Підключення IPI Server до Microsoft Entra ID

Огляд

Інтеграція IPI Server з Microsoft Entra ID дозволяє автоматизувати керування користувачами, увімкнути захищений SSO (єдиний вхід) та здійснювати віддалену ротацію паролів. Це покращує безпеку та зменшує адміністративне навантаження.

Основні переваги:

• Імпорт користувачів: Автоматична синхронізація користувачів із Microsoft Entra ID до IPI Server на основі членства в групах.

• SSO: Користувачі можуть входити до Windows-станцій через ключі IPI або мобільні додатки, використовуючи облікові дані Entra ID — без введення паролів.

• Управління паролями: Паролі вибраних користувачів можуть автоматично змінюватися в Entra ID за розкладом.

Попередні вимоги

Перед інтеграцією переконайтесь у наявності:

• Адміністративного доступу до Microsoft Entra ID та IPI Server

• Активного тенанту Microsoft Entra ID

• Дозволу на реєстрацію застосунків у Entra ID

• Доступності IPI Server через HTTPS

Крок 1: Підготуйте групи в Microsoft Entra ID

Для керування синхронізацією та ротацією паролів створіть такі групи:

• IPI Users Sync Додайте до цієї групи всіх користувачів, яких слід імпортувати до IPI Server.

• IPI Key Auto Password Change (необов’язково) Додайте користувачів, чиї паролі мають автоматично змінюватися через IPI Server. Вони також повинні бути членами групи IPI Users Sync.

Крок 2: Зареєструйте застосунок у Microsoft Entra ID

1. Увійдіть до порталу адміністратора Microsoft Entra.

2. Перейдіть до Azure Active Directory → App registrations.

3. Натисніть New registration та заповніть форму:

   • Name: IPI Server Integration

   • Supported account types: Single tenant

   • Redirect URI: залиште порожнім або вкажіть пізніше

4. Натисніть Register.

5. На сторінці Overview скопіюйте:

   • Application (Client) ID

   • Directory (Tenant) ID

   

   

Крок 3: Створіть секрет клієнта

1. Перейдіть у розділ Certificates & secrets.

2. Натисніть New client secret → задайте опис і термін дії.

3. Натисніть Add.

4. Скопіюйте значення з колонки Value — це ваш Client Secret.

Крок 4: Призначте дозволи API

1. Перейдіть до API permissions → Add a permission → Microsoft Graph.

2. Оберіть Application permissions.

1. Додайте наступні дозволи:

Для імпорту користувачів:

• User.Read.All

• Group.Read.All

• Domain.Read.All (або Directory.Read.All як загальну альтернативу)

Для керування паролями:

• User.ReadWrite.All

• User-PasswordProfile.ReadWrite.All

1. Натисніть Grant admin consent, щоб застосувати всі дозволи.

Крок 5: Налаштування IPI Server

1. Увійдіть до панелі адміністратора IPI Server.

2. Перейдіть до Settings → Parameters та натисніть Add Domain Settings.

3. Оберіть Azure Active Directory.

4. Заповніть форму значеннями з попередніх кроків:

   • Domain – ваш домен Entra ID (наприклад, yourcompany.onmicrosoft.com)

   • Application ID – Client ID

   • Client Secret – значення з Кроку 3

   • Tenant ID – Directory ID

   • Auto Password Change (days) – наприклад, 28 (необов’язково)

Поведінка при видаленні користувача з групи синхронізації:

• Keep – користувач залишається на сервері IPI. Доступ через SSO і розблокування ПК залишаються.

• Deactivate – користувач деактивується, але не видаляється. SSO вимикається, розблокування ПК залишається. Активація лише вручну.

• Delete – користувач повністю видаляється. SSO і розблокування ПК стають недоступними.

1. Натисніть Save.

Крок 6: Імпорт користувачів до IPI Server

1. Перейдіть до Users → Import from AD.

2. IPI Server отримає список користувачів із групи IPI Users Sync в Entra ID.

3. Оберіть і імпортуйте потрібних користувачів.