Integrační příručka pro IT tým zákazníka. Swopi podporuje jednotné přihlášení standardem OpenID Connect (OIDC) s identity providerem ve správě zákazníka a autorizaci uživatelů mapováním rolí na základě skupin v Entra ID.
Přehled integrace
| Protokol | OpenID Connect (OAuth 2.0, authorization code flow) |
| Identity provider | Microsoft Entra ID (tenant zákazníka) |
| Mapování rolí | Entra security groups → role ve Swopi (Admin / Manager / Uživatel) |
| Ověřování tokenů | Server-side, podpis přes JWKS tenanta, validace issuer + audience |
| Rozsah oprávnění | Pouze OIDC openid, email, profile + groups claim — žádné Graph API scopes (least privilege) |
| Uložení credentials | Client Secret je uložen výhradně v server-side konfiguraci identity platformy, nikdy v kódu ani repozitáři |
Postup nasazení
Krok 1 — App registrace na straně zákazníka
V Azure Portal → Microsoft Entra ID → App registrations → New registration:
- Redirect URI (typ Web):
https://swopi-prod.firebaseapp.com/__/auth/handler - Certificates & secrets → vytvořit Client Secret.
- Token configuration → Add groups claim → Security groups → zahrnout do ID tokenu. (Bez tohoto kroku nelze mapovat role.)
- Vytvořit security groups pro role ve Swopi, doporučené názvy:
swopi-admins— administrátoři Swopiswopi-managers— manažeři týmů- (ostatní přihlášení uživatelé = běžný uživatel)
Krok 2 — Předání údajů Swopi
Bezpečným kanálem předat:
- Application (client) ID
- Client Secret
- Directory (tenant) ID
- Object ID skupin
swopi-adminsaswopi-managers
Krok 3 — Aktivace na straně Swopi
Swopi nakonfiguruje OIDC providera a doménový routing (do 2 pracovních dnů od předání údajů). Následně:
- Uživatelé se přihlašují na dashboardu tlačítkem „Pokračovat přes SSO" zadáním firemního e-mailu.
- Role se synchronizuje při každém přihlášení podle aktuálního členství ve skupinách — změna skupiny v Entra se projeví při příštím loginu.
- Nově přihlášený uživatel je automaticky zařazen do organizace zákazníka a při prvním přihlášení se mu automaticky vytvoří digitální vizitka předvyplněná jménem a e-mailem z Entra ID (včetně QR kódu a wallet passů).
Role ve Swopi
| Role | Oprávnění |
|---|---|
| Admin | Plná správa organizace: uživatelé, vizitky, zařízení, nastavení, fakturace |
| Manager | Správa vizitek, kontaktů a zařízení týmu; bez správy uživatelů, fakturace a nastavení organizace |
| Uživatel | Správa vlastní vizitky a kontaktů |
Bezpečnost
- ID token z Entra je při každém přihlášení kryptograficky ověřen na serveru (podpis přes JWKS tenanta, kontrola issuer i audience). Údajům z klienta se nedůvěřuje.
- Swopi nepožaduje žádná oprávnění ke čtení dat tenanta (žádné Graph scopes).
- Client Secret lze kdykoliv rotovat — stačí předat nový, výměna proběhne bez výpadku.
SCIM 2.0 provisioning
- K dispozici — automatizovaný provisioning a deprovisioning uživatelů řízený přímo z Entra ID. Viz příručka „SCIM 2.0 provisioning“.
Kontakt pro integraci: support@swopi.co