Zum Hauptinhalt gehen
SUPPORT-ÜBERSICHT
AEB.com
de | en

Single Sign-On (SSO) über Microsoft Azure Active Directory via OpenID Connect einrichten

Melanie Drehmann
  • Aktualisiert

Die Anmeldung in das Microsoft Azure Portal erfolgt über https://portal.azure.com.

  • Sie sind für die eigene Anbindung selbst verantwortlich. AEB hält jedoch einige Standard-Dokumentationen bereit, die als Beispiele dienen können. Bei Bedarf können Sie sich gerne an den zuständigen AEB-Ansprechpartner wenden.

1. Azure Active Directory Applikation einrichten

Gehen Sie folgendermaßen vor:

    • Sie sind globaler Administrator oder administrativer Benutzer, der Unternehmensanwendungen anlegen kann.
  1. Öffnen Sie Azure ServicesAzure Active Directory.
  2. Legen Sie im Menü über App RegistrationsNew Registration eine neue Applikation an.
  3. Geben Sie den Namen der Applikation ein, z. B.: "AEB SE SSO (Test)".
  4. Setzen Sie den Zugang zur App auf Single tenant.
  5. Geben Sie als Redirect URI die von AEB übermittelte URL ein, z. B.: "https://test.idp.aeb.com/auth/realms/aeb/broker/<beispiel>/endpoint".
  6. Klicken Sie auf Register, um die Applikation anzulegen.
  7. Bestätigen Sie unter API permissions die notwendigen Berechtigungen durch Klicken auf Grant admin consent for AEB SE.
  8. Erzeugen Sie unter Certificates & secrets einen client secret mit der gewünschten Gültigkeit.
    • Wichtig: Kopieren und speichern Sie den client secret nach dem Generieren, damit er zu einem späteren Zeitpunkt an AEB übermittelt werden kann.

2. Daten an AEB übermitteln

Übermitteln Sie folgende Daten an AEB, damit AEB die Applikation anbinden kann:

  • Application (client) ID: Sie finden diese in der angelegten App Registration unter Overview.
  • OpenID Connect metadata document: Sie finden dieses in der angelegten App Registration unter Overview - Endpoints.
  • Client secret: Den zuvor abgespeicherten client secret der Applikation.

3. Rechte in der Unternehmensanwendung vergeben (optional)

Sie können die Anmeldung über die Applikation auf bestimmte Benutzer oder Gruppen beschränken.

Gehen Sie folgendermaßen vor:

  1. Öffnen Sie Azure ServicesAzure Active Directory.
  2. Wählen Sie unter Enterprise applications die entsprechende Applikation aus.
  3. Stellen Sie unter Properties die Angabe User assignment required? auf Yes.
  4. Klicken Sie unter Users and groups auf +Add user, um Benutzer oder Gruppen auszuwählen, die sich über die Applikation anmelden dürfen.

4. Gruppen des Azure Active Directory im Token übergeben (optional)

Variante 1

Wenn ein Mapping von Gruppen aus Ihrem Azure Active Directory stattfinden soll, siehe auch Abschnitt Rollen und Rechte für Single Sign-on (SSO) erstellen, müssen Sie diese im Token übermitteln. Nur so ist eine automatische Rollenzuweisung in den AEB-Anwendungen möglich. Als ersten Schritt fügen Sie die Rollen der Applikation zu und weisen sie in einem zweiten Schritt in der Unternehmensanwendung Benutzern oder Gruppen zu.

  • AEB empfiehlt diese Variante 1 der Übergabe.

Gehen Sie folgendermaßen vor, um Rollen zu der Applikation hinzuzufügen:

  1. Öffnen Sie Azure ServicesAzure Active Directory.
  2. Wählen Sie unter App Registrations die entsprechende Applikation aus.
  3. Unter Manifest fügen Sie der Applikation Rollen hinzu:
  • Description und Displayname können Sie frei wählen.
  • Legen Sie als Wert den Rollennamen aus der AEB-Anwendung fest.
  • Generieren Sie eine eindeutige ID (z. B. in einem GUID-Generator).

Gehen Sie folgendermaßen vor, um den angelegten Rollen Benutzer oder Gruppen hinzuzufügen:

  1. Öffnen Sie Azure ServicesAzure Active Directory.
  2. Wählen Sie unter Enterprise applications die entsprechende Applikation aus.
  3. Unter Users and groups können Sie über +Add user die von Ihnen gewünschten Benutzer oder Gruppen auswählen.
  4. Über Select a role weisen Sie die zuvor angelegten Rollen zu.

Variante 2

Wenn ein Mapping von Gruppen aus Ihrem Azure Active Directory stattfinden soll, siehe auch Abschnitt Rollen und Rechte für Single Sign-on (SSO) erstellen, müssen Sie diese im Token übermitteln. Nur so ist eine automatische Rollenzuweisung in den AEB-Anwendungen möglich.

  • AEB empfiehlt diese Variante 2 der Übergabe nicht, da sie sehr unflexibel ist: In der Einrichtungsphase muss die Gruppen-ID an die AEB übermittelt werden, wodurch bei jeder Anpassung eine Einrichtung seitens AEB notwendig ist.

Gehen Sie folgendermaßen vor, um den Gruppen Rollen zuzuordnen:

  1. Öffnen Sie Azure ServicesAzure Active Directory.
  2. Wählen Sie unter App Registrations die entsprechende Applikation aus.
  3. Öffnen Sie unter Token configuration über + Add groups claim den Editor.
  4. Wählen Sie die gewünschte Konfiguration und bestätigen Sie diese über Add.
    • AEB empfiehlt, dass Sie nur definierte Gruppenmitgliedschaften mit der Einstellung Groups assigned to the application übergeben. Eine Anpassung des Tokens muss nicht vorgenommen werden. Standardmäßig wird die „Group ID“ übergeben.
  5. Aktivieren Sie unter Customize token properties by type die Option Edit groups as role claims. Dadurch werden Gruppen als Rollen übertragen.

Gehen Sie folgendermaßen vor, um abschließend der Unternehmensanwendung Gruppen zuzuordnen:

  1. Öffnen Sie Azure ServicesAzure Active Directory.
  2. Wählen Sie unter Enterprise applications die entsprechende Applikation aus.
  3. Wählen Sie unter Users and groups über +Add user die von Ihnen gewünschten Benutzer oder Gruppen aus.

Vorherige Schritte beim Einrichten des Single Sign-on (SSO)

  1. Single Sign-on (SSO) über ein Identity and Access Management System realisieren
  2. Endpunkte für Single Sign-on (SSO) einrichten
  3. Rollen und Rechte für Single Sign-on (SSO) erstellen

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.