Vertex Flow'n käyttäjähallinta (2025)
Yleistä
Vertex Flow 25.0 tuo mukanaan uudistuksen käyttäjähallintaan. Moderni ja standardisoitu tapa hallita käyttäjiä keskitetysti Keycloakin avulla lisää turvallisuutta mahdollistaen jatkossa mm. kaksivaiheisen tunnistautumisen. Käyttäjille uudistus näkyy mm. uudistuneena Vertex Flow'n kirjautumisikkunana ja unohtuiko salasana -toimintona, jolla uusi salasana tilataan pääkäyttäjää kuormittamatta.
Välittömästi Vertex Flow 25.0 -päivityksen jälkeen on käyttäjät siirrettävä Keycloakin hallintaan tämän ohjeen mukaisesti. Perinteisen autentikoinnin tuki päättyy versiossa 26.0.
Pääkäyttäjän ei lähtökohtaisesti tarvitse käyttää Keycloakin omaa käyttöliittymää. Kaikki käyttäjähallinnan perustoiminnot pystyy hoitamaan Flow'n käyttöliittymän kautta.
Kun Flow'n Keycloak liitetään yrityksen IDP:hen, esimerkiksi Microsoft Entra ID:hen, käyttäjä voi kirjautua samalla tunnus-salasanaparilla Flow'hun (ja Flow'n client-ohjelmiin) kuin muihinkin Entran hallinnassa oleviin sovelluksiin. Kertakirjautuminen (SSO) helpottaa käyttöä entisestään: salasana pitää syöttää vain kerran.
Entran sijaan Flow voidaan liittää myös muuhun IAM-ratkaisun IDP:hen, esimerkiksi Googleen tai Vertex ID:hen.
Terminologiaa
Flow'n client-ohjelmat - ohjelmat joista on yhteys Flow'hun, esimerkiksi Flowlet, Flow for SolidWorks, Vertex G4 ja muut Vertex CADit
IAM - Identity and Access Management eli identiteetin- ja pääsynhallinta (esimerkiksi Microsoft Entra ID)
IDP - Identity Provider identiteetinhallinta (IAM:n osa-alue)
Keycloak - Flow'n sisältämä käyttäjähallintatuote, joka käyttää OAuth2-protokollaa ja mahdollistaa SSO:n
Microsoft Entra ID - entinen Microsoft Azure Active Directory, pilvipohjainen IAM-ratkaisu. Tässä ohjeessa käytetään vain termiä Entra.
OAuth2 - Open Authorization 2.0 on protokolla, joka mahdollistaa datan jakamisen sovellusten välillä turvallisesti vaihtamalla valtuuksia.
SSO - Single Sign-On eli kertakirjautuminen päästää käyttäjät turvallisesti useisiin järjestelmiin ilman erillisiä kirjautumisia ja monien salasanojen muistamista. Ratkaisu keskittää käyttäjän tunnistamisen ja mahdollistaa myös vahvan tunnistamisen.
Identiteetin- ja pääsynhallinta (IAM) kaaviona
Oheisessa kuvassa on yksinkertaistettu IAM:n rakenne neljään osa-alueeseen
- Authentication (hallitaan standardilla OAuth2 Keycloakin tai ulkoisen IDP:n toimesta)
- Authorization (hallitaan Flow'ssa käyttöoikeuksilla ja käyttäjälisensseillä)
- User Management (hallitaan Flow'ssa)
- Central User Repository (hallitaan Keycloakin tai ulkoisen IDP:n toimesta)
Edut
Uuden käyttäjähallinnan edut ovat mm.
- turvallisuus (kaksivaiheinen tunnistus, OAuth2)
- helppokäyttöisyys (vain yksi IDP, SSO)
- uuden salasanan tilaus itsepalveluna
- standardoitu autentikointitapa integroiduttaessa Flow'hun (OpenAPI)
Liitä Vertex Flow yrityksesi Entraan
Jotta saat kaikki hyödyt irti Flow'n uudesta käyttäjähallinnasta, kannattaa Flow liittää yrityksesi Identity Provideriin (IDP), jos sellainen on käytössä. Tässä ohjeessa oletetaan sen olevan Microsoft Entra ID.
Teknisesti em. liittäminen tarkoittaa Flow'n Keycloakin yhdistämistä Entraan. Liittämisen jälkeen Flow'hun kirjaudutaan Microsoftin Entra-kirjautumisdialogilla. Katso oheiset kuvat.
Käyttäjän identiteetti määräytyy sähköpostiosoitteen mukaan, eli Flow'n tietokannan käyttäjän sähköpostiosoite on löydyttävä Identity Providerin käyttäjätietokannasta.
Voit liittää yrityksesi Vertex Flow'n Microsoft Entran sijaan myös johonkin toiseen Identity Provideriin, esimerkiksi Googleen tai Vertex ID:hen.
Jos haluat liittää Flow'n yrityksesi Identity Provideriin, ota yhteyttä Vertex-tukeen.
Vertex Flow ensikirjautuminen Entran kautta
Kun Flow on liitetty Entraan, käyttäjät voivat kirjautua Flow'hun samoilla tunnus-salasanapareilla kuin muihinkin Entraan liitetyillä sovelluksilla. Ensimmäisella kirjautumiskerralla Flow'hun käyttäjän pitää sallia tämä liitos myös omalta osaltaan.
Katso tästä, miten yksittäinen käyttäjä kirjautuu ensimmäisen kerran Entran kautta Flow'hun.
Vertex Flow ensikirjautuminen ilman Entraa tai vastaavaa IAM-ratkaisua
Jos yrityksessäsi ei ole käytössä Entraa tai vastaavaa identiteetinhallintatuotetta, Flow'n käyttäjätunnukset salasanoineen hallitaan Flow'n Keycloakissa. Muut yrityksesi sovellukset käyttävät silloin omia erillisiä tunnus-salasanapareja.
Katso tästä, miten yksittäinen käyttäjä kirjautuu ensimmäisen kerran Flow'hun Keycloakin avulla (ilman Entraa).