Sure, you can handle it. But should you?
Let our experts manage the tech maintenance while you focus on your business.
Let our experts manage the tech maintenance while you focus on your business.
Handbuch
Single Sign-On mit Microsoft Entra ID oder Active Directory Federation Services
Einleitung
Single Sign-On (SSO) gibt Benutzer:innen die Möglichkeit sich durch die Anmeldung in einem System automatisch für mehrere Systeme anzumelden, vorausgesetzt alle Systeme verwenden SSO. Durch diese Vereinfachung können sich Benutzer:innen zum Beispiel in Atlassian Confluence anmelden und werden dann auch automatisch in Mindbreeze InSpire angemeldet. Mindbreeze InSpire verwendet dabei die bestehende Session des Benutzers und überprüft deren Gültigkeit mittels OAuth2- und JWT-Validierung.
In den folgenden Kapiteln werden die notwendigen Schritte beschrieben, um SSO via Microsoft Active Directory Federation Services (AD FS) oder Microsoft Entra ID (ME-ID) zu konfigurieren und mit Mindbreeze InSpire zu verwenden.
Achtung: Microsoft Entra ID (ME-ID) ist der neue Name für Microsoft Azure Active Directory (Azure AD). Für mehr Informationen, was Microsoft Entra ID ist oder welche Änderungen es bei Azure Active Directory zu beachten gibt, siehe What is Microsoft Entra ID? - Microsoft Entra | Microsoft Learn und New name for Azure Active Directory - Microsoft Entra | Microsoft Learn.
Voraussetzungen
Um Single Sign-On mit Microsoft Entra ID oder Microsoft Active Directory Federation Services zu verwenden, muss OAuth2 und JWT oder SAML auf dem jeweiligen Identity Provider (IdP) konfiguriert sein.
Die Konfiguration von OAuth2 und JWT in Microsoft Entra ID wird im nachfolgenden Kapitel Konfiguration von OAuth2 und JWT in Microsoft Entra ID beschrieben.
Die Konfiguration von OAuth2 und JWT in Microsoft Active Directory Federation Services wird im nachfolgenden Kapitel Konfiguration von OAuth2 und JWT in Microsoft Active Directory Federation Services beschrieben.
Die Konfiguration von SAML in Microsoft Entra ID wird in der Dokumentation SAML Authentifizierung - Konfiguration mit Microsoft Entra ID beschrieben.
Die Konfiguration von SAML in Microsoft Active Directory Federation Services wird in der Dokumentation SAML Authentifizierung - Konfiguration mit Microsoft Active Directory Federation Services (ADFS) beschrieben.
Konfiguration
Wenn Sie SAML auf Ihrem IDP und in Mindbreeze InSpire eingerichtet haben, können Sie mit der benötigten Konfiguration für SSO beginnen. Je nachdem, ob Sie ME-ID oder AD FS verwenden wollen, hilft Ihnen einer der folgenden Abschnitte dabei.
Konfiguration von OAuth2 und JWT in Microsoft Entra ID
Wenn Sie Microsoft Entra ID (ME-ID) als IDP für SSO verwenden, führen Sie folgende Schritte durch.
Schritt 1: Registrierung einer Microsoft Azure Applikation
Geben Sie bei der Registrierung einen Namen für die neue Microsoft Azure Applikation an und wählen Sie die passende Option bei „Supported account types“ aus. Zum Beispiel können Sie die Option „Accounts in any organizational directory (Any Microsoft Entra ID tenant – Multitenant)“ auswählen, wenn Sie Accounts unterstützen wollen, die von einer anderen Microsoft Entra ID kommen. Vergeben Sie auch eine URI bei der Einstellung „Redirect URI“, die auf die Search App Ihrer Appliance weiterleitet und wählen Sie Single-page application (SPA) aus.
Mehr Informationen zur Registrierung einer Microsoft Azure Applikation finden Sie unter How to register an app in Microsoft Entra ID - Microsoft identity platform | Microsoft Learn.
Schritt 2: Definition eines Scope
Standardmäßig werden von Microsoft Azure Single-Page Applications (SPAs) bei der Verwendung von OAuth 2 JWTs für die Microsoft Graph API ausgestellt, die nur von der Microsoft Graph API selbst validiert werden können. Damit die ausgestellten JWTs jedoch von Mindbreeze InSpire validiert werden können, muss ein neuer Scope definiert werden.
Für mehr Informationen, wie man einen Scope definiert, siehe How to configure an application to expose a web API - Microsoft identity platform | Microsoft Learn.
Schritt 3: Scope als Zugriffsrecht hinzufügen
Fügen Sie den gerade erstellen Scope als Zugriffsrecht hinzu.
Für mehr Informationen, wie man Zugriffsrechte vergibt, siehe Web API app registration and API permissions - Microsoft identity platform | Microsoft Learn.
Stimmen Sie der Änderung zu, indem Sie mit „Grant admin consent for <Tenant>“ bestätigen.
Die Microsoft Azure Applikation ist nun vollständig konfiguriert.
Konfiguration der JWT Token Validierung in Mindbreeze InSpire für ME-ID
Damit JWTs, die von der erstellten ME-ID App ausgestellt werden, in Mindbreeze InSpire validiert werden können und der UPN des angemeldeten Users ausgelesen werden kann, muss JWT Authentication in Mindbreeze InSpire aktiviert und konfiguriert werden.
Gehen Sie dazu im Mindbreeze Management Center auf Configuration. Wechseln Sie anschließend zum Tab Client Services und aktivieren Sie die Advanced Settings. Scrollen Sie anschließend zum Bereich JWT Authentication Settings und konfigurieren Sie die Einstellungen folgendermaßen:
