Microsoft Entra ID nastavení (Azure Active Directory)

> Manuály a návody > Dokumentace Aktion NEXT

Konfigurace SW AktionNEXT a Microsoft Entra (dříve Azure Active Directory) pro jednotné přihlašování SSO (revize 5/2025)


Ujistěte se, že máte k dispozici účet Microsoft Entra (AzureAD), ke kterému se můžete přihlásit.

  1. Přihlaste se k účtu v roli administrátora (https://entra.microsoft.com/)
  2. Vytvoření nové aplikace v Microsoft Entra
    1. Vyhledejte a vyberte službu Identity.
    2. Přejděte do nabídky Applications – App registration (Registrace aplikací) – Nová registrace (New registration). Otevře se obrazovka Register an application (Zaregistrovat aplikaci).
    3. V poli Name (Název) zadejte název aplikace AktionNEXT (dále v textu jen Entra aplikace Aktion).
    4. Vyberte podporované typy účtu, typicky Account in this organizational directory only – Single tenant (Jen účty v tomto adresáři – jeden tenant), pokud máte uživatele z různých tenantů pak vyberte druhou možnost Account in any organizational directory – Multitenant (Účty v libovolném adresáři organizace – více tenantů).
    5. Aplikaci uložte Register (Zaregistrovat).
    6. Otevřete detail Entra aplikace Aktion v App registrations – All Applications (Registrace aplikací – Všechny aplikace), vyberte aplikaci a přejděte do Authentication (Ověřování).
    7. Přidejte platformy Add platform (Přidat platformu) 
      1. Pro ověřování v desktopové (Windows) aplikaci AktionNEXT a v Mobilní aplikaci Aktion zvolte Mobile and Desktop applications (Mobilní a desktopové aplikace). Zde vyberte první Redirect URIs (Identifikátory URI pro přesměrování) (https://login.microsoftonline.com/common/oauth2/nativeclient) pro desktopovou aplikaci a dále do Custom redirect URIs (Vlastní identifikátory URI) zadejte přesně tuto http://localhost:51102/oauth adresu pro mobilní aplikaci. Nakonec uložte pomocí Configure (Konfigurovat).
      2. Pro ověřování ve webové aplikaci AktionNEXT přidejte platformu Web a do Redirect URIs (Identifikátory URI pro přesměrování) zadejte adresu vašeho AktionNEXT webu ve formátu https://dochazka.firma.cz/AktionNEXT/AzureADLogin/ a zaškrtněte Access tokens (used for implicit flows) a také ID tokens (used for implicit and hybrid flows). Nakonec uložte pomocí Configure (Konfigurovat).
      3. Pro ověřování ve webové aplikaci eNEXT přidejte platformu Single-page application (Jednostránková aplikace) a do Redirect URIs (Identifikátory URI pro přesměrování) zadejte adresu vašeho AktionNEXT webu ve formátu https://dochazka.firma.cz/eNext/auth/jwt/login. Nakonec uložte pomocí Configure (Konfigurovat).
      4. Všechny přidané platformy by měly vypadat takto:
    8. Dále nastavte oprávnění. Přejděte do sekce API permissions (Oprávnění rozhraní API) a zvolte Add permission (Přidat oprávnění). Otevře se obrazovka Request API permissions (Požádat o oprávnění rozhraní API). 
      1. Klikněte na možnost Microsoft Graph a jako typ oprávnění pro vaši aplikaci vyberte možnost Application permissions (Oprávnění aplikace).
      2. V části Select permissions (Vybrat oprávnění) vyhledejte Directory – Directory.Read.All a vyberte ho.
      3. Dále vyhledejte User – User.Read.All a také ho vyberte
      4. Potvrďte pomocí Add permissions (Přidat oprávnění)
    9. Přidaná oprávnění schvalte nebo nechte schválit pomocí Grant admin consent (Udělit souhlas správce) 
  3. Konfigurace SW AktionNEXT
    1. Z nastavení Entra aplikace Aktion zjistíme Directory (tenant ID (ID adresáře (tenanta)) a Application (client) ID (ID aplikace (tenanta)). 
    2. V desktopové aplikaci AktionNEXT přejděte do Konfigurace aplikace, na záložku Konfigurace systému, podzáložka Parametry přihlašování podle Azure Active Directory.
    3. Zde vyplňte Directory (tenant) ID a Application (client) ID dle údajů zjištěných v předešlém kroku. 
    4. Client secret ID nevyplňujte.
    5. Autorize URI vyplňte v případě že jste Entra aplikaci Aktion nastavili jako Single tenant (viz bod 2d.), tak https://login.microsoftonline.com/directory_tenant_id bez lomítka na konci, kde directory_tenant_id je stejný kód jako v Directory (tenant) ID. V případě Multitenant Entra aplikace Aktion vyplňte https://login.microsoftonline.com/common.
    6. Redirect aplikace URI je adresa přesměrování pro desktopovou aplikaci a bude https://login.microsoftonline.com/common/oauth2/nativeclient (viz bod 2gI.).
    7. Redirect Web Uri zadejte adresu vašeho AktionNEXT webu ve formátu https://dochazka.firma.cz/AktionNEXT/AzureADLogin/ (viz bod 2gII.), pro eNext webovou aplikaci zadejte https://dochazka.firma.cz/eNext/auth/jwt/login (viz bod 2gIII.).
    8. Redirect mobile app je předvyplněno na http://localhost:51102/oauth (viz bod 2gI.).
    9. Doménový atribut identifikující uživatele vyberte atribut z MS Entra, který je znám na straně MS Entra i v Aktion NEXT, typicky unique_name nebo email.
    10. Atribut identifikující osobu vyberte atribut z Aktion NEXTu, pomocí kterého napárujete uživatele z MS Entra, typicky Email (Agenda Osoby, doplňující údaje, E-mail).
    11. Nakonec je potřeba povolit způsob přihlášení pomocí Azure Active Directory pro Windows (desktopovou) aplikaci, pro mobilní aplikaci a pro webovou aplikaci. V Konfiguraci aplikace, záložka Konfigurace systému, podzáložka Přihlášení do Windows aplikace a Přihlášení do mobilní aplikace, nebo Konfigurace aplikace, záložka Konfigurace systému, podzáložka Konfigurace webové aplikace
  4. Podmínky pro fungování
    1. Přihlašující se klienti musí mít přístup na internet na servery Microsoft Entra ID.
    2. Aplikační server Aktion NEXT a webový server aplikace Aktion NEXT (eNext) musí mít přístup na internet na servery Microsoft Entra ID, protože ověřují vystavené přihlašovací tokeny.
    3. Webová aplikace Aktion NEXT musí běžet na HTTPS protokolu (platný certifikát), a to i v případě lokálního provozu.
    4. Osoby v Aktion NEXTu musí mít vyplněný e-mail nebo jiný atribut pro identifikaci (viz bod 3j), aby bylo možné osobu do systému přihlásit.
Dokumentace Aktion NEXT