LPS:IdM/midPoint/Office365
Info
Microsoft Office365 - cloudová aplikace. Identity jsou spravované přes Graph API.
Není nasazeno do produkce. Akuálně udržováno vehementem od Microsoftu (zdrojem dat jsou stará LDAPy, pouští se několikrát denně).
Konektor:
- git repozitář: connector-msgraph
- drobné patche na závislosti
- hlavní změny mergované v upstramu (optimalizace, opravy, podpora licencí)
Resource: Office365
Přes Graph API nelze spravovat emaily. Nastavování přesměrování ve skriptech mimo režii IdM.
Model
Osoby
Zaměstnanci, studenti, rozšířená hostovská konta (je vyžadováno CRO ID).
Primární klíče:
- __NAME__ - LOGIN@DOMAIN
- onPremisesImmutableId - CRO ID (nikdy se nesmí měnit)
- userPrincipalName - LOGIN
Postup přidání přístupu pro hostovské konto:
- přidělit CRO ID
- zařadit do skupiny gapps (pak i google) nebo office365
Povolení/blokace: 1:1 podle identity v midPointu
Přejmenování: potřeba ruční zásah kolem správy emailů. Původní email je u přejmenovávané identity ponechán. (TODO: čistit to ve skriptech mimo?)
Fyzické mazání: Po smazání je identita v koši po dobu 1 měsíce. Po tuto dobu ji nelze znovuzaložit automaticky přes Graph API. Lze ji obnovit přes administrátorské rozhraní Office 365, anebo smazat vývojovými administrátorskými nástroji (koš nelze vysypat přes midPoint - umí to Graph API, ale identity mají divoké identifikátory).
Atributy:
- mail: LOGIN@DOMENA, jen přo zakládání, ale nelze spravovat přes Graph API
Skupiny
Stejně skupiny jako jinde.
Licence
Read-only identity. V midPointu použito pro výpočty atributů pro přidělováné licencí (technicky: jde o "ruční" query, nelze použít přímo asociace na resourcu).
Licence se skládá z jednotlivých aplikací.
Pro každou licenci lze nastavit globální vyjímku pro nějakou aplikaci. Ale nelze nastavovat různé vyjímky pro každého uživatele (technicky: přes Graph API to lze, ale vedlo by to na strukturovaný atribut u uživatele, což nelze).