Visión general

El complemento Entra Sync permite a los administradores de Rock sincronizar datos entre Rock y Entra y habilita el inicio de sesión (SSO) que permite a los usuarios de Entra iniciar sesión en Rock con sus credenciales de Entra. Los datos pueden sincronizarse en ambos sentidos (de Rock a Entra, o de Entra a Rock), y pueden sincronizarse sincronizarse bajo demanda o con una tarea programada.

Por defecto, el complemento Entra Sync sincronizará los miembros de un grupo, e intentará hacer coincidir los registros existentes en cualquiera de los sistemas usando la lógica de:

1. Entra -> Rock - La sincronización buscará una coincidencia exacta de 'Nombre', 'Apellido' y 'Email'.
2. Rock -> Entra - La sincronización buscará una coincidencia exacta del 'Email' de Rock con el Nombre Principal de Usuario de Entra (piense en email en Entra).

Adicionalmente, usted puede configurar un trabajo automatizado para sincronizar cambios en una dirección (de Rock a Entra) para los siguientes campos:

• Teléfono de la oficina
• Teléfono de casa
• Puesto
• Departamento
• Empresa

Los datos también pueden sincronizarse para Fotos de usuario en ambas direcciones.

Configuración previa a la instalación: Configuración de Entra

Para configurar el plugin, deberá registrar la aplicación y conceder los permisos necesarios en su tenant de Entra.

Paso 1: Cree un nuevo registro de App en su tenant Entra.

Comience abriendo su hoja de Microsoft Entra ID (y asegúrese de que ha seleccionado el inquilino correcto) en el Portal Azure y, a continuación, seleccione la opción "App registrations" (Registros de aplicaciones) en el menú de recursos de la izquierda. Cree el nuevo registro haciendo clic en el botón "Nuevo registro" en la parte superior de la hoja de registro de aplicaciones.

Explicaciones de las opciones de configuración:

1. Nombre - Aquí puede elegir el nombre que desee, pero le recomendamos algo como "Rock Entra Sync Plugin" para que el propósito del registro de esta aplicación sea obvio.
2. Tipos de cuenta admitidos: deje seleccionada la selección predeterminada (arrendatario único) para esta opción.
3. Redirect URI - Si va a utilizar la funcionalidad SSO del plugin (para permitirle ingresar a Rock con sus credenciales de Entra) necesitará ingresar un valor aquí. Esta es la página (en su servidor de Rock) que usará para ingresar a Rock con sus credenciales de Entra. Puede ser cualquier URL que desee, pero le recomendamos que utilice algo como https://my.church/sso o https://my.church/entralogin. Discutiremos la configuración de esta página en Rock en una sección posterior. Si no va a utilizar la funcionalidad SSO, puede dejar esta configuración en blanco.

Paso 2: Anote sus configuración.

Después de crear el registro de su nueva aplicación, se le dirigirá a la hoja de gestión del nuevo recurso creado. a la hoja de gestión del nuevo recurso que ha creado. Esta página contiene información importante que que necesitará para configurar el complemento más adelante, así que anote los valores "Application (client ID)" y "Directory (tenant) ID". "ID de aplicación (cliente)" y el valor de "ID de directorio (inquilino)". Si ha introducido un valor URI de redirección en el paso 1, anótelo también.

También tendrá que hacer clic en "Puntos finales" en la parte superior de la hoja y anotar los dos primeros puntos finales:

Ahora debería tener la siguiente información recopilada:

1. Entra Tenant Id
2. Entra Id de cliente
3. Punto final de autorización OAuth 2.0 (v2)
4. Punto final de token OAuth 2.0 (v2)
5. Redirect URI (si utiliza la función SSO del complemento)

Paso 3: Conceda al registro de su aplicación permisos de lectura y escritura a usuarios y grupos.

El plugin de Entra necesita permiso para leer y modificar registros de usuarios y grupos en su tenant de Entra y para leer datos básicos de su tenant de Entra. y grupos en su tenant Entra y para leer datos básicos de su directorio. directorio. Esto lo hace con la Microsoft Graph API, y necesitará los siguientes permisos:

1. Directorio.Leer.todo
2. Grupo.LecturaEscritura.Todos
3. Usuario.LecturaEscritura.Todos

Para añadir un nuevo permiso a su aplicación, seleccione la opción "Permisos API API" en el menú de gestión de recursos de la izquierda y, a continuación haga clic en el botón "Añadir un permiso". Seleccione la opción "Microsoft Graph" y, a continuación, elija "Permisos de aplicación permissions" y añade el permiso deseado. Puedes añadir los tres a la vez.

Paso 4: Conceder el consentimiento del administrador.

Para finalizar los permisos que ha añadido, deberá conceder el consentimiento de administrador. Una vez terminado con este paso, su pantalla de permisos de API debe parecerse a la captura de pantalla siguiente.

Paso 5: Crear un secreto de cliente.

El plugin utiliza un secreto de cliente para autenticarse en Entra. Este secreto es como una contraseña, y cualquier persona con el secreto tiene los permisos que usted ha concedido al recurso de registro de la aplicación en los pasos anteriores, por lo que debe tratar este valor como altamente sensible exactamente como lo haría con una contraseña.

Para crear un nuevo secreto de cliente, seleccione la opción "Certificados y secretos" de la hoja de gestión de recursos (debería seguir viendo el registro de la aplicación que ha creado). Desplázate hasta la sección "Secretos de cliente" y haz clic en el botón para añadir un nuevo secreto de cliente. Puedes dar al secreto el nombre que quieras, pero al igual que con el registro de la app, te recomendamos que utilices un nombre que haga obvio el propósito del secreto. Te recomendamos que elijas la opción de caducidad "Nunca". Elegir un plazo de expiración diferente significa que tendrás que crear un nuevo secreto e introducirlo en la configuración de tu plugin cuando el antiguo expire.

Después de crear su secreto, puedes copiar el valor. En este valor, ya que no podrá recuperarlo más adelante. más tarde. Si necesita este valor y no lo has capturado en este momento, tendrás que crear un nuevo y utilizarlo en su lugar.

Configurar los ajustes de autenticación del plugin Entra Sync

Ahora que su inquilino Entra está configurado y listo para funcionar, es hora de configurar el plugin. Si aún no ha instalado el plugin, usted querrá hacerlo desde el Rock Shop, ahora. También necesitará la información de configuración que registró en el Paso 2 de la Pre-Instalación y el secreto de cliente que creó en el Paso 5. que creó en el Paso 5.

Vaya a Herramientas de administración > Plugins Instalados y seleccione la opción Entra Group Sync. Luego haga clic en el botón Entra Credentials arriba a la derecha e introduzca los valores de configuración de los pasos anteriores.

Configurar grupos para sincronizar

El plugin sincroniza los miembros de los grupos en Rock o Entra, por lo que deberá crear grupos en ambos sistemas. Para configurar los ajustes de sincronización navegue a Herramientas de Administración > Plugins Instalados > Entra Group Sync y haga clic en el botón para agregar una nueva entrada. Se le darán las siguientes opciones de configuración:

1. Tipo de selección de grupo - Determina si va a seleccionar una función de seguridad de la roca o un grupo normal.
2. Grupo - El grupo o rol de seguridad del Rock.
3. Entra Group - El rol o grupo de seguridad de Entra. Estos grupos deben crearse primero en el portal de Entra.
4. Dirección de sincronización - Esto controla si Rock o Entra es el sistema de destino.
5. Añadir individuo si no hay coincidencias - Esto añadirá al individuo a Rock o Entra si no se encuentran registros coincidentes. Nota: Añadir a la persona en Entra no creará licencias ni añadirá buzones.

Nota sobre los grupos habilitados para Entra Mail

Si configura los ajustes anteriores seleccionando un grupo habilitado para correo en Entra (un grupo de distribución o grupo de seguridad habilitado para correo) y configurando la dirección de sincronización para enviar datos de Rock a Entra, recibirá una notificación de advertencia informándole de que el complemento no puede modificar la pertenencia a grupos habilitados para correo electrónico en Entra. Esto significa que el plugin plugin no puede añadir o eliminar ningún miembro de este grupo. Estos grupos aún soportarán la sincronización sincronización entre los registros de usuario en Rock y Entra, pero la única manera de cambiar la membresía de los grupos habilitados para correo es desde su Centro de Administración de Exchange/Office 365.

Si configuras un grupo de esta forma, también recibirás un aviso sobre la configuración del grupo en tu lista de sincronización de grupos.

Si los miembros de grupo de su grupo de Rock y el grupo habilitado para correo Entra no están sincronizados cuando el complemento intenta ejecutar el proceso de sincronización, recibirá advertencias en el informe de trabajo y en la lista de excepciones de Rock. y en la lista de excepciones de Rock. La lista de excepciones de lista de excepciones identificará qué usuarios no pudieron ser agregados o removidos del grupo (por su GUID de usuario Entra). grupo (por su GUID de usuario Entra). Usted Puede evitar estas advertencias asegurándose de que todos los grupos habilitados para correo que usted que configure para sincronizar desde Rock se sincronicen manualmente (en otras palabras, ponga a las mismas personas en ambos grupos). mismas personas en ambos grupos).

Sincronizar manualmente un grupo

Después de configurar tus grupos para la sincronización, puedes sincronizarlos manualmente pulsando el botón "sincronizar" situado junto al grupo.

[Opcional] Configurar la tarea de sincronización automática

El plugin incluye un trabajo automatizado que puede ser programado para sincronizar sus grupos. Para activarlo esto, vaya a Herramientas de administración > Configuración del sistema > Administración de trabajos y añada un nuevo trabajo. En la pantalla Detalle, seleccione "Sincronizar Entra (Plugin)" como Tipo de Trabajo.

[Opcional] Configurar la sincronización de la información de contacto

El plugin puede configurarse para sincronizar la información de contacto información de contacto de Rock a Entra cada vez que sincronice un grupo (esto ocurrirá grupo se sincroniza manualmente o por el trabajo automatizado, y estas esta configuración afectará a todos los grupos sincronizados, siempre que la sincronización vaya de Rock a Entra).

Para habilitar esta función y configurar los ajustes, navegue a Herramientas de administración > Complementos instalados > Entra Group Sync y haga clic en el botón "Configuración de contactos" en la esquina superior derecha.

Opciones de configuración:

1. Activar sincron ización de información de contacto: esta opción debe seleccionarse para activar la sincronización de la información de contacto.
2. Nombre de pila - El campo del nombre de pila en Entra coincidirá o bien con el nombre de pila o bien con el apodo en Rock. Este ajuste controla cuál de los dos.
3. Título del Trabajo - Este ajuste sólo es efectivo cuando los datos están siendo enviados desde la Rock a Entra. No tendrá efecto cuando la sincronización ocurra en la otra dirección. Puede seleccionar un valor de Atributo de Persona o una expresión de Lava para controlar el valor que se envía a Entra.
4. Departamento - Este ajuste sólo es efectivo cuando los datos están siendo enviados desde la Rock a Entra. No tendrá efecto cuando la sincronización ocurra en la otra dirección. Puede seleccionar un valor de Atributo de Persona o una expresión de Lava para controlar el valor que se envía a Entra.
5. Office - Este ajuste sólo es efectivo cuando los datos están siendo enviados desde la Rock a Entra. No tendrá efecto cuando la sincronización ocurra en la otra dirección. Puede seleccionar un valor de Atributo de Persona o una expresión de Lava para controlar el valor que se envía a Entra.
6. Empresa - Este ajuste sólo es efectivo cuando los datos están siendo enviados desde la Rock a Entra. No tendrá efecto cuando la sincronización ocurra en la otra dirección. Puede seleccionar un valor de Atributo de Persona o una expresión de Lava para controlar el valor que se envía a Entra.
7. Tipo de Teléfono de Oficina - Este ajuste controla qué tipo de teléfono Rock se utiliza para sincronizar con el teléfono de oficina/negocio en Entra.
8. Tipo de Teléfono Móvil - Este ajuste controla qué tipo de teléfono Rock se utiliza para sincronizar con el teléfono móvil en Entra.

Advertencia sobre las configuraciones de grupo y la sincronización de la información de contacto

Es posible configurar los grupos de manera que un individuo esté sincronizado en ambas direcciones al tenerlo en múltiples configuraciones de sincronización de grupo. En otras palabras, el mismo usuario puede estar en un grupo que usted ha configurado para enviar datos de Entra a Entra y en otro grupo que usted ha configurado para enviar datos de Entra a Entra. Le recomendamos que evite esta situación, pero puede haber situaciones en las que configure la sincronización de esta manera intencionalmente. En ese caso, si ha configurado la sincronización de la información de contacto, los datos en Entra se convertirán en el "registro maestro" porque la información de contacto sólo se sincroniza en esa dirección. Esto significará que los cambios que usted pueda hacer directamente en Entra serán sobrescritos y usted deberá hacer cualquier cambio a la información de contacto del individuo en Rock.

Hay una excepción a esta regla, y es que la API Graph de Microsoft no permite actualizar los números de teléfono de un administrador (teléfono de la oficina y teléfono particular) en Entra. Esta limitación se debe a que esos valores se utilizan en el proceso de recuperación de la cuenta de Entra y permitir cambios externos en ellos podría bloquear a los administradores de poder recuperar su cuenta y resultar en su bloqueo y puede presentar un riesgo de seguridad si la aplicación externa se ve comprometida.

[Opcional] Configurar el inicio de sesión único (SSO)

La configuración de la función de inicio de sesión único del complemento permitirá a los usuarios iniciar sesión en Rock con sus credenciales de Entra credenciales. Para habilitar esta función debe configurar una redirección de aplicación en su registro de Entra App. Para más detalles, revise el Paso 1 de la la configuración previa a la instalación al principio de este documento. No pasa nada si no introdujo la URL cuando cuando configuró por primera vez el plugin, puede agregarlo cuando esté listo editando la configuración del registro de su App.

Para habilitar y configurar el proveedor de autenticación Entra (en Rock) que es instalado por el complemento, vaya a Herramientas de administración > Seguridad > Servicios de autenticación y seleccione el proveedor Entra. Servicios de autenticación y seleccione el proveedor "Entra".

Opciones de configuración:

• Activo - Esta opción debe establecerse en "Sí" para habilitar la autenticación Entra.
• Está configurado para 2FA - Esta opción debe establecerse en "Sí" si la autenticación de dos factores (2FA) está habilitada en Rock y Entra está configurado para manejar la autenticación multifactor fuera de Rock. Si se establece en "No" y Rock requiere autenticación de dos factores, las personas no podrán utilizar Entra para la autenticación.

Configuración de la página de redirección SSO

Lo segundo que tienes que hacer es crear una nueva página en Rock (Admin Tools > CMS Configuration > Pages), y probablemente querrá también hacer una ruta para ella, también (Herramientas de administración > Configuración CMS > Rutas) para que pueda referirse a ella por una URL amigable (como http://my.church/sso) en lugar de la URL de la página por defecto. Para propósito de este documento, vamos a suponer que usted sabe cómo hacer esta parte, pero usted siempre puede revisar la documentación de Rock si necesita un repaso. En concreto, le recomendamos que empiece por la sección CMS de la Guía de Rock Admin Hero para una breve visión general, o bien puede sumergirse en todos los detalles en Designing and Building Websites Using Rock.

Una vez que haya creado la página y la ruta, deberá añadir el bloque de inicio de sesión personalizado a la página, que encontrarás en la categoría Triumph Tecnología > Entra.

Después de añadir el bloque a su página página, deberá configurar los siguientes parámetros en el bloque:

• Lista de opciones de inicio de sesión
  • Esta opción le permite configurar múltiples opciones de inicio de sesión especificando el texto del botón (a la izquierda) e introduciendo una URL o el nombre de tipo de un proveedor de autenticación (a la derecha). Para permitir que los usuarios inicien sesión a través de Entra, deberá introducir el nombre de tipo completo del proveedor de autenticación Entra, que es "tech.triumph.AzureAD.Security.Authentication.AzureAD".
• Página de éxito
  • Aquí es donde los usuarios son redirigidos después de un inicio de sesión exitoso si no hay un parámetro de retorno especificado en la URL. Si hay un parámetro de retorno, el usuario será redirigido a esa página (como el inicio de sesión estándar).
• Página fallida
  • Aquí es donde se redirige a los usuarios después de un inicio de sesión fallido.

Notas de publicación

• v1.8
  • Se ha corregido un problema por el que siempre se redirigía al usuario a la página de éxito tras un inicio de sesión correcto, incluso cuando se especificaba un parámetro de retorno en la URL.
  • Se ha solucionado un problema por el que la URL de retorno se codificaba dos veces al redirigir después de iniciar sesión correctamente.
• v1.7
  • Mejora de la funcionalidad de emparejamiento para los usuarios de Entra que ya existen en Rock.
• v1.6
  • Actualización de "Azure AD" a "Entra" para coincidir con el cambio de nombre de Microsoft.
• v1.5
  • Se ha aplicado una solución más fiable al problema por el que la página de configuración del complemento se salía de tiempo.
• v1.4
  • Se ha solucionado un problema por el que la página de configuración del complemento no se cargaba y se cerraba.
• v1.3
  • Se ha añadido compatibilidad con la autenticación de dos factores.