Referanser

Sette opp Azure OAuth-applikasjon

I denne delen gir vi en veiledning og referanse for hvordan du setter opp en Azure OAuth-applikasjon for QMPlus.

Azure-oppsett

Før vi begynner, må du ha en Azure-konto. Hvis du ikke har en konto, kan du opprette en gratis på Azure-nettstedet.

Logg inn i Azure-portalen

Gå til Azure-portalen på https://portal.azure.com og logg inn med Azure-kontoen din.

Gå til Azure Active Directory

Når du er logget inn, finner du Azure Active Directory-tjenesten i menyen til venstre. Klikk på den for å åpne Azure Active Directory-dashbordet.

Registrer en ny applikasjon

I Azure Active Directory-dashbordet finner du lenken “App registrations” under Manage og klikker på den. Klikk deretter på knappen “New registration” øverst på siden.

Fyll inn navnet på applikasjonen. Dette bør være et navn som gjør det lett å identifisere applikasjonen og formålet med den.
For alternativet “Supported account types” velger du hvem som kan bruke applikasjonen. Dette kan være kontoer bare i denne organisasjonskatalogen (single tenant), kontoer i alle organisasjonskataloger (multi-tenant), eller kontoer i alle organisasjonskataloger og personlige Microsoft-kontoer.
For alternativet “Redirect URI” skriver du inn URL-en brukere skal sendes tilbake til etter at de er autentisert med Microsoft. Bruk følgende URL:

https://qmplus.app/api/authentication/oauth/reply

Klikk på “Register” for å opprette applikasjonen.

Hent Application (client) ID og Directory (tenant) ID

Etter at appen er registrert, sendes du til applikasjonsdashbordet. Her finner du Application (client) ID og Directory (tenant) ID. Disse brukes av applikasjonen for å starte OAuth 2.0-flyten. Oppbevar dem trygt.

Hent Authorization- og Token-endepunktene

Klikk på lenken Endpoints for å åpne listen over OAuth-endepunkter, og kopier de understrekede Authorization- og Token-endepunktene. De brukes til å konfigurere OAuth-innstillingene i QMPlus.

Opprett en client secret

I menyen til venstre i applikasjonsdashbordet finner du lenken “Certificates & secrets” og klikker på den. Klikk deretter på knappen “New client secret”.

Legg til en beskrivelse for hemmeligheten.
Velg hvor lenge hemmeligheten skal være gyldig.

Klikk på “Add”. Når hemmeligheten er opprettet, må du kopiere verdien og oppbevare den trygt. Du får ikke se verdien igjen.

Sett opp API-tillatelser

Nødvendige scopes for OAuth-autentisering

I menyen til venstre i applikasjonsdashbordet finner du lenken “API permissions” og klikker på den. Her kan du sette opp tillatelser for Microsoft Graph eller andre API-er applikasjonen må ha tilgang til.

Klikk på “Add a permission” for å legge til nye tillatelser. Følg veiledningen for å legge til nødvendige tillatelser for applikasjonen.

Konfigurer API-claims

Du kan legge til ekstra claims i tokenet som returneres av OAuth til QMPlus. Det gjør at du for eksempel kan bruke upn til å matche mot feltet username eller email i QMPlus.

Konfigurer reply URLs

I menyen til venstre i applikasjonsdashbordet finner du lenken “Authentication” og klikker på den. Under “Platform configurations” klikker du på “Add a platform” og oppgir redirect-URI-ene applikasjonen skal bruke etter at OAuth-prosessen er fullført.

Valgfritt: Aktiver ID tokens

Hvis du planlegger å autentisere brukere med OpenID Connect, finner du delen “Implicit grant and hybrid flows” under “Authentication”. Kryss av for “ID tokens”.

Nå har du en Azure AD-applikasjon som er konfigurert for OAuth 2.0. Du kan bruke client ID, tenant ID og client secret fra denne prosessen til å starte OAuth 2.0-flyten fra applikasjonen. Sørg for å følge OAuth 2.0 authorization code flow i applikasjonen for å hente access tokens.

QMPlus-oppsett

OAuth SSO må være aktivert for kontoen din før du kan gå videre med oppsettet. Kontakt salg på post at qmplus.com for informasjon om pris og tilgjengelighet for avtalen din.

Gå til innstillinger

Klikk på Admin i menyen til venstre, og klikk deretter på Preferences for å åpne listen over tilgjengelige plattforminnstillinger. Klikk til slutt på Integrations for å åpne listen over tilgjengelige integrasjoner som er konfigurert for plattformen.

Når du klikker på OAuth-boksen, åpnes konfigurasjonsinnstillingene for QMPlus.

Konfigurer OAuth-innstillinger

Fyll inn detaljer for OAuth-autentisering

Følgende felt kan konfigureres for en OAuth-integrasjon.

Alternativ	Verdier	Beskrivelse
`OAuth provider`	MICROSOFT	Velg OAuth-leverandøren som skal brukes for SSO.
`Authorization endpoint`		Authorization code flow starter med at klienten sender brukeren til /authorize-endepunktet.
`Token endpoint`		/oauth/token-endepunktet brukes av applikasjonen for å hente et access token eller refresh token. Det brukes av alle flyter bortsett fra Implicit Flow, der access token utstedes direkte.
`Duration`		Standard levetid for opprettet token.
`ClientId`		OAuth Client Id.
`TenantId`		OAuth Tenant Id.
`Client Secret`		OAuth Client Secret.
`Scopes`		OAuth-scopes som brukes ved autorisering av OAuth-flyten.
`Principal Resolver`	MICROSOFT_GRAPH	Hvilken resolver som skal brukes for å hente brukerinformasjon etter en autentiseringsflyt.
`Claim Field`		Valgfritt felt. Angi navnet på claim-feltet du vil bruke til å identifisere brukeren ved matching mot brukerne i QMPlus.
`Principle Field`		Hvilket felt fra principal resolver som skal brukes til å matche QMPlus-brukere. Eksempel: userPrincipalName, https://learn.microsoft.com/en-us/graph/api/user-get?view=graph-rest-1.0&tabs=http
`Application Principle Field`	USERNAME, EMAIL	Hvilket brukerfelt i QMPlus som skal brukes for å matche OAuth-brukeren. Vi kan bruke brukernavnet eller e-postadressen.

For Scopes må du passe på å legge inn scopet User.Read, med mindre du har egendefinerte scopes. Egendefinerte scopes dekkes ikke i denne veiledningen.