Yammer yrityskäytössä (osa 3): Kertakirjautuminen ja identiteetinhallinta


Yammer yrityskäytössä (osa 3): Kertakirjautuminen ja identiteetinhallinta



Mitä on kertakirjautuminen ja identiteetinhallinta?

Kertakirjautuminen kannattaa ottaa Yammerissa käyttöön yrityksen omalle verkostolle. Tämä helpottaa käyttäjiä, kun sama käyttäjätunnus (ja salasana) joilla työasemaan ja sähköpostiin kirjaudutaan käy myös Yammer-palveluun. Samalla on luontevaa ottaa identiteetinhallinta käyttöön. Näin yrityksen identiteetinhallintajärjestelmästä – mikä aika usein on Active Directory, tai vastaava LDAP-pohjainen hakemistopalvelu – saadaan päivitettyä profiilitiedot Yammer-palveluun näkyväksi.

Kertakirjautumisen ja identiteetinhallinnan avulla saadaan myös parannettua Yammer-palvelun tietoturvaa, kun disabloiduilta käyttäjätunnuksilta voidaan evätä välittömästi pääsy myös Yammeriin. Lisäksi uudet työntekijät saavat välittömästi pääsyn Yammeriin ilman erillistä aktivointiprosessia.

Hyödyt kertakirjautumisesta ja identiteetinhallinnasta ovat siis:

  • Käyttäjien ei tarvitse muistaa erillisiä tunnuksia tai salasanoja Yammer-palvelua käytettäessä
  • Disabloidut (ja deletoidut) AD-tunnukset disabloidaan myös Yammeriin
  • Uudet tunnukset provisioidaan myös Yammeriin

Kun kertakirjautuminen on otettu käyttöön näkevät käyttäjät sisäänkirjautumissivun https://www.yammer.com/<oma-verkosto> –osoitteessa:

image

 

Kirjautuminen suoritetaan Active Directoryn federointipalvelulle (AD FS, Active Directory Federation Services), joka tulee olla asennettuna ja konfiguroituna käyttöön Yammer.comia vasten:

image

Sisäänkirjautumisen jälkeen käyttäjä näkee Yammer-verkoston normaaliin tapaan. Käyttäjien profiilitiedot päivittyvät nyt automaattisesti yrityksen taustajärjestelmistä:

image

Myös organisaatiokaavio päivittyy käyttäjäprofiilien “Reports to”-tietojen perusteella:

image

 

Kertakirjautumisen ja identiteetinhallinnan toteutus

Kertakirjautuminen vaatii federointipalvelun, joka helpoimmillaan on Microsoftin ADFS-palvelu. Jos yrityksellä on jo ADFS-konfiguroitu esimerkiksi Office 365-palvelua vasten, voidaan samaa federointi-infraa käyttää myös Yammeriin. Muut federointipalvelut käyvät myös, jos ne tukevat SAML 1.1 tai SAML 2.0-tokeneita.

Kun ADFS-palvelu on konfiguroitu ja toiminnassa, kannattaa endpointin toiminta testata yksinkertaisesti selaimella. Osoite on muotoa https://<adfs-palvelimen-julkinen-osoite>/FederationMetadata/2007-06/FederationMetadata.xml. Samalla voi tallentaa FederationMetadata.xml-tiedoston, jonka AD FS-palvelu generoi.

image

 

Seuraavaksi tulee avata tukitiketti Yammer-palveluun kertakirjautumisen konfigurointia varten. Tässä on oleellinen ero Office 365-palveluun nähden, jossa prosessi on pääosin täysin automatisoitu. Tiketin voi avata Office 365:en hallintaportaalista. Riittää, kun laitat tiketin aiheeksi esimerkiksi “Configuring Single Sign On for Yammer Enterprise”, ja muutoin minimitiedot.

Aikanaan, kun tiketti käsitellään, saat nykyaikaisesti sähköpostilla Word-dokumentin (!), johon täytetään tarvittavat tiedot. Esimerkkinä Onsightin käyttämä lomake, olennaiset kentät:

image

Pienen sähköpostipolkan jälkeen Yammerin tekninen tuki pyytää seuraavaksi FederationMetadata.xml –tiedostoa (joka haettiin selaimella ADFS-palvelimelta) sekä ADFS-palvelun Token Signing-sertifikaattia. Sertifikaatti tulee tallentaa ADFS:n hallintakonsolista, kohdasta AD FS > Service > Certificates:

image

Valitse View Certificate, Details-välilehti ja sen alta Copy to File:

image

Lopuksi exporttaa tiedostoksi tallentamasti sertifikaatista varsinainen X.509-sertifikaatti. Varmista, ettet exporttaa vahingossa myös sertifikaatin Private Key’tä Winking smile

Tämä tiedosto toimitetaan siis yhdessä FederationMetadata.xml:n kanssa Yammerin tukeen (sähköpostilla, mitenkäs muutenkaan). Kannattaa zipata molemmat tiedostot salasanalla, jotta kulkevat varmasti liitetiedostoina perille.

Lopuksi ADFS:ään tulee konfiguroida relying party, eli luottosuhde oman ADFS-ympäristön ja Yammerin välille:

image

Näin ADFS suostuu ottamaan vastaan Yammerin lähettämiä väittämiä, ja todentamaan kertakirjautumispyynnöt.

Lopuksi Yammerin tuen kanssa sovitaan ajankohta jolloin oma Yammer-verkosto kytketään käyttämään kertakirjautumista. Tämä aiheuttaa käyttökatkon Yammer-verkoston käyttöön joten kannattaa sopia ajankohta esimerkiksi arki-illalle, mahdollisimman myöhään.

Kun kertakirjautuminen toimii voidaan lisäksi konfiguroida Yammer Directory Sync-palvelu, joka synkronoi käyttäjien profiilitiedot Yammeriin. Tämä on erillinen ohjelma, joka vaatii palvelimennurkan toimiakseen. Poiketen Office 365:n DirSync-palvelusta kyseessä ei ole sama ohjelmisto. Synkronointi on vain yksisuuntaista (AD –> Yammer).

image

Kyseessä on yksinkertainen taustalla toimiva ohjelma, joka pollaa Active Directorystä haluttuja rakenteita, ja synkronoi ne yksisuuntaisesti Yammeriin. Yammer Directory Syncin voi ladata täältä.

Lopuksi

Jos Yammeria käytetään yrityksen laajuudelta, on kertakirjautumisen ja identiteetinhallinnan toteutus melkeinpä aina luonteva toimenpide, jonka yleensä toteuttaa melko ripeästi – varsinkin, jos sama toimenpide on jo aiemmin tehty Office 365:een.

Mobiilikäyttö on myös tuettua mutta edellyttää tietysti, että myös mobiilipäätelaitteilla on pääsy ADFS:n endpointiin kirjautumista varten.

 

Lue Yammer-juttusarjan artikkelit:



Twitter: @jussiroine