Single Sign-On mit Azure Active Directory (Azure AD)

Welcher Benutzer darf die Azure AD Anbindung konfigurieren?

Die Konfiguration kann nur von dem Benutzer durchgeführt werden, welcher die Registrierung zu urlaubsverwaltung.cloud durchgeführt hat. Dieser Benutzer hat die Berechtigung auf Mein Kundenportal, über welches die Konfiguration durchgeführt werden kann.

Zu Mein Kundenportal gelangst du über urlaubsverwaltung.cloud > Login und nach erfolgreichem Login über die Kachel Mein Kundenportal.

Wie können Benutzer aus Active Directory verwendet werden?

Eine direkte Anbindung von einer lokalen Active Directory Instanz zu urlaubsverwaltung.cloud wird nicht unterstützt. Jedoch ist es möglich Benutzer aus deinem Active Directory zu verwenden, wenn dieses via Azure AD Connect mit Azure AD synchronisiert wird. Details dazu findest du bei Microsoft in der Dokumentation Installation von Azure AD Connect.

Welche Daten eines Benutzers aus Azure AD werden verwendet?

Bei der Anbindung von Azure AD erhalten wir über den ID Token Zugriff auf folgende Attribute:

• email: Die E-Mail-Adresse des Benutzers
• family_name: Der Nachname des Benutzers
• given_name: Der Vorname des Benutzers

Welche API Berechtigungen von Microsoft werden verwendet?

Durch die Ansprüche im ID Token benötigt die registrierte App folgende Berechtigungen auf die Microsoft Graph-API:

• email
• openid
• profile
• User.Read

Wie kann ich die Azure AD Anbindung konfigurieren?

Dazu sind folgende Schritte notwendig:

• Schritt 1: Neue App-Registrierung im Azure AD durchführen
• Schritt 2: Auf Mein Kundenportal die Anbindung konfigurieren
• Schritt 3: Für App-Registrierung Umleitungs-URI konfigurieren
• Schritt 4: Anmelden via Azure AD

Schritt 1: Neue App-Registrierung im Azure AD durchführen

Zunächst musst du dich im Azure-Portal mit deinem Azure-Konto anmelden. Danach wechselst du zu Azure Active Directory > App-Registrierungen > Neue Registrierung und kannst mit der Registrierung starten.

1. Als Name der Anwendung kann z. B. urlaubsverwaltung.cloud verwendet werden
2. Für den Punkt Unterstütze Kontotypen muss Nur Konten in diesem Organisationsverzeichnis ausgewählt werden
3. Umleitungs-URI überspringen und wird in Schritt 3 konfiguriert
4. Nun auf Registrieren klicken

Nach erfolgreicher Registrierung kommst du auf die Übersichtsseite der App-Registrierung.

Auf dieser Seite findest du zwei wichtige Informationen, welche in Schritt 2 benötigt werden. Am besten erstellt man eine Datei über einen Texteditor (z.B. Notepad) und kopiert die Werte dort hinein.

1. Wert von Anwendungs-Id kopieren und in Textdatei einfügen
2. Wert von Verzeichnis-Id kopieren und in Textdatei einfügen

Neuer geheimer Clientschlüssel erstellen

1. Im Menu zu Zertifikate & Geheimnisse wechseln
2. Neuer geheimer Clientschlüssel klicken
3. Unter Beschreibung eine Beschreibung vergeben z.B. oidc-client-secret-2021-10
4. Gültig bis die Laufzeit des Clientschlüssels auswählen.

5. Über einen Klick auf Hinzufügen wird der neue geheime Clientschlüssel angelegt.

Den erzeugten Wert des Clientschlüssels kopieren und ebenfalls in die Textdatei einfügen.

Tokenkonfiguration durchführen: Um Benutzer innerhalb der Urlaubsverwaltung persönlich ansprechen zu können bzw. für die Zustellung von E-Mails an Benutzer benötigen wir folgende Daten:

1. Im Menu zu Tokenkonfiguration wechseln
2. Optionalen Anspruch hinzufügen klicken
3. Tokentyp ID auswählen
4. email
5. family_name
6. given_name
7. Über einen Klick auf Hinzufügen wird der ID-Token nun mit den benötigen Informationen ausgestattet.

Es wird dabei eine Meldung angezeigt, dass für die Ansprüche email, family_name und given_name die entsprechende Microsoft Graph-Berechtigung aktiviert werden muss.

Schritt 2: Auf Mein Kundenportal die Anbindung konfigurieren

Dazu muss man nun zu Mein Kundenportal von urlaubsverwaltung.cloud via Login und über die Kachel Mein Kundenportal wechseln. Unter Single-Sign-On > Azure AD gelangst du nun auf die Konfigurationsseite.

Zuerst kopierst du die hervorgehobene URI in die Textdatei, welche in Schritt 3 als Umleitungs-URI konfiguriert wird.

Nun brauchen wir die Werte aus der Textdatei von Schritt 1:

1. Wert von Anwendungs-Id
2. Wert von Clientschlüssel
3. Wert von Verzeichnis-Id
4. Ein Klick auf speichern konfiguriert nun die Anbindung von urlaubsverwaltung.cloud zu Azure AD

Schritt 3: Für App-Registrierung Umleitungs-URI konfigurieren

Bei der registrierten App im Azure AD wird nun eine neue Plattform hinzugefügt:

1. Authentifizierung
2. Plattform hinzufügen
3. Typ Web

Zum Schluss muss noch die Umleitungs-URI konfiguriert werden:

1. Die Umleitungs-URI aus der Textdatei als Umleitungs-URI einfügen
2. Konfigurieren klicken

Nun ist die Konfiguration auf Seiten von Azure AD abgeschlossen.

Schritt 4: Anmeldung via Azure AD

Nachdem die Konfiguration von Schritt 1 bis 3 erfolgreich durchgeführt wurde, kann nun die Anmeldung zu urlaubsverwaltung.cloud via Azure AD erfolgen. Dazu öffnest du urlaubsverwaltung.cloud > Login, gibst deine E-Mail ein, klickst auf Weiter. Nun wirst du zur Anmelde-Seite von Microsoft umgeleitet und musst dich mit deinem Microsoft Konto anmelden.

Es erscheint eine Meldung, dass der Zugriff auf die Angeforderten Berechtigungen (Details siehe Schritt 2) akzeptiert werden muss.

1. Zustimmung im Name Ihrer Organisation anklicken, somit akzeptierst du den Zugriff für alle Personen innerhalb deiner Organisation
2. Akzeptieren anklicken

Danach wirst du auf den Authentifizierungsserver von urlaubsverwaltung.cloud weitergeleitet. Dieser merkt, dass es zu deiner E-Mail-Adresse schon ein Konto gibt.

1. Durch einen Klick auf Zu einem bestehenden Benutzerkonto hinzufügen weist du den Authentifizierungsserver von urlaubsverwaltung.cloud an, dass du das Azure AD Konto mit dem urlaubsverwaltung.cloud Konto verknüpfen möchtest.

Der Authentifizierungsserver von urlaubsverwaltung.cloud schickt dir nun eine E-Mail mit einem Link, um sicher zu stellen, dass die Verknüpfung der Benutzerkonten auch wirklich von dir angefordert wurde und du im Besitz beider Benutzerkonten bist.

E-Mail mit Link zum Bestätigen der Benutzerkonto-Verknüpfung

1. Nach einem Klick auf Link zur Bestätigung der Kontoverknüpfung gelangst du nun in das Portal von urlaubsverwaltung.cloud

Nun hast du erfolgreich die Integration von Azure AD und urlaubsverwaltung.cloud durchgeführt.

Die Verknüpfung des Kontos von urlaubsverwaltung.cloud und Azure AD erfolgt nur für deinen Benutzer bzw. für Benutzer, welche vor der Integration mit Azure AD Zugriff auf urlaubsverwaltung.cloud haben. Für neue Benutzer ist dies nicht erforderlich und sie können direkt auf die Urlaubsverwaltung zugreifen.