Hvis man har oprettet en Azure AD integration med sin Addo Sign konto, kan man styre rettighederne imellem brugerne inde fra Azure ud fra følgende hierarki.
Introduktion til gruppe-rettigheder
Opret rettigheds-grupperne i Azure AD
Tilknyt Azure AD rettigheds-grupperne til grupper i Addo Sign
Introduktion til gruppe-rettigheder
Når du i forvejen har oprettet grupper i Azure AD, kan du også oprette rettigheds-grupper, som kan styre hvordan rettigheder, foruden "administrator"- og "standard"-rettigheder styres.
Disse rettigheder er henholdsvis "gruppeadministrator" og "group viewer", som vil blive tilkoblet en gruppe i Addo Sign.
Rettigheds-grupperne er derfor noget som skal skabes i forlængelse af en eksisterende gruppe, hvor et eksempel på dette kunne være, at HR, salg og administration har hver sin gruppe, da ingen af disse har behov for at se hvad andre personer i en af de andre grupper laver.
Når HR, salg og administrations-grupperne er oprettet i Azure og importeret i Addo Sign, skal der også oprettes rettighedsgrupper for hvert af områderne.
Derfor skal der ved ovenstående scenarie oprettes følgende grupper:
- HR (Medlemsgruppe)
- HR - Group admin
- HR - Group viewer
- Salg (Medlemsgruppe)
- Salg - Group admin
- Salg - Group Viewer
- Administration (Medlemsgruppe)
- Administration - Group admin
- Administration - Group viewer
Hvor grupperne markeret med fed, vil blive importeret i Addo Sign men hvor de 2 andre grupper for hvert område fingurerer i Azure AD, men vil blive mappet i Addo Signs "group mapping" funktion. OBS: Rettighedsgrupper, skal ikke assignes til Enterprise Applikationen. Gøres dette, vil Addo Sign registrere gruppen som en medlemsgruppe.
Opret rettigheds-grupperne i Azure
Det her trin i guiden virker til at være et meget lille trin, dog kan det tage en del tid alt afhængig af jeres eksisterende bruger/gruppe-styring og allokering af rettigheder i Azure AD miljøet.
Under hver gruppe skal der oprettes tilsvarende gruppe men med en forklaring af rettighederne som der skal tildeles i Addo Sign, se venligst nedenstående billede:
Alle gruppe med ordene "group admin" og "group viewer" vil derfor skulle benyttes til at allokere rettigheder i Addo Sign.
I næste trin vil vi skulle bruge "Object ID" for disse grupper.
Tilknyt Azure AD rettigheds-grupperne til grupper i Addo Sign
Når grupperne er oprettet i Azure AD og hovedgrupperne er importeret i Addo Sign under "Add Azure Groups":
Er der nu mulighed for at lave "Group mapping" af de gruppe-rettighederne.
Groupmapping findes inde i din Addo Sign konto under indstillinger:
- Tryk på indstillinger
- Vælg Azure AD konfiguration
- Tryk på "Add mapping"
Når du har valgt "Add mapping" kommer der nogle felter frem, som du skal tage stilling til. Felterne er følgende:
- Gruppe - Dette er den gruppe, hvor du gerne vil kunne bestemme brugernes rettigheder i. Dette kan være HR, salg eller administration
- Rolle - Her bestemmer du hvilken rolle som din Azure gruppe tildeler i Addo Sign, hvorfor det er godt hvis du kalder dem det samme i Azure AD, som i Addo Sign.
- Azure Group ID - Her indsætter du det Object ID som står ud for gruppen i Azure AD
Hvis jeg for eksempel skal give personer i min administrations konto group admin rettigheder, gør jeg følgende:
- Jeg markerer og kopierer "Object id" fra Azure AD gruppen.
Når jeg har kopieret dette, og ved at dette allokerer gruppeadministrator rettigheder, går jeg ind i Addo Sign og tilføjer dette under group mapping:
- Vælg hvilken gruppe som du vil bestemme gruppe-rettighederne for
- Vælg hvilke gruppe-rettigheder Azure AD gruppen giver adgang til
- Indsæt Object id fra gruppen fra Azure AD
- Tryk "gem"
Dette gøres derefter for de resterende grupper, hvor gruppe-rettighederne skal bestemmes:
Jeg har nu tildelt 2 grupperettigheder til min HR afdeling, så visse personer fremadrettet vil være opgraderet fra "standard" bruger til henholdsvis gruppeadministrator og gruppe viewer.