Azure Single-Sign-On einrichten

Aus CrewBrain Wiki
Zur Navigation springen Zur Suche springen

CrewBrain bietet die Möglichkeit, die Anmeldung der Mitarbeiter über Azure Single-Sign-On ("Login mit Microsoft") abzubilden. Hierfür muss CrewBrain mit dem jeweiligen Azure-Tenant verknüpft werden.

Nachdem das Feature durch den Support freigeschaltet wurde, können die relevanten Parameter unter Verwaltung > System > Microsoft Azure hinterlegt werden.

Tenant-ID finden und hinterlegen

Azure Overview.jpg

Das Microsoft Admin-Center kann über die URL https://aad.portal.azure.com/ aufgerufen werden. Klicken Sie dort auf "Azure Active Directory" und dann auf "Übersicht", um die Tenant-ID ("Mandanten-ID") zu finden. Kopieren Sie diese ID in das Feld "Azure Tenant" in CrewBrain (Verwaltung > System > Microsoft Azure).




CrewBrain als App registrieren

Azure App Registration.jpg

Klicken Sie im Microsoft Admin-Center links auf App-Registrierungen und anschließend auf "Neue Registrierung". Vergeben Sie einen Namen (z.B. "CrewBrain") und stellen Sie ein, wer sich anmelden darf (in der Regel "nur Konten in diesem Organisationsverzeichnis". Bitte hinterlegen Sie noch keine Umleitungs-URL, diese wird später separat angelegt. Klicken Sie anschließend auf "Registrieren". Rufen Sie die Anwendung anschließend aus der Liste heraus auf, um die Anwendungs-ID zu erhalten, die Sie ebenfalls nach CrewBrain in das Feld "Client-ID" kopieren.



Umleitungs-URLs hinterlegen

Innerhalb der Detailansicht der App-Registrierung klicken Sie nun auf "Authentifizierung". Klicken Sie nun auf "Plattform hinzufügen" und wählen Sie "Web". Nun hinterlegen Sie folgende Umleitungs-URL, wobei Sie "subdomain" durch Ihre individuelle CrewBrain-Subdomain ersetzen: 

https://subdomain.crewbrain.com/azureauth/

Im Abschnitt "Implizite Genehmigung und Hybridflows" wählen Sie die Option "Zugriffstoken". Speichern Sie die Änderungen anschließend.

Nun können weitere URLs hinzugefügt werden. Bitte fügen Sie zusätzlich auch die folgende URL für die CrewBrain-App hinzu: 

https://subdomain.crewbrain.com/azureappauth/

Geheimen Clientschlüssel hinterlegen

Um die Verbindung mit Azure abzusichern muss ein geheimer Client-Schlüssel hinterlegt werden. Klicken Sie dafür im Detail-Bereich der App-Registrierung auf "Zertifikate & Geheimnisse" und dort auf "Geheime Clientschlüssel". Klicken Sie nun auf "neuer geheimer Clientschlüssel" und hinterlegen Sie eine Beschreibung und die gewünschte Gültigkeit. Klicken Sie anschließend auf Hinzufügen.

WICHTIG: Der Schlüssel wird nur direkt nach dem Speichern im Klartext angezeigt. Kopieren Sie diesen Schlüssel in das Feld Client Secret in CrewBrain. Der Schlüssel wird auch in CrewBrain später nicht mehr angezeigt.

WICHTIG: Jeder Schlüssel hat eine Laufzeit. Setzen Sie sich eine Erinnerung in Ihrer Todo-Liste, damit Sie rechtzeitig vor Ablauf einen neuen Schlüssel erzeugen und in CrewBrain hinterlegen. Andernfalls ist nach Ablaufen des Schlüssels keine Anmeldung mehr möglich!

Anmeldung sperren

Wird die Anmeldung über Microsoft Azure vorgenommen, so besteht die Möglichkeit, den „normalen“ Login zu sperren. In diesem Fall können sich die Benutzer nicht mehr mit Benutzername und Passwort anmelden. Da in den meisten Fällen auch externe Benutzer das System nutzen, muss diese Einstellung auf Benutzerebene in den Stammdaten getroffen werden.

Alternative E-Mail-Adresse

In einigen Fällen kommt es vor, dass die E-Mail-Adresse für die Azure-Anmeldung von der in CrewBrain verwendeten E-Mail-Adresse abweicht. In diesem Fall kann die Azure-E-Mail-Adresse im Feld „Benutzername“ in den Stammdaten hinterlegt werden und die Azure-Authentifikation ordnet auch diese korrekt zu.

Abgerufen von „http:///index.php?title=Azure_Single-Sign-On_einrichten&oldid=1685