plugina koja se pokreće iz crona sve promjene zapisane u ldif datoteci (/var/log/aosi/o365connect/o365connect_DOMENA.ldif) prenosi u Azure AD posredstvom Azure AD GRAPH API-a. 

Komponenta plugina koja promjene iz ldif datoteke prenosi u Azure AD kod pokretanja preimenuje datoteku u /var/log/aosi/o365connect/o365connect_DOMENA.ldif.timestamp, a nakon što uspješno prenese sve podatke, datoteku preimenuje u /var/log/aosi/o365connect/o365connect_DOMENA.ldif.timestamp.gz. Dakle, datoteke čiji je naziv oblika /var/log/aosi/o365connect/o365connect_DOMENA.ldif.timestamp.gz sadrže podatke koji su uspješno prenesene u Azure AD.

Datoteke čiji je naziv oblika /var/log/aosi/o365connect/o365connect_DOMENA.ldif.timestamp su one u kojima postoje promjene koje nisu prenesene u Azure AD. 

Ako želite te promjene prenijeti u Azure AD, potrebno je redom prema vremenu nastanka sve datoteke čiji je naziv oblika /var/log/aosi/o365connect/o365connect_DOMENA.ldif.timestamp konkatenirati u datoteku /var/log/aosi/o365connect/o365connect_DOMENA.ldif pa će komponenta plugina zadužena za prijenos podataka prilikom prvog sljedećeg pokretanja u Azure AD prenijeti sve promjene.

VAŽNO: da biste dobili točan naziv datiteka, riječ DOMENA u nazivu datoteke zamijenite domenom svoje ustanove.

Kako se korisnici prijavljuju u Office 365 svojim elektroničkim identitetom iz sustava AAI@EduHr?

Ako ste prošli kroz sve nabrojane korake, sada bi za vašu domenu trebala biti omogućena autentikacija na Office 365 putem sustava AAI@EduHr. Autentikacija se vrši na način da korisnik pristupi web stranici:

https://login.microsoftonline.com


na desnoj strani u gornje polje upiše svoju AAI@EduHr korisničku oznaku i mišem klikne na polje Password:

Omogućena autentikacija na Office 365



Aplikacija neće korisniku dozvoliti da unese zaporku, već će korisnikov web preglednik preusmjeriti na AAI@EduHr sustav jedinstvene autentikacije:

Preusmjeravanje na SSO



u kojem je potrebno unijeti AAI@EduHr korisničku oznaku i zaporku:

Login ekran sustava AAI@EduHr



I nakon ispješno provedene autentikacije putem sustava AAI@EduHr, uz uvjet da je korisnik registriran za korištenje Office 365 usluge, korisniku će biti omogućen pristup Office 365 portalu:

Početak rada sa sustavom Office 365

Je li moguće čitati e-mail desktop klijentom u slučaju kad se korisnici za pristup usluzi Office 365 autenticiraju putem sustava AAI@EduHr?

uz određene postavke, može se omogućiti čitanje maila iz Outlook 2016 aplikacije. Upute kako su dostupne na adresi:

https://social.technet.microsoft.com/wiki/contents/articles/36101.office-365-enable-modern-authentication.aspx

 

Kako rješiti problem s nemogućnošću pohrane lokalno uređenih dokmenata iz aplikacija koje su dio Office 365 ProPlus paketa u oblak (OneDrive)?

U radu s lokalno instaliranim Office 365 ProPlus aplikacijama uočen je problem da nije moguće pohraniti dokument uređen lokalno u bilo kojoj od aplikacija koje su dio Office 365 ProPlus paketa u cloud (OneDrive, SharePoint) ako se za prijavu koristi AAI@EduHr elektronički identitet.

Opisani problem odnosi se na Office 2013 aplikacije i trebao bi biti rješen objavom novoh Office paketa u siječnju 2016.
Do objave novog Office paketa, Microsoft preporučuje da uz pomoć uputa dostupnih na adresi:

https://support.office.com/en-us/article/Office-365-release-options-3B3ADFA4-1777-4FF0-B606-FB8732101F47

omogućite korištenje Office 365 First release opcije, koja će korisnicima na stranici za preuzimanje Office 365 ProPlus paketa omogućiti preuzimanje najnovije verzije aplikacija. Nakon što se First Release opcija omogući za domenu, korisnici moraju putem portala preuzeti najnoviju verziju Office 365 ProPlus paketa s kojom ne bi trebali imati problema prilikom prijave korištenjem AAI@EduHr elektroničkih identiteta.

 

Je li moguće uspostaviti vezu sustava AAI@EduHr i Office 365 ako koristim uslugu ugošćavanja AAI servisa na računalu hosting.aaiedu.hr?

Da, moguće je. Za uspostavu te veze potrebno je:

  • Proći sve korake iz ovih uputa osim koraka Instalacija i podešavanje libo365connect-aosi-aai plugina i Prijenos postojećih korisnika u Azure AD;
     
  • Zatražiti povezivanje sustava AAI@EduHr i Office 365 za svoju ustanovu e-mailom na adresu aai@srce.hr;
  • Za uspostavu usluge potrebno je pripremiti sljedeće podatke:
    • Client ID - iz koraka 6. ovih uputa
    • Key - iz koraka 13. ovih uputa
    • Kojim grupama korisnika prema vrijednosti atributa temeljna povezanost s ustanovom - hrEduPersonPrimaryAffiliation (cjeloživotno obrazovanje, djelatnik, gost, korisnik usluge, student, učenik, vanjski suradnik) će biti inicijalno dodijeljena koja licenca. Kako doznati koliko pojedinih licenci imate na raspolaganju opisano je u koraku 16. uputa.

U 3. koraku uputa, kod odabira opcije Azure AD sučelje traži ponovnu registraciju te unos broja kreditne kartice. Što dalje?

Opisani problem javlja se zato što Microsoft vašu ustanovu još uvijek nije prepoznao kao edukacijsku, odnosno onu koja ima pravo na besplatan pristup uslugama unutar Office 365 sustava. Ako ste u procesu registracije dobili upitnik o vašoj ustanovi, ispunite ga i pošaljite. Proces registracije ustanove kao edukacijske i dodjele prava na uslugu Office 365, te odgovarajućih licenci može potrajati do 5 dana. Nakon što taj proces završi, moći ćete pristupiti navedenoj opciji bez potrebe za unosom broja kreditne kartice.

 

Kako izvršiti zamjenu certifikata za provjeru SSO autentikacije?

Procedura zamjene certifikata opisana je ovdje.