EntraID/AzureAD Enterprise Application Integration (SSO/O365/SCIM/kalenderintegration)

Når du er logget ind på GoBright med den oprindelige administratorkonto, kan du trykke på de fire firkanter i øverste højre hjørne og vælge Admin Center.

Du skal gå til Integrationer og trykke på den blå knap Tilføj øverst til højre.

Her præsenteres du for et par muligheder, som du kan vælge afhængigt af det eksterne system, du har brug for at integrere med GoBright.

I dit tilfælde er det eksterne system nu Office 365, godkendelsestypen er Modern ved hjælp af MS SSO, og tilladelsestilstanden er Application Mode ved hjælp af en Enterprise Application.

Du kan allerede linke O365 Tenant, som vil give os en opfordring til at logge ind med en Microsoft-konto.

Til dette skal du bruge en global administratorkonto for Azure/Entra ID.

Når du er logget ind, udløses en anden prompt, der anmoder om tilladelser.

Tilladelserne er til GoBright SSO-applikationen, som giver brugerne mulighed for at godkende og logge ind ved hjælp af deres O365-konti.

Når den er accepteret, oprettes Enterprise-applikationen, og du kommer tilbage til GoBright med lejerstatussen Linked.

Når du kommer tilbage til O365-integrationen i GoBright , kan du se, at SSO Tenant Link er linket, men der vises også to andre integrationer, som ikke er linket.

Hvis du bruger lokalebookingfunktionen i GoBright, skal du linke til Kalender- og Teams-integrationen, da dette vil give dig mulighed for at integrere lokalekalenderne med GoBright og automatisk oprette Teams-mødelinks, når du foretager en lokalebooking via GoBright .

Dobbelttjek og sørg for, at de rumpostkasser, du forsøger at integrere, ikke er skjult i den globale adresseliste på Exchange. Dette kan forårsage valideringsfejl, at objekt-ID'erne ikke er tilgængelige i det eksterne system.

Når du trykker på linket, udløses en prompt, der anmoder om tilladelser til at oprette GoBright Calendar Application Mode-applikationen.

VIGTIG BEMÆRKNING: Standardmetoden er at bruge fuld integration. Hvis du vil bruge begrænset integration og begrænse dette til specifikke kalendere eller kun ressourcekalendere, skal du bruge "begrænsningspolitikken" som beskrevet i trin 4 nedenfor.

Når den er accepteret, oprettes virksomhedsapplikationen, og GoBright kan kommunikere med rumkalenderne.

At oprette forbindelse til Office 365 med PowerShell er den nemmeste måde at udføre flere konfigurationskommandoer på.

For at oprette forbindelse til Office 365 med MFA-understøttelse leverer Microsoft EXO V3-modulet, der udgives via PowerShell-galleriet, og som kan installeres med følgende trin:

1. Start PowerShell som administrator
   

   GoBright gennemtvinger kommunikation ved hjælp af TLS 1.2. Afhængigt af det system, du bruger, sker det måske ikke automatisk. Se koden nedenfor, og implementer den i alle PowerShell-scripts, der kommunikerer med GoBright.

   Tilføj også $ErrorActionPreference for at sikre, at det stopper scriptet, når der opstår en fejl. Glem ikke at tilføje nedenstående linjer i hvert af dine scripts.

   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 
   $ErrorActionPreference = "Stop"

2. Installer PowerShell-galleriets PowerShell-modul:
   • Udfør følgende kommandoer i PowerShell (kør som administrator)
   • Installer NuGet PackageProvider:
     

     Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

   • Konfigurer PowerShellGallery som en pålidelig kilde:
     

     Set-PSRepository -Name PSGallery -InstallationPolicy Trusted

   • Installer PowerShellGet-modulet:
     

     Import-Module -Name PowerShellGet

3. Installer EXO V3-modulet (ExchangeOnlineManagement):
   

   Install-Module -Name ExchangeOnlineManagement -Force

   Kommandoen '-Force' sørger for, at den nyeste version af modulet bliver installeret, selv om der findes en tidligere installation.

4. Luk PowerShell-sessionen
5. Start en ny PowerShell-session

Nu kan vi bruge det installerede EXO V3-modul til at oprette forbindelse til Office 365:

6. Start PowerShell som administrator (sørg for, at det er en ny PowerShell-session)
   
7. Begynd at oprette forbindelse ved at logge ind, og brug en konto med de nødvendige tilladelser til at administrere dit Office 365-miljø:
   

   Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true

8. Når du er logget ind, er vi klar til at fortsætte med den videre konfiguration!

Med nedenstående trin kan du oprette rum i dit Office 365-miljø. Dette vil udgive rummene i Office 365 og give en kalender til hvert rum.

Hvis du allerede har rumkalendere i dit Office 365-miljø, kan du gå videre til næste trin, men sørg for at have rummenes e-mailadresser, for dem skal du bruge senere.

Udfør følgende kommandoer via PowerShell-sessionen.

Udfør følgende kommando, skift MicrosoftOnlineServicesID til den ønskede e-mailadresse for rummet, og angiv et korrekt navn, visningsnavn og adgangskode for dette rum:

New-Mailbox -EnableRoomMailboxAccount $true -Room -MicrosoftOnlineServicesID [email protected] -Name Room1 -DisplayName 'Room 1' -RoomMailboxPassword (ConvertTo-SecureString -String YourPasswordHere -AsPlainText -Force)

Hvis det er nødvendigt, kan du indstille den organisatoriske enhed via parameteren -OrganizationalUnit. Kommandoeksemplet ovenfor antager standardorganisationsenheden.

Udfør denne kommando for hvert rum, du gerne vil oprette.

Nu skal brugernes adgang til rumpostkasserne konfigureres.

Udfør følgende kommandoer via PowerShell-sessionen.

Med følgende kommando sætter du standardadgangen for hver rumpostkasse til 'read only, with limited details', det er normalt bedst, så brugerne ikke kan ændre direkte i rumpostkassen. Ændr værdien af Identity til rummets e-mailadresse.

Set-MailboxFolderPermission -Identity [email protected]:Calendar -User Default -AccessRights LimitedDetails

Bemærk: Mappenavnet 'Calendar' afhænger af kulturindstillingerne for rummets postkasse, så 'Calendar' kan også være en oversat værdi som 'Agenda'. Kommandoen fejler med en fejlmeddelelse, hvis du bruger det forkerte mappenavn.

Udfør følgende kommando for at få mappenavnet (f.eks. når kommandoen ovenfor mislykkes):

Get-MailboxFolderStatistics -Identity [email protected] | Where-Object {$_.FolderType -eq "Calendar"} | Select Name,FolderType,Identity

Standardadfærden for en rumpostkasse ændrer emnet for aftalen og fjerner det private flag, hvis det er sat. Med følgende kommando konfigureres rumpostkassen til automatisk at behandle (acceptere/afvise) mødeanmodninger og bevare mødedataene.

Udfør følgende kommando via PowerShell-sessionen.

Konfigurer opførslen for rummets postkasse, og skift Identitetsparameteren til e-mailadressen til rummets e-mailadresse:

Set-CalendarProcessing -Identity [email protected] -AutomateProcessing AutoAccept -DeleteSubject $False -DeleteComments $False -AddOrganizerToSubject $False -RemovePrivateProperty $False

Udfør denne kommando for hver rumpostkasse.

Når det er nødvendigt, kan du ændre denne best-practice for at få en anden adfærd. Følgende parametre er de vigtigste:

• Automatiser behandling: AutoAccept vil få rumpostkassen til at behandle møder automatisk (acceptere/afvise). Det er også muligt at gøre dette manuelt via værdien 'None'(mere info), men det betyder også, at du skal behandle aflysninger manuelt.
• Slet emne: Ved at beholde det oprindelige emne kan vi vise emnet i portalen, appen og på skærme. Dette er muligt via værdien $False. Hvis du bruger værdien $True, vil emnet blive slettet af rummets postkasse.
• SletKommentarer: Når DeleteComments er sat til $True, vil indholdet af kommentaren i dit kalenderelement ikke blive skubbet til GoBright og -appen. Hvis den er sat til $False, vil alt indhold i din kommentar blive sendt til GoBright og -appen. Husk, at kun de første 500 tegn vil blive vist på grund af en begrænsning fra Microsoft.
• Tilføj arrangør til emne: Værelsespostkassen kan tilføje navnet på arrangøren til emnet, men det kan blive forvirrende. Ved at bruge værdien $False deaktiveres dette.
• FjernPrivatEgenskab: Rumpostkassen fjerner den private egenskab fra det indgående møde. Ved at bruge værdien $False beholder mødet sit private flag.

Som standard er den oprettede 'Calendar Integration Enterprise Application' i stand til at udføre fuld integration, hvilket maksimerer værdien for brugeren.

Hvis du vil begrænse integrationen til specifikke kalendere (rum), kan det gøres med en Application Access Policy.

Bemærk: Dette gælder kun, når bookingen foretages fra GoBright . Hvis du booker et lokale fra Outlook ved hjælp af Outlook Add-In, vil der ikke være nogen begrænsning, og brugeren vil være arrangør.

Politik for begrænsning af applikationsadgang

Adgangspolitikken for applikationsbegrænsninger påvirker også, hvordan værelsesbookinger oprettes via GoBright :

• Når ubegrænset / fuld integration - brugeren er arrangør af mødet.
• When Restricted / Restricted Integration - Room er arrangør af mødet.

Når politikken Restricted anvendes på rummene, vil den person, der oprettede mødet, ikke være arrangør og kan ikke se ændringer til mødet direkte i sin indbakke, i stedet vil alle ændringer gå til rummets indbakke, da rummet vil være arrangør af mødet, og personen vil kun være en deltager.

For at oprette politikken skal vi oprette en gruppe, der indeholder alle de rum, vi vil begrænse applikationen til, og derefter anvende politikken på den gruppe.

Til dette bruger vi PowerShell som et universelt sprog, og det er hurtigere og enklere end at forklare det via Exchange Online Admin Panel.

Skridt, der skal følges for at anvende politikken:

Start med at oprette forbindelse til Exchange Online PowerShell:

1. Start PowerShell som administrator

2. Connect-ExchangeOnline -ShowProgress $true -UserPrincipalName [email protected]

Først skal du angive de e-mailadresser, der skal bruges i begrænsningen eller udelukkelsen.
Dette skal være en 'mail-aktiveret sikkerhedsgruppe' i Exchange, som vi opretter i de næste trin.
trin:

1. Opret først den 'mail-aktiverede sikkerhedsgruppe':
   

   New-DistributionGroup -Type Security -Name "GoBright Accesslist" -PrimarySmtpAddress [email protected]

2. Tilføj derefter medlemmer på følgende måde:
   

   Add-DistributionGroupMember -Identity [email protected] -Member [email protected]

3. Og du kan tjekke listen over medlemmer som følger:
   

   Get-DistributionGroupMember -Identity [email protected]

4. Mere dokumentation her: https://learn.microsoft.com/enus/exchange/recipients/mail-enabled-security-groups?view=exchserver-2019
5. Du kan også oprette og administrere den fra Exchange Admin Center

Nu kan du forbinde den 'mail-aktiverede sikkerhedsgruppe' til at fungere som en begrænsning:

1. New-ApplicationAccessPolicy -AppId 15a00ef4-864a-4704-a9c9-ed5f5cef70e6 -PolicyScopeGroupId [email protected] -AccessRight RestrictAccess -Description "Restrict the GoBright platform access to members of [email protected]."

2. Nu kan du teste adgangen til en bestemt kalender med denne kommando:
   

   Test-ApplicationAccessPolicy -Identity [email protected] -AppId 15a00ef4-864a-4704-a9c9-ed5f5cef70e6

Vigtige bemærkninger:

• Testkommandoen vil virke direkte, men de reelle adgangsbegrænsninger kan tage op til 90 minutter, men nogle gange 24-48 timer, før de bliver aktive.
• ApplicationAccessPolicy slettes ikke automatisk, hvis du sletter
  Enterprise Application.

At slette en ApplicationAccessPolicy fungerer på denne måde:

1. Vis en liste over ApplicationAccessPolicies for GoBright:
   

   Get-ApplicationAccessPolicy | Where { $_.AppId -eq "15a00ef4-864a-4704-a9c9-ed5f5cef70e6" } | Format-List

2. Kopier 'Identity' (en meget lang streng) for den ApplicationAccessPolicy, du vil slette
3. Udfør det derefter:
   

   Remove-ApplicationAccessPolicy -Identity "xxxxxxxxxxxxxxxxx"

Følg trinnene i denne artikel for at fortsætte.

SCIM er et kraftfuldt værktøj, der kan forsyne tildelte brugere til GoBright med en dedikeret rolle samt administrere, deaktivere og slette dem.

Azure AD/Active Directory-synkroniseringen er i stand til automatisk at oprette, opdatere og deaktivere brugere fra Azure AD eller Active Directory.