Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Microsoft Office 365

Minimalna potrebna programska podrška

Registracija ustanove za korištenje usluge Microsoft Office 365

Registracija usluge u sustavu AAI@EduHr

Podešavanje usluge Microsoft Office 365 za autentikaciju korisnika putem sustava AAI@EduHr

Registracija plugina za sinkronizaciju podataka iz LDAP imenika sa Azure AD-om

Instalacija i podešavanje libo365connect-aosi-aai plugina

Prijenos postojećih korisnika u Azure AD

Odgovori na često postavljana pitanja

 

Važno!

Slike i poveznice na ovoj stranici odgovaraju aktualnom stanju u trenutku nastanka tog dijela uputa. Obzirom da se usluga Microsoft Office 365 s vremena na vrijeme proširuje novim funkcionalnostima, moguće je da informacije prikazane na slikama ne odgovaraju u potpunosti sadržaju izbornika koji se prikazuju u administrativnom sučelju, ali generalne smjernice kako iskonfigurirati Office 365 za autentikaciju korisnika putem sustava AAI@EduHr trebale bi ostati nepromijenjene.

Popis ustanova koje prema ugovoru Ministarstva znanosti, obrazovanja i sporta i Microsofta imaju pravo na besplatno korištenje Office 365 usluge naveden je u ovoj datoteci.

Navedene ustanove imaju pravo na besplatno korištenje Office 365 programskih alata obuhvaćenih Education E1 licencom. Više informacija o programskim alatima obuhvaćenim navedenom licencom možete pronaći na Microsoftovim stranicama. Na istoj stranici odabirom opcije Get started for free možete registrirati vašu ustanovu za korištenje Office 365 usluge.
 

Postupak registracije svoje ustanove za korištenje Office 365 programskih alata započnite tako da otvorite korisnički račun u Office 365 sustavu koji ćete koristiti u nastavku ovih uputa. Otvaranje korisničkog računa prvi je korak u postupku registracije domene vaše ustanove u sustavu Office 365, a započet ćete ga tako da na adresi: https://products.office.com/en-us/academic odaberete Get started.

Bitno je naglasiti da taj korisnički račun treba biti oblika:

proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com


Ako je netko s vaše ustanove već prošao kroz proces samoregistracije, u procesu registracije vaše domene pojavit će se poruka koja kaže da ne možete registrirati domenu jer je već registrirana. U tom slučaju trebate preuzeti ovlasti nad svojom domenom na način opisan u ovim uputama. Po preuzimanju ovlasti nad domenom, administratorski korisnički račun u sustavu Office 365 potreban za nastavak postupka možete otvoriti kroz web sučelje Office 365.

Minimalna potrebna programska podrška

Prilikom izrade ovih uputa korištena je sljedeća programska podrška:

Registracija ustanove za korištenje usluge Microsoft Office 365

Prilikom registracije za korištenje usluge Microsoft Office 365 dobit ćete korisnički račun za administriranje usluga u Windows Azure oblaku (oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com). Uporabom web preglednika prijavite se s navedenim korisničkim računom na Office 365 administrativno sučelje koje se nalazi na adresi:
 

https://portal.office.com
 


 

Nakon prijave kliknite na ikonu Administrator i zatim u izborniku s lijeve strane odaberite opciju DOMENE:



 

Prikazat će vam se tablica s popisom domena za koje možete koristiti Office 365 uslugu. Ako se DNS/LDAP domena vaše ustanove ne nalazi na tom popisu, dodajte je odabirom opcije Dodaj domenu:


Da biste Microsoftu dokazali da je dodana domena zaista u vlasništvu vaše ustanove, morat ćete na vašem DNS poslužitelju dodati odgovarajući zapis sukladno uputama koje će vam se ispisati na ekranu:


Obzirom da je potrebno neko vrijeme da se podaci uneseni na DNS poslužitelju propagiraju, odjavite se iz administratorskog sučelja i pričekajte barem sat vremena prije nego što nastavite s procedurom opisanom u ovim uputama.

Nakon što se ponovo prijavite u Office 365 administratorsko sučelje, odaberite opciju Kliknite da biste ovjerili domenu. Ako ste ispravno unijeli podatke na vašem DNS poslužitelju i ako su se ti podaci uspješno propagirali, dobit ćete odgovor da je vlasništvo domene potvrđeno, a u tablici će se pored naziva domene vaše ustanove pojaviti natpis da je postavljanje uspješno dovršeno.

Važno: da biste u nastavku procedure autentikaciju za svoju domenu mogli prepustiti SSO servisu sustava AAI@EduHr, kao zadana (defaultna) domena za vašu ustanovu mora biti odabrana ona u kojoj je vaša korisnička oznaka oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com (kao na slici dolje SRCEOffice365.onmicrosoft.com - ispod te domene treba pisati zadana ili default).




Registracija usluge u sustavu AAI@EduHr

Da bi prijava u Office 365 putem sustava AAI@EduHr za određenu LDAP domenu funkcionirala, potrebno je registrirati Office 365 uslugu u sustavu AAI@EduHr. Registracija se vrši putem Registra resursa, web aplikacije koja se nalazi na adresi

http://www.aaiedu.hr/aairr/

Registru mogu pristupiti korisnici koji u LDAP imeniku matične ustanove kao vrijednost atributa hrEduPersonRole (uloga u ustanovi) imaju postavljeno administrator imenika ili CARNet sistem inženjer te korisnici koji su već evidentirani kao administratori podataka o nekom resursu u sustavu AAI@EduHr.

Ako ne spadate niti u jednu od prethodno navedenih kategorija, a vaša matična ustanova se nalazi u sustavu AAI@EduHr, kontaktirajte nas elektroničkom poštom na aai@srce.hr pa ćemo vas dodati na popis osoba koje imaju pravo pristupiti registru resursa.

Nakon što se prijavite u registar, na popisu opcija s lijeve strane kliknite na ikonicu Resursi koji koriste SAML protokol. Otvorit će vam se prozor s popisom resursa čije podatke možete administrirati. Za registraciju novog resursa kliknite na opciju Zatraži registraciju novog resursa pri dnu tog prozora.

Pri vrhu forme za unos podataka o novom resursu, u polju Potvrda o poštivanju pravilnika o ustroju AAI@EduHr trebate staviti kvačicu kako biste potvrdili da prihvaćate uvjete korištenja AAI@EduHr infrastrukture:


 

U odjeljku Opće informacije o resursu u prva četiri polja potrebno je unijeti sljedeće podatke:

  • Naziv resursa: Microsoft Office 365 za korisnike iz (naziv ustanove)
     
  • Opis resursa: Autentikacija putem sustava AAI@EduHr za korisnike iz domene (LDAP domena ustanove)
     
  • Vrsta resursa: produkcija
     
  • Matična ustanova s kojom je resurs povezan: odaberite ustanovu za koju se registrira autentikacija za Office 365

Ostatak forme popunite podacima kao što je prikazano na sljedećoj slici:

U odjeljku SAML metapodaci potrebno je unijeti tzv. SAML metapodatke Office 365 servisa u skladu s prikazom na sljedećoj slici pri čemu je u prva tri polja (jedinstveni identifikator resursa, AssertionConsumerService URL, SingleLogoutservice URL) umjesto srce.hr potrebno upisati LDAP domenu matične ustanove za koju registrirate resurs:

  • Jedinstveni identifikator resursa (entityID): https://login.aaiedu.hr/office365/module.php/saml/sp/metadata.php/srce.hr
     
  • AssertionConsumerService URL: https://login.aaiedu.hr/office365/module.php/saml/sp/saml2-acs.php/srce.hr
     
  • SingleLogoutService URL: https://login.aaiedu.hr/office365/module.php/saml/sp/saml2-logout.php/srce.hr

U odjeljku Označite atribute koje sustav AAI@EduHr treba isporučivati resursu potrebno je označiti tri atributa:

  • hrEduPersonHomeOrg
     
  • hrEduPersonPersistentID
     
  • hrEduPersonUniqueID

U odjeljku Kontakt osobe i službe trebate unijeti kontakt podatke o najmanje jednoj osobi ili službi iz svake od sljedeće tri kategorije:

  • voditelj proizvoda
     
  • tehnička podrška
     
  • podrška korisnicima

Kao sve tri kontakta možete unijeti osobu ili službu koja će administrirati Office 365 za odabranu matičnu ustanovu.

Pri dnu forme za registraciju novog resursa nalazi se tablica Označite osobe kojima želite dodijeliti pravo administriranja podataka o resursu s popisom svih osoba koje su evidentirane u bazi Registra resursa. Ako želite da još netko osim vas ima mogućnost ažuriranja podataka o navedenom resursu, označite te osobe stavljanjem kvačice pored njihovih podataka u tablici.

Ovdje je važno naglasiti da označavanjem još neke osobe toj osobi NEĆETE dodijeliti administrativne ovlasti nad Office 365 sustavom, nego samo ovlasti administriranja podataka o Office 365 usluzi u registru resursa!

Nakon što popunite formu za registraciju novog resursa i kliknete na opciju Pošalji zahtjev za registracijom, obavijest o postavljanju novog zahtjeva za registracijom bit će automatski dostavljena administratorima sustava AAI@EduHr koji će pregledati unesene podatke i odobriti zahtjev ili vas eventualno upozoriti na neke nedostatke koje treba ispraviti da bi zahtjev mogao biti odobren.

Obavijest o odobravanju zahtjeva dobit ćete elektroničkom poštom, a sama autentikacija bi trebala proraditi u roku od najviše 5 minuta od trenutka kada zahtjev bude odobren.
 

Podešavanje usluge Microsoft Office 365 za autentikaciju korisnika putem sustava AAI@EduHr

U sljedećih nekoliko koraka potrebno je koristiti Windows Powershell konzolu. Neki su nam korisnici prijavili da su naišli na probleme pri instalaciji i pokretanju Powershell konzole. Najčešći problem, kao i njegovo rješenje opisan je na Stack Overflow stranici.

Za omogućavanje autentikacija korisnika putem sustava AAI@EduHr potrebno je izvršiti sljedeću proceduru:

  1. Dohvatite poslužiteljski certifikat s adrese
     
    https://login.aaiedu.hr/office365/module.php/saml/idp/certs.php/new_idp.crt


    i pohranite ga u neki direktorij na vašem računalu, npr. C:\Users\korisnik\Downloads\

  2. Na svom računalu pokrenite Windows Powershell konzolu, izvršite naredbu
     


    connect-msolservice
     


    i prijavite se uporabom administratorskog korisničkog računa (onog koji ste otvorili u prvom koraku i koji je oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com, dakle ne AAI@EduHr elektroničkim identitetom):

    VAŽNO: Za prijavu u PowerShell konzolu OBAVEZNO koristiti korisnički račun oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com. Ni u kom slučaju korisnički račun oblika jednakog vašem elektroničkom identitetu iz sustava AAI@EduHr!!! 
     


  3. Nakon toga potrebno je u Windows Powershell konzoli izvršiti jednu za drugom sljedeće naredbe (pritom u prvoj naredbi umjesto domena.hr trebate upisati DNS/LDAP domenu vaše ustanove, a u šestoj naredbi trebate upisati ispravnu putanju do certifikata koji ste dohvatili u prvom koraku i spremili ga u neki direktorij na vašem računalu):
     

    $dom = "domena.hr"

    $fedbrandname = "AAI@EduHr"

    $url = "https://login.aaiedu.hr/office365/saml2/idp/SSOService.php?entityID=https://login.aaiedu.hr/office365/"+$dom

    $uri = "https://login.aaiedu.hr/office365/"+$dom


    $logouturl = "https://login.aaiedu.hr/office365/saml2/idp/SingleLogoutService.php?ReturnTo=https://login.aaiedu.hr/office365/logout.php"

    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Users\korisnik\Downloads\new_idp.crt")

    $certdata = [system.convert]::tobase64string($cert.rawdata)

    set-msoldomainauthentication -domainname $dom -federationbrandname $fedbrandname -authentication Federated -passivelogonuri $url -signingcertificate $certdata -issueruri $uri -logoffuri $logouturl -preferredauthenticationprotocol SAMLP



    Postupak i rezultat izvršavanja trebali bi izgledati otprilike kao na sljedećoj slici:


     
  4. Ako prilikom izvršavanja prethodno navedenih naredbi unesete neki pogrešan podatak i Single Sign-On autentikacija ne funkcionira ispravno, konfiguraciju možete poništiti naredbom:
     


    set-msoldomainauthentication -authentication Managed -domainname domena.hr
     


    pri čemu domena.hr treba zamijeniti DNS/LDAP domenom vaše ustanove. Nakon toga za omogućavanje Single Sign-On autentikacije potrebno je ponovo izvršiti naredbe navedene u koraku 3.

 

Registracija plugina za sinkronizaciju podataka iz LDAP imenika sa Azure AD-om

Da bi se klijentska aplikacija (u ovom slučaju libo365connect-aosi-aai plugin) mogla spojiti na Azure AD (Microsoftov imenik u cloudu iz kojeg se autoriziraju korisnici za upotrebu Office 365 usluge nakon uspješne autentikacije na našem SSO servisu), potrebno ju je registrirati u Azure web sučelju, iz sučelja prekopirati parametre potrebne za njeno spajanje na Azure (clietn ID i key), te ovlastiti plugin da čita i piše podatke o korisnicima s vaše ustanove u Azure AD.

  1. Prijavite se u web sučelje na adresi: https://portal.office.com (onim korisničkim računom koji ste otvorili u prvom koraku i koji je oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com, dakle ne AAI@EduHr elektroničkim identitetom);
     
  2. Kliknite na kvadrat u gornjem lijevom kutu, pa u izborniku koji se otvori odaberite Administrator:

  3. U izborniku s lijeve strane u podizborniku Administrator u samom dnu odaberite opciju Azure AD. Nakon toga ćete biti preusmjereni na upravljačko sučelje Azure AD. U tom procesu ćete možda morati opet unijeti zaporku:
  4. Sad kliknite na naziv svog direktorija u Azure AD:

  5. Kliknite na Applications:

  6. Kliknite na Add u donjem dijelu ekrana, pa odaberite Add an application my organization is developing:

  7. Upišite naziv aplikacije (npr. AOSI-o365 plugin), odaberite WEB APPLICATION AND/OR WEB API i kliknite na strelicu za nastavak:

  8. U oba polja upišite neki valjani URL koji će označavati vašu aplikaciju (npr. http://aosi-o365-plugin-mojadomena) i kliknite na kvačicu u donjem desnom kutu za nastavak:

  9. Nakon što ste aplikaciju dodali u Azure AD, potrebno ju je podesiti i prekopirati CLIENT ID i KEY potreban za podešavanje plugina. Kliknite na CONFIGURE:

  10. Na stranici s postavkama potražite polje CLIENT ID i klikom na ikonicu kopirajte njegov sadržaj, pa ga zaljepite u neku datoteku. Taj će vam podatak trebati u procesu instalacije i podešavanja plugina. Nakon što ste iskopirali CLIENT ID, trebate dodati novi ključ aplikacije. U tablici Keys u padajućem izborniku odaberite da ključ traje 2 godine i kliknite na ikonicu SAVE pri dnu ekrana.

  11. Sad klikom na ikonicu kopirajte ključ i zaljepite ga u neku datoteku. Taj će vam podatak trebati u procesu instalacije i podešavanja plugina. VAŽNO: obavezno ključ kopirajte sad. Nakon što odete s ove stranice, nećete više moći do ključa, već ćete morati kreirati novi.

  12. Niže na stranici u tablici permissions to other applications u retku Windows Azure Active Directory u prvom padajućem izborniku (Application Permissions) označite opciju Read and write directory data, pa kliknite na ikonicu SAVE.

  13. Da bi vaša aplikacija (libo365connect-aosi-aai plugin) imala sve potrebne dozvole, potrebno ju je dodati u grupu administratora. Za tu operaciju na svom računalu pokrenite Windows Powershell konzolu, izvršite naredbu:

    PS C:\> connect-msolservice

    i prijavite se uporabom administratorskog korisničkog računa kojeg ste koristili i u prethodnom koraku (onog koji ste otvorili u prvom koraku i koji je oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com, dakle ne AAI@EduHr elektroničkim identitetom):

  14. U ovom koraku ćete koristiti CLIENT ID koji ste prije nekoliko koraka kopirali. U prvu naredbu unutar jednostrukih navodnika iskopirajte svoj CLIENT ID i izvršite sljedeći niz naredbi:

    PS C:\> $ClientIdWebApp = 'OVDJE ISKOPIRAJTE SVOJ CLIENT ID'

    PS C:\> $webApp = Get-MsolServicePrincipal –AppPrincipalId $ClientIdWebApp

    PS C:\> Add-MsolRoleMember -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

     
  15. Time ste završili podešavanje Azure AD za sinkronizaciju s vašim imenikom. Prije nego krenete instalirati plugin, još trebate biti sigurni da imate dovoljno licenci za dodjelu svojim korisnicima koje ćete iz LDAP imenika uvesti u Azure AD. Broj aktivnih licenci možete provjeriti tako da u web sučelju Office 365 usluge na adresi https://portal.office.com u izborniku s lijeve strane, odaberete podizbornik Naplata pa u njemu kliknete na Licence i pogledate koliko valjanih licenci kojeg tipa imate, te od njega oduzmite broj dodijeljenih licenci kako biste saznali koliko Vam je licenci ostalo za dodjelu.
    Plugin omogućava da se različite vrste licenci dodijele različitim vrstama korisnika ovisno o vrijednosti atributa hrEduPersonPrimaryAffiliation (primarna povezanost s ustanovom) zbog toga je važno provjeriti imate li dovoljno licenci za studente/djelatnike.



    Isti podatak sa šifrom licence možete dobiti kroz Windows Powershell konzolu pokretanjem naredbe:

    PS C:\> get-msolaccountsku

    Na slici su istaknute šifre licenci potrebne za podešavanje plugina, a zaokružen je broj valjanih licenci analogno podatku koji je vidljiv kroz web sučelje.

 

Instalacija i podešavanje libo365connect-aosi-aai plugina

AOSI plugin libo365connect-aosi-aai služi sinkronizaciji korisnika iz LDAP imenika ustanove u Azure AD. Detaljan opis plugina, svih njegovih funkcionalnosti i postavki možete pronaći na stranici s opisom plugina.
U procesu instalacije trebat ćete upisati CLIENT ID i KEY koji ste iskopirali u koracima 10. i 11. prethodnog poglavlja pa ih imajte spremne prije nego krenete u postupak instalacije.
Plugin ćete instalirati na svom Linux Debian poslužitelju (na poslužitelju morate imati root ovlasti) na kojem je instaliran vaš AOSI web servis naredbom:

# apt-get install libo365connect-aosi-aai
 

Prijenos postojećih korisnika u Azure AD

Ako plugin instalirate prvi put, potrebno je napraviti početnu sinkronizaciju korisnika iz LDAP imenika u Azure AD. Sinkronizacija se izvodi na način da pokrenete skriptu koja će napraviti eksport korisnika u .ldif datoteku, a sinkronizacijski mehanizam koji je dio plugina će u prvom sljedećem pokretanju (dakle, u sljedećih 10 minuta) korisnike iz .ldif datoteke upisati u Azure AD. Sinkronizacijski mehanizam ne trebate pokretati Vi, već se on pokreće automatski svakih 10 minuta.

Da biste eksportirali sadržaj imenika, na poslužitelju morate imati root ovlasti i pokrenuti naredbu:

# /usr/lib/aosi/Plugins/o365connectLdapExport.pl

 

Često postavljana pitanja

U log-u /var/log/aosi/o365connect/o365connectTransferToAzure.log mi se pojavljuju greške. U čemu je problem?

Ako Vam se u logu /var/log/aosi/o365connect/o365connectTransferToAzure.log pojavljuju greške:

Use of uninitialized value in string eq at /usr/lib/aosi/Plugins/o365connectTransferToAzure.pl line 149,
Use of uninitialized value in concatenation (.) or string at /usr/lib/aosi/Plugins/o365connectTransferToAzure.pl line 164

potrošili ste licence koje su u postavkama plugina podešene da se dodjeljuju korisnicima. U koraku 15 ovih uputa opisano je kako provjeriti broj dostupnih licenci.

Ako se u logu /var/log/aosi/o365connect/o365connectTransferToAzure.log pojavljuju greške:

Tue Sep 26 08:10:01 CEST 2017 : status:401 Unauthorized

Istekao je ključ koji ste generirali u koraku 10 ovih uputa. Potrebno je generirati novi ključ i upisati ga u konfiguracijsku datoteku plugina na stazi /etc/aosi/plugins/o365connect.conf u parametar ofc_clientSecret.

Kako se korisnici prijavljuju u Office 365 svojim elektroničkim identitetom iz sustava AAI@EduHr?

Ako ste prošli kroz sve nabrojane korake, sada bi za vašu domenu trebala biti omogućena autentikacija na Office 365 putem sustava AAI@EduHr. Autentikacija se vrši na način da korisnik pristupi web stranici:

https://login.microsoftonline.com


na desnoj strani u gornje polje upiše svoju AAI@EduHr korisničku oznaku i mišem klikne na polje Password:



Aplikacija neće korisniku dozvoliti da unese zaporku, već će korisnikov web preglednik preusmjeriti na AAI@EduHr sustav jedinstvene autentikacije:



u kojem je potrebno unijeti AAI@EduHr korisničku oznaku i zaporku:



I nakon ispješno provedene autentikacije putem sustava AAI@EduHr, uz uvjet da je korisnik registriran za korištenje Office 365 usluge, korisniku će biti omogućen pristup Office 365 portalu:

 

Kako rješiti problem s nemogućnošću pohrane lokalno uređenih dokmenata iz aplikacija koje su dio Office 365 ProPlus paketa u oblak (OneDrive)?

U radu s lokalno instaliranim Office 365 ProPlus aplikacijama uočen je problem da nije moguće pohraniti dokument uređen lokalno u bilo kojoj od aplikacija koje su dio Office 365 ProPlus paketa u cloud (OneDrive, SharePoint) ako se za prijavu koristi AAI@EduHr elektronički identitet.

Opisani problem odnosi se na Office 2013 aplikacije i trebao bi biti rješen objavom novoh Office paketa u siječnju 2016.
Do objave novog Office paketa, Microsoft preporučuje da uz pomoć uputa dostupnih na adresi:

https://support.office.com/en-us/article/Office-365-release-options-3B3ADFA4-1777-4FF0-B606-FB8732101F47

omogućite korištenje Office 365 First release opcije, koja će korisnicima na stranici za preuzimanje Office 365 ProPlus paketa omogućiti preuzimanje najnovije verzije aplikacija. Nakon što se First Release opcija omogući za domenu, korisnici moraju putem portala preuzeti najnoviju verziju Office 365 ProPlus paketa s kojom ne bi trebali imati problema prilikom prijave korištenjem AAI@EduHr elektroničkih identiteta.

 

Je li moguće uspostaviti vezu sustava AAI@EduHr i Office 365 ako koristim uslugu ugošćavanja AAI servisa na računalu hosting.aaiedu.hr ili Domus?

Da, moguće je. Za uspostavu te veze potrebno je:

  1. Proći sve korake iz ovih uputa osim koraka Instalacija i podešavanje libo365connect-aosi-aai plugina i Prijenos postojećih korisnika u Azure AD;
     
  2. Zatražiti povezivanje sustava AAI@EduHr i Office 365 za svoju ustanovu:
    • ako vaši AAI@EduHr servisi ugošćeni na računalu hosting.aaiedu.hr e-mailom na adresu aai@srce.hr;
    • ako ste korisnik usluge Domus e-mailom na adresu domus@srce.hr;
       
  3. Za uspostavu usluge potrebno je pripremiti sljedeće podatke:
    • Client ID - iz koraka 10. ovih uputa
    • Key - iz koraka 11. ovih uputa
    • Kojim grupama korisnika prema vrijednosti atributa temeljna povezanost s ustanovom - hrEduPersonPrimaryAffiliation (cjeloživotno obrazovanje, djelatnik, gost, korisnik usluge, student, učenik, vanjski suradnik) će biti inicijalno dodijeljena koja licenca. Kako doznati koliko pojedinih licenci imate na raspolaganju opisano je u koraku 15. uputa.

 

U 3. koraku uputa, kod odabira opcije Azure AD sučelje traži ponovnu registraciju te unos broja kreditne kartice. Što dalje?

Opisani problem javlja se zato što Microsoft vašu ustanovu još uvijek nije prepoznao kao edukacijsku, odnosno onu koja ima pravo na besplatan pristup uslugama unutar Office 365 sustava. Ako ste u procesu registracije dobili upitnik o vašoj ustanovi, ispunite ga i pošaljite. Proces registracije ustanove kao edukacijske i dodjele prava na uslugu Office 365, te odgovarajućih licenci može potrajati do 5 dana. Nakon što taj proces završi, moći ćete pristupiti navedenoj opciji bez potrebe za unosom broja kreditne kartice.

 

Kako izvršiti zamjenu certifikata za provjeru SSO autentikacije?

VAŽNO - ovaj dio uputa odnosi se samo na ustanove koje su implementirale autentikaciju na Office365 putem sustava AAI@EduHr do 12. 7. 2017. Ustanove koje su (prvi put) registrirale Office 365 za autentikaciju putem sustava AAI@EduHr nakon 12. 7. 2017. prema gore navedenim uputama već koriste novi certifikat!

Certifikat koji se koristi za provjeru valjanosti autentikacijskih odgovora koje AAI@EduHr SSO sustav prosljeđuje Office 365 aplikaciji istječe 27. 7. 2017. g. Stoga je na strani Office 365 usluge potrebno evidentirati novi certifikat.

Obzirom da certifikat potrebno istodobno zamijeniti i na strani Office 365 servisa i na strani sustava AAI@EduHr, poželjno je da administrator Office 365 usluge zamjenu koordinira s AAI@Eduhr timom. Također, poželjno je da administrator usluge korisnicima najavi kratkotrajni prekid u radu usluge tijekom dogovorenog razdoblja.
 

Procedura zamjene certifikata sastoji se od sljedećih koraka:

1. Administrator Office 365 usluge treba s AAI@EduHr timom dogovoriti točan termin zamjene certifikata kako bi vrijeme nemogućnosti korištenja usluge bilo što kraće.
 

2. Nakon toga, administrator Office 365 usluge treba dohvatiti novi certifikat s adrese:

        https://login.aaiedu.hr/office365/module.php/saml/idp/certs.php/new_idp.crt

i pohraniti ga negdje na svom računalu, npr. u direktorij C:\Users\korisnik\Downloads\


3. Koristeći Windows PowerShell administrator se naredbom:

      connect-msolservice

treba prijaviti u Windows Azure / Office 365 administrativno sučelje. VAŽNO: Za prijavu u PowerShell konzolu OBAVEZNO trebate koristiti korisnički račun oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com. Ni u kom slučaju korisnički račun oblika jednakog vašem elektroničkom identitetu iz sustava AAI@EduHr!!! Nakon prijave, kroz PowerShell konzolu potrebno je izvršiti sljedeće naredbe (pritom umjesto domena.hr treba unijeti LDAP domenu matične ustanove):

      set-msoldomainauthentication -authentication Managed -domainname domena.hr

      $dom = "domena.hr"

      $fedbrandname = "AAI@EduHr"

      $url = "https://login.aaiedu.hr/office365/saml2/idp/SSOService.php?entityID=https://login.aaiedu.hr/office365/"+$dom

      $uri = "https://login.aaiedu.hr/office365/"+$dom

      $logouturl = "https://login.aaiedu.hr/office365/saml2/idp/SingleLogoutService.php?ReturnTo=https://login.aaiedu.hr/office365/logout.php"

      $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Users\korisnik\Downloads\new_idp.crt")

      $certdata = [system.convert]::tobase64string($cert.rawdata)

      set-msoldomainauthentication -domainname $dom -federationbrandname $fedbrandname -authentication Federated -passivelogonuri $url -signingcertificate $certdata -issueruri $uri -logoffuri $logouturl -preferredauthenticationprotocol SAMLP

 

Istodobno će AAI@EduHr tim napraviti zamjenu certifikata na strani sustava AAI@EduHr i o tome obavijestiti administratora resursa nakon čega je potrebno provjeriti radi li prijava korisnika u Office 365 ispravno.