Zum Hauptinhalt springen

Microsoft

Beschreibung

In diesem Artikel wird die Einrichtung der OAuth2-Funktionalität mit Hilfe des Microsoft Entra ID beschrieben. Hierfür ist ein aktives Entra ID notwendig, in dem sich die Benutzer befinden, die Zugriff zu Policy Self-Service erhalten sollen.

Ermitteln der Verzeichnis-/Tenant-ID

  1. Melden Sie sich im Azure Portal an
  2. In der linken Navigation klicken Sie auf Microsoft Entra ID
  3. Unterhalb von Grundlegende Informationen sollten Sie die Mandanten-ID finden
  4. Notieren Sie sich die Mandanten-ID

Tenant ID

Erstellen der App-Registrierung in Entra ID

Melden Sie sich im Azure Portal oder im Entra Admin Center mit einem Benutzer an, der dazu berechtigt ist, App-Registrierungen zu verwalten.

  1. Klicken Sie links in der Navigation auf Microsoft Entra ID
  2. Wählen Sie anschließend App-Registrierungen aus und klicken Sie oben auf Neue Registrierung Erstelle Registration 1
  3. Geben Sie der Anwendung einen Namen, z. B. policy-self-service-app
  4. Bei Unterstützte Kontotypen wählen Sie die Option, die auf Sie zutrifft. Aus Sicherheitsgründen wird die Option Nur Konten in diesem Organisationsverzeichnis empfohlen
  5. Unter Umleitungs-URI wählen Sie in dem Dropdown-Menü Web aus und geben die Adresse Ihrer Policy Self-Service Instanz an. Z.B.: https://policy-self-service.local/login/microsoft/callback.
  6. Klicken Sie auf Registrieren, um das Anlegen der App-Registrierung abzuschließen Erstelle Registration 2
  7. Notieren Sie sich in der Übersicht den Wert Anwendungs-ID (Client) Erstelle Registration 2

Erstellen eines Client Secrets

  1. Klicken Sie unterhalb von Verwalten auf Zertifikate & Geheimnisse
  2. Stellen Sie sicher, dass Sie sich im Tab Geheime Clientschlüssel befinden
  3. Klicken Sie auf Neuer geheimer Clientschlüssel
  4. Geben Sie eine für Sie sprechende Beschreibung ein, wählen Sie eine für Sie ausreichende Gültigkeit und klicken Sie auf Hinzufügen Erstelle Secret 1
  5. Kopieren Sie sich den Wert des geheimen Clientschlüssels. Dieser wird nur einmalig und nur auf dieser Seite angezeigt. Erstelle Secret 2

Anpassen der API-Berechtigungen (optional)

Da Policy Self-Service ausschließlich mit dem ID-Token arbeitet, der bei der Anmeldung über OIDC bei Microsoft Entra ID immer bereitgestellt wird, können die API-Berechtigungen für die Graph-API entfernt werden.

  1. Klicken Sie innerhalb von Verwalten auf API-Berechtigungen
  2. Unterhalb von Microsoft Graph sollte eine Berechtigung namens User.Read erteilt sein. Diese wird automatisch durch Microsoft bei dem erstellen der App-Registrierung angelegt.
  3. Durch einen Klick auf die drei Punkte auf der Rechten Seite dieser Berechtigung, kann Sie gelöscht werden Entferne API-Berechtigung

Zuweisen von Benutzern

Sobald eine App-Registrierung erstellt wird, wird gleichzeitig auch eine Unternehmensanwendung im Entra ID erstellt. Diese verwenden wir, um den Zugriff durch Benutzer zu regulieren.

  1. Klicken Sie links in der Navigation auf Microsoft Entra ID
  2. Wählen Sie anschließend Unternehmensanwendung aus und klicken Sie auf die neue Anwendung, die Sie gerade erstellt haben
  3. Unterhalb von Verwalten klicken Sie auf Eigenschaften
  4. Bei Zuweisung erforderlich? ist standardmäßig Nein ausgewählt. Wählen Sie stattdessen Ja
  5. Klicken Sie auf Speichern
  6. Klicken Sie anschließend auf Benutzer und Gruppen, ebenfalls unterhalb von Verwalten
  7. Fügen Sie hier nun die Benutzer hinzu, die Zugriff zu Policy Self-Service erhalten sollen

Konfigurieren von Policy Self-Service

  1. Im Administrationsbereich von Policy Self-Service klicken Sie auf den Navigationspunkt OAuth
  2. Klicken Sie oben auf Erstellen
  3. Wählen Sie aus der Liste der OAuth-Provider Microsoft aus
  4. In das Feld Application-ID geben Sie die zuvor notierte Anwendungs-ID (Client) ein
  5. In das Feld Application-Secret geben Sie den Wert des zuvor generierten Clientschlüssels ein
  6. In dem Drop-Down Feld Tenant Typ wählen Sie Konten eines bestimmten Tenanten
  7. In das Feld Tenant ID geben Sie die zuvor notierte Mandanten-ID ein
  8. Klicken Sie auf Erstellen

Konfiguration Policy Self-Service

In dem Feld Tenant Typ haben Sie neben der Auswahl Konten eines bestimmten Tenanten auch die Möglichkeit Alle Organisationskonten auszuwählen. Wenn Sie diese Option auswählen und auch in der App-Registrierung die entsprechende Auswahl bei Unterstützte Kontotypen treffen, können sich alle Microsoft Entra ID Benutzer, die Teil einer Organisation sind, Zugriff auf Ihre Policy Self-Service Instanz haben und der Unternehmensanwendung zugewiesen sind, anmelden. Diese Einstellung wird daher nur empfohlen, wenn dieses Verhalten explizit gewünscht ist.

Testen der OAuth-Anmeldung

Nach erfolgreicher Anbindung des Microsoft OAuth-Providers, sollte nun auf der Login-Seite ein weiterer Button mit der Aufschrift Anmelden mit Microsoft erscheinen.

Teste Anmeldung

Durch einen Klick auf diesen Button, wird man zur Microsoft-Login-Seite weitergeleitet. Meldet man sich dort mit einem Benutzer an, der der Unternehmensanwendung zugewiesen ist, wird man nach erfolgreicher Anmeldung bei Microsoft, zum Policy Self-Service-Dashboard zurückgeleitet und ist angemeldet.

Entfernen von OAuth-Benutzern

Das Löschen eines OAuth-Benutzers aus der Policy Self-Service-Benutzerverwaltung reicht nicht aus, um die Anmeldung zu verbieten. Wenn der Zugang temporär gesperrt werden soll, reicht das Deaktivieren des Benutzers innerhalb von Policy Self-Service aus.

Für eine dauerhafte Löschung, wird empfohlen, den Benutzer aus der Zuweisung der Unternehmensanwendung zu entfernen und anschließend aus der Benutzerverwaltung von Policy Self-Service zu löschen.