Configureer Celery SSO met OpenID Connect via Azure AD/Microsoft Entra ID
Na voltooiing van deze configuratie kunnen uw gebruikers zich bij Celery aanmelden met hun Azure AD-account.
Opmerking Azure AD is tegenwoordig bekend als Microsoft Entra ID. De term Azure AD blijft echter veelvuldig in gebruik. In dit document verwijst elke vermelding van Azure AD tevens naar Microsoft Entra ID.
Onderstaand diagram illustreert de authenticatiestroom tussen:
- De gebruiker
- Celery applicatie
- Celery Identity Service
- Azure AD
Hoewel deze procedure mogelijk complex lijkt, wordt de gebruiker slechts geconfronteerd met enkele schermen, zoals het inlogscherm van Celery en het inlogscherm van Azure AD.
Registratie van een nieuwe Azure Active Directory-toepassing
Om te beginnen dient u in te loggen op de Azure Portal.
Eenmaal ingelogd, navigeert u naar: Azure Active Directory → App-registraties → Nieuwe registratie om een nieuwe Azure Active Directory-toepassing te creëren.
Tijdens deze registratie wordt de Redirect URI van de toepassing geconfigureerd. Deze moet als waarde hebben: https://login.celerypayroll.com/oauth2/callback.
Na het aanmaken van de toepassing is het van belang om de volgende gegevens te noteren:
- Application (client) ID
- Directory (tenant) ID
Deze worden respectievelijk gebruikt als de Client ID en om de Issuer-waarde te bepalen binnen de Celery OpenID Connect Identity Provider-configuratie.
API-machtigingen voor Azure Active Directory
Navigeer naar: Azure Active Directory → App-registraties → [Uw toepassing] → Beheren → API-machtigingen → Machtiging toevoegen om een nieuwe API-machtiging toe te voegen.
Kies Microsoft Graph API en selecteer Gedelegeerde machtigingen. Zoek vervolgens op User.Read en schakel de User.Read-machtiging in.
Aanmaken van een nieuw geheim voor de Azure Active Directory-toepassing
Navigeer naar: Azure Active Directory → App-registraties → [Uw toepassing] → Beheren → Certificaten en geheimen → Nieuw clientgeheim om een nieuw Azure Active Directory Application Client Secret te genereren.
Tijdens het aanmaken dient u de gegenereerde Waarde van het clientgeheim zorgvuldig te noteren.
Deze waarde wordt gebruikt als de Client Secret binnen de Celery OpenID Connect Identity Provider-configuratie.
Overdracht van Azure Active Directory-gegevens aan Celery
Voor de afronding van de configuratie dient u de volgende gegevens aan Celery te verstrekken:
- Application (client) ID
- Directory (tenant) ID
- De waarde van het Client Secret
- De beoogde SSO-domeinen
Na deze laatste stap is de configuratie voltooid en kunnen uw gebruikers zich veilig aanmelden bij Celery met hun Azure AD/Microsoft Entra ID-account.