Registrace aplikace iFIS-ePodatelna na platformě Microsoft identity: Porovnání verzí
Vytvoření značka: editace z Vizuálního editoru |
Bez shrnutí editace |
||
| Řádek 67: | Řádek 67: | ||
Nyní je potřeba ještě udělit souhlas správce pro váš tenant. | Nyní je potřeba ještě udělit souhlas správce pro váš tenant. | ||
[[Soubor:E-pod azure6.png]] | [[Soubor:E-pod azure6.png|604x604pixelů]] | ||
== '''Delegujte oprávnění ke schránce''' == | == '''Delegujte oprávnění ke schránce''' == | ||
Aktuální verze z 19. 12. 2025, 15:41
Předpoklady
- Účet Azure, který má aktivní předplatné.
- Účet Azure musí mít oprávnění ke správě aplikací v Azure Active Directory (Azure AD). Kterákoli z následujících rolí Azure AD zahrnuje požadovaná oprávnění:
- Správce aplikace
- Vývojář aplikací
- Správce cloudových aplikací
Zaregistrujte aplikaci
- Přihlaste se k Azure Portal.
- Pokud máte přístup k více tenantům, pomocí filtru Adresáře + odběry v horním menu se přepněte na tenanta, do kterého chcete aplikaci zaregistrovat.
- Vyhledejte a vyberte Azure Active Directory .
- V části Spravovat vyberte Registrace aplikací > Nová registrace .
- Zadejte zobrazovaný název iFIS-ePodatelna. Zobrazovaný název můžete kdykoli změnit a stejný název může sdílet několik registrací aplikací. Automaticky vygenerované ID aplikace (klienta) jednoznačně identifikuje aplikaci v rámci Azure AD, nikoli její zobrazovaný název.
- U volby, kdo může používat aplikaci, nastavte volbu Účty pouze v tomto organizačním adresáři.
- Do pole URI přesměrování nic nezadávejte (volitelné).
- Vyberte Registrovat pro dokončení úvodní registrace aplikace.
Po dokončení registrace Azure Portal zobrazí podokno Přehled registrace aplikace s ID aplikace (klienta). Tuto hodnotu si poznamenejte, bude jí potřebovat aplikace ePodatelny pro připojení. Pro jistotu připojte i ID adresáře (tenanta).
Přidejte přihlašovací údaje aplikace
iFIS-ePodatelna je aplikace typu démon běžící na aplikačním serveru a v jejím případě použijeme přihlašovací údaje umožňující aplikaci autentizovat se jako sama sebe, aniž by za běhu vyžadovala interakci od uživatele.
K registraci důvěrné klientské aplikace použijeme tajný kód klienta (řetězec) jako přihlašovací údaj.
Tajný kód klienta
Tajemství klienta, které se někdy nazývá heslo aplikace , je řetězcová hodnota, kterou aplikace používá k identifikaci.
- V části Správa vyberte Certifikáty a tajné kódy > Tajné kódy klienta > Nový tajný kód klienta.
- Přidejte popis tajného klíče klienta, např. Klíč 1.
- Vyberte vypršení platnosti tajného klíče nebo zadejte vlastní životnost, doporučujeme 24 měsíců.
- Vyberte Přidat.
- Zaznamenejte hodnotu tajného kódu, bude jí potřebovat aplikace ePodatelny pro připojení.
|
Pozor |
| Tato tajná hodnota se po opuštění této stránky již nikdy nezobrazí. |
|
Poznámka |
| Microsoft doporučuje dobu platnosti klíče menší než 12 měsíců, nicméně ePodatelna platnosti klíče nekontroluje, ani nemůže, a po skončení platnosti klíče přestane fungovat. Proto musí exspiraci klíče hlídat administrátor, který včas zajistí vygenerování nového klíče a jeho nastavení v aplikaci. |
Nastavte Oprávnění rozhraní API
iFIS-ePodatelna potřebuje přistupovat k rozhraní IMAP aplikace Office 365 Exchange Online, takže je potřeba nastavit příslušná oprávnění k API.
Stejná oprávnění je třeba definovat také pro protokol SMTP, pokud bude ePodatelna odesílat odpovědi na e-maily prostřednictvím Office 365 Exchange Online, a nikoliv přes lokální poštovní server.
|
|
Poznámka |
| POZN.: Pokud Azure AD přiřadil zaregistrované aplikaci ePodatelny nějaká výchozí oprávnění k jiným API, tak je předem odeberte. |
V části Správa vyberte Oprávnění rozhraní API > Přidat oprávnění > Rozhraní API, která používá moje organizace.
Do dotazovacího pole napište Office 365 a vyberte položku Office 365 Exchange Online.
Zvolte typ oprávnění Oprávnění aplikace a zaškrtněte volby u oprávnění:
IMAP
IMAP.AccessAsApp
Mail.ReadWrite
Mail.Send
SMTP
SMTP.SendAsApp
Vyberte Přidat oprávnění.
Nyní je potřeba ještě udělit souhlas správce pro váš tenant.
Delegujte oprávnění ke schránce
Bohužel tuto část oprávnění nelze nastavit v prostředí administrace Office 365 Exchange a je nutné jí provést prostřednictvím Exchange Online PowerShell. Lze provést i vzdáleně z PowerShell na PC.
Předpoklady
Nejprve si zjistěte potřebná ID z portálu Azure AD, pro:
- APPLICATION_ID: Registrace aplikací > iFIS-ePodatelna > Základní údaje > ID aplikace (klienta)
- ORGANIZATION_ID: Registrace aplikací > iFIS-ePodatelna > Základní údaje > ID adresáře (tenanta)
- OBJECT_ID: Podnikové aplikace > iFIS-ePodatelna > ID objektu
|
|
Pozor |
| OBJECT_ID je ID objektu ze stránky Přehled uzlu Enterprise Application (Podnikové aplikace) pro aplikaci ePodatelny. Není to ID objektu z Přehledu uzlu Registrace aplikací. Použití nesprávného ID objektu způsobí nefunkčnost ověřování a přístupu do schánky. |
Pro použití Cmdlet New-ServicePrincipal, nejprve nainstalujte ExchangeOnlineManagement a připojte se ke svému tenantovi, jak je znázorněno v následujícím příkladu:
Install-Module -Name ExchangeOnlineManagement -allowprerelease
Import-module ExchangeOnlineManagement
Connect-ExchangeOnline -Organization <ORGANIZATION_ID>
Pokud se při spuštění Cmdlet New-ServicePrincipal stále zobrazuje chyba i po provedení těchto kroků, je to pravděpodobné, že uživatel nemá dostatečná oprávnění na serveru Exchange Online k provedení operace. Registrace aplikace ePodatelny jako služby Azure AD do Exchange:
New-ServicePrincipal -AppId <APPLICATION_ID> -ServiceId <OBJECT_ID> -DisplayName ePodatelna [-Organization <ORGANIZATION_ID>]
Identifikátor SERVICE_PRINCIPAL_ID = ID registrované služby můžete získat pomocí Get-ServicePrincipal:
Get-ServicePrincipal [-Organization <ORGANIZATION_ID>] | Select-Object -Property DisplayName,AppId,Id | fl
Nyní přidáme oprávnění ke konkrétní poštovní schránce, kterou je implementována funkce ePodatelny:
Add-MailboxPermission -Identity "epodatelna@your_domain.cz" -User <SERVICE_PRINCIPAL_ID> -AccessRights FullAccess
Povolte SMTP AUTH ke schránce ePodatelny
Aby bylo možné odesílat zprávy z poštovní schránky ePodatelny, je nutné povolení SMTP AUTH v prostředí Microsoft 365 admin center.
Postupujte takto:
- Otevřete Centrum pro správu Microsoft 365 a přejděte do části Uživatelé > Aktivní uživatelé .
- Vyhledejte a vyberte uživatele ePodatelny v nabídce a klikněte na Pošta.
- V části E-mailové aplikace klikněte na Spravovat e-mailové aplikace.
- Zaškrtněte v nastavení SMTP s ověřením.
- Až budete hotovi, klikněte na Uložit změny.
Set-CASMailbox -Identity "epodatelna@your_domain.cz" -SmtpClientAuthenticationDisabled $false
Otestování přístupu
Otestování je možné provést pomocí PowerShell skriptu, viz Testování IMAP OAuth pomocí skriptu powershell.
Předem nainstalujte knihovny MSAL.PS, PowerShell se musí spustit jako správce:
Set-ExecutionPolicy RemoteSigned
Install-Module -Name MSAL.PS
Pomocí výše uvedeného odkazu GitHubu stáhněte soubor Get-IMAPAccessToken.ps1, který obsahuje testovací skript, ten umístěte do pracovního adresáře. Nezapomeňte odblokovat zabezpečení proti spuštění ve vlastnostech souboru. Pak můžete provést test podle následujícího příkladu:
Get-IMAPAccessToken.ps1 -tenantID "your_domain.cz" -clientId <APPLICATION_ID> -clientsecret "<tajný_kód_klienta>" -targetMailbox "epodatelna@your_domain.cz"
Pokud je vše v pořádku, skript provede autentizaci pomocí OAuth a vypíše seznam došlé pošty do ePodatelny. Je možné, že bude přechodně hlásit chybu, že nemá přístup ke schránce, pak vyčkejte cca 10 minut, než se vše promítne v Azure AD a Exchange Online.
Předání informací pro nastavení ePodatelny
Pro potřeby nastavení aplikace ePodatelny potřebujeme následující informace:
- APPLICATION_ID: Registrace aplikací > iFIS-ePodatelna > Základní údaje > ID aplikace (klienta)
- ORGANIZATION_ID: Registrace aplikací > iFIS-ePodatelna > Základní údaje > ID adresáře (tenanta)
- Tajný kód klienta: Registrace aplikací > Certifikáty a tajné kódy > Tajné kódy klienta > Nový tajný kód klienta
- Identifikaci tenenta: textový řetězec, který obvykle odpovídá vaší doméně.
- Cílový mailbox: adresa mail schránky vaší ePodatelny.
