Zum Hauptinhalt gehen
Deutsch' English

Single Sign-On (SSO) über Microsoft Azure Active Directory via OpenID Connect einrichten

Melanie Drehmann
  • Aktualisiert

Die Anmeldung in das Microsoft Azure Portal erfolgt über https://portal.azure.com.

  • Sie sind für die eigene Anbindung selbst verantwortlich. AEB hält jedoch einige Standard-Dokumentationen bereit, die als Beispiele dienen können. Bei Bedarf können Sie sich gerne an den zuständigen AEB-Ansprechpartner wenden.

1. Azure Active Directory Applikation einrichten

Gehen Sie folgendermaßen vor:

    • Sie sind globaler Administrator oder administrativer Benutzer, der Unternehmensanwendungen anlegen kann.
  1. Öffnen Sie Azure ServicesAzure Active Directory.
  2. Legen Sie im Menü über App RegistrationsNew Registration eine neue Applikation an.
  3. Geben Sie den Namen der Applikation ein, z. B.: "AEB SE SSO (Test)".
  4. Setzen Sie den Zugang zur App auf Single tenant.
  5. Geben Sie als Redirect URI die von AEB übermittelte URL ein, z. B.: "https://test.idp.aeb.com/auth/realms/aeb/broker/<beispiel>/endpoint".
  6. Klicken Sie auf Register, um die Applikation anzulegen.
  7. Bestätigen Sie unter API permissions die notwendigen Berechtigungen durch Klicken auf Grant admin consent for AEB SE.
  8. Erzeugen Sie unter Certificates & secrets einen client secret mit der gewünschten Gültigkeit.
    • Wichtig: Kopieren und speichern Sie den client secret nach dem Generieren, damit er zu einem späteren Zeitpunkt an AEB übermittelt werden kann.

2. Daten an AEB übermitteln

Übermitteln Sie folgende Daten an AEB, damit AEB die Applikation anbinden kann:

  • Application (client) ID: Sie finden diese in der angelegten App Registration unter Overview.
  • OpenID Connect metadata document: Sie finden dieses in der angelegten App Registration unter Overview - Endpoints.
  • Client secret: Den zuvor abgespeicherten client secret der Applikation.

3. Rechte in der Unternehmensanwendung vergeben (optional)

Sie können die Anmeldung über die Applikation auf bestimmte Benutzer oder Gruppen beschränken.

Gehen Sie folgendermaßen vor:

  1. Öffnen Sie Azure ServicesAzure Active Directory.
  2. Wählen Sie unter Enterprise applications die entsprechende Applikation aus.
  3. Stellen Sie unter Properties die Angabe User assignment required? auf Yes.
  4. Klicken Sie unter Users and groups auf +Add user, um Benutzer oder Gruppen auszuwählen, die sich über die Applikation anmelden dürfen.

4. Gruppen des Azure Active Directory im Token übergeben (optional)

Wenn ein Mapping von Gruppen aus Ihrem Azure Active Directory stattfinden soll, siehe auch Abschnitt Rollenvergabe über Ihren Identity Provider, müssen Sie diese im Token übermitteln. Nur so ist eine automatische Rollenzuweisung in den AEB-Anwendungen möglich.

Variante 1 (empfohlen): Rollenübergabe über App Roles

Sie können die Rollenzuweisung vornehmen, indem Sie zu Ihrer Enterprise Application eine App Registration anlegen und dort Rollen definieren. Weitere Informationen finden Sie in der offiziellen Microsoft-Dokumentation: https://docs.microsoft.com/de-de/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps.

  • Bitte beachten Sie, dass AEB den Value der App Role benötigt, um ein Mapping vornehmen zu können.

Variante 2: Rollenübergabe über Gruppen

  • Nachteil dieser Variante ist, dass die Gruppen-ID nicht sprechend ist und dadurch auf Seiten von AEB nicht erkennbar ist, wie der Gruppenname lautet.

Gehen Sie folgendermaßen vor, um den Gruppen Rollen zuzuordnen:

  1. Öffnen Sie Azure ServicesAzure Active Directory.
  2. Wählen Sie unter App Registrations die entsprechende Applikation aus.
  3. Öffnen Sie unter Token configuration über + Add groups claim den Editor.
  4. Wählen Sie die gewünschte Konfiguration und bestätigen Sie diese über Add. AEB empfiehlt, dass Sie nur definierte Gruppenmitgliedschaften mit der Einstellung Groups assigned to the application übergeben. Eine Anpassung des Tokens muss nicht vorgenommen werden. Standardmäßig wird die „Group ID“ übergeben.
  5. Aktivieren Sie unter Customize token properties by type die Option Edit groups as role claims. Dadurch werden Gruppen als Rollen übertragen.

Gehen Sie folgendermaßen vor, um abschließend der Unternehmensanwendung Gruppen zuzuordnen:

  1. Öffnen Sie Azure ServicesAzure Active Directory.
  2. Wählen Sie unter Enterprise applications die entsprechende Applikation aus.
  3. Wählen Sie unter Users and groups über +Add user die von Ihnen gewünschten Benutzer oder Gruppen aus.
  • Bitte beachten Sie, dass AEB die Group ID und den zugehörigen Rollennamen benötigt, um ein Mapping vornehmen zu können.

Vorherige Schritte beim Einrichten des Single Sign-on (SSO)

  1. Single Sign-on (SSO) über ein Identity and Access Management System realisieren
  2. Endpunkt für Single Sign-on (SSO) einrichten
  3. Rollen und Rechte für Single Sign-on (SSO) erstellen

Verwandte Beiträge

Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.