Zum Hauptinhalt springen
Info

AzureAD heißt nun Entra ID.

Open ID Connect AzureAD mit Qiata

Für die Zusammenarbeit zwischen Qiata und Azure Active Directory wird zunächst eine App-Registrierung innerhalb Ihres Azure Active Directory benötigt. Melden Sie sich dazu auf der Weboberfläche Ihres Azure Active Directory an.

info

Die folgende Anleitung zeigt eine Beispielhafte Verbindung von einem AzureAD und Qiata. Je nach Sicherheitseinstellung und Konfiguration müssen ggf. Kundenseitige Anpassungen stattfinden.

App-Registrierung

Navigieren Sie zum Menüpunkt App-Registrierung und anschließend auf Neue Registrierung.

Anwendung registrieren

Anwendung registrieren

  1. Wählen Sie einen Namen für Ihre App (Beispiel: Meine Qiata App)

  2. Wählen Sie aus, welche Nutzer Zugriff auf diese App erhalten sollen.

  3. Wählen Sie als Typ Single-Page-Anwendung Geben Sie den FQDN

  4. Ihrer Qiata inkl. Login Parameter an (Beispiel: https://IHRQIATAFQDN/v2/login

  5. Klicken Sie abschließend auf Registrieren

Umleitungs-URIs

Neue Umleitungs-URI

Klicken Sie auf den Menüpunkt Authentifizierung und fügen Sie weitere Umleitungs-URIs hinzu. Die folgenden Umleitungs-URIs müssen für die SPA (Singe-Page-Webanwendung) eingetragen sein:

  • https://demo.secudos.com/v2/login (Bereits eingetragen bei der Registrierung)
  • https://demo.secudos.com/v2/webui

Front-Channel Abmeldung

App registration

Wechseln Sie in den Bereich Authentifizierung und scrollen Sie zum Punkt URL für Front-Channel-Abmeldung. Geben Sie dort die Logout URL der Qiata nach folgendem Muster ein: https://QIATAFQDN/oauth2/sessions/logout.

Endpoints und Client-ID

Endpoints und Client ID

  1. Navigieren Sie zum Menüpunkt Übersicht

  2. Speichern Sie sich die Anwendungs-ID (Client) an einem sicheren Ort ab. Diese wird für die spätere Konfiguration innerhalb der Qiata notwendig sein.

  3. Klicken Sie auf den Button Endpunkte

  4. Trägt Ihr OpenID Connect-Metadatendokument nicht ihre TenantID?
    https://login.microsoftonline.com/organizations/v2.0/.well-known/openid-configuration
    Dann ersetzen Sie bitte 'organizations' mit Ihrer TenantID.
    Sie können die TenantID auch der Übersicht entnehmen Verzeichnis-ID (Mandant)
    Beispiel, mit fiktiver TenantID:
    https://login.microsoftonline.com/1806966a-491d-476c-a77d-ddbacffed6ba/v2.0/.well-known/openid-configuration

  5. Speichern Sie sich den Pfad des OpenID Connect-Metadatendokument an einem sicheren Ort ab. Diese wird für die spätere Konfiguration innerhalb der Qiata notwendig sein.

Tokenkonfiguration

Optionalen Anspruch hinzufügen

Optionalen Anspruch hinzufügen

  1. Navigieren Sie zum Menüpunkt Tokenkonfiguration

  2. Klicken Sie auf Optionalen Anspruch hinzufügen

  3. Wählen Sie als Tokentyp Zugriff aus

  4. Aktivieren Sie den Haken beim Anspruch email

  5. Klicken Sie abschließend auf Hinzufügen

Endpoints und Client ID

Nach dem Hinzufügen des Optionalen Anspruchs erhalten Sie einen Hinweis, dass die Microsoft Graph-Berechtigung notwendig ist. Aktivieren Sie den Kontrollkasten (1) und klicken Sie anschließend auf Hinzufügen.

ACHTUNG

Diese Berechtigung ist notwendig, damit die Ansprüche im jeweiligen Token zur Verfügung stehen. Qiata benötigt immer eine E-Mail-Adresse um den Nutzer identifizieren zu können.

Gruppenanspruch hinzufügen

Gruppenanspruch hinzufügen

  1. Klicken Sie auf Gruppenanspruch hinzufügen

  2. Wählen Sie die Typen Alle Gruppen aus. Damit aktivieren sich automatisch die Typen Sicherheitsgruppen und Verzeichnisrollen.

  3. Wählen Sie den Tokentyp Zugriff aus und klicken Sie auf Gruppen-ID

  4. Klicken Sie abschließend auf Hinzufügen

ACHTUNG

Um Nutzer innerhalb der Qiata in die richtigen Gruppen zu legen, benötigt Qiata einen optionalen Anspruch, bzw. Gruppenanspruch. Dieser muss einmalig sein und auf die entsprechenden Nutzer verweisen. In unserem Beispiel nutzen wir dafür die Gruppen-ID. Dieser Wert kann allerdings je nach Konfiguration variieren.

TIPP

Wenn Sie zusätzlich das Qiata Outlook Add-In Next Gen verwenden möchten, folgen Sie bitte den Schritten in der Anleitung: Add-In NG Konfiguration

Qiata Konfiguration

Neuer OIDC Provider

Melden Sie sich als Organisationsadministrator am System an und navigiere Sie zu dem Punkt Organisation -> OpenID Connect. Füllen Sie nun die Form aus.

  1. Open ID Connect Provider

Wählen Sie zwischen den Providertypen AzureAD und AD FS. Wählen Sie für unser Beispiel den Typ AzureAD aus.

  1. Name der Login-Schaltfläche

Wählen Sie eine entsprechende Beschreibung für den Provider. Diese Beschreibung ist nur für den Administrator in der Konfigurationsmaske sichtbar.

  1. Metadatendokument URI

Geben Sie hier die URI für das Metadata document an. Diese erhalten Sie über die AzureAD Oberfläche Endpoints.

  1. ClientID

Geben Sie hier die ClientID an. Diese erhalten Sie über die AzureAD Oberfläche Endpoints.

  1. Gruppen Claim

Das Feld Gruppen Claim kann den von Ihnen definierten Claim enthalten, über den Nutzer identifiziert werden sollen, sodass diese einer entsprechenden Gruppe zugewiesen werden können. Der Gruppen Claim verbindet den Provider mit den Gruppen. In unseren Beispiel haben wir den Claim groups gewählt.

Tipp

Der Wert des Claims (also z.B die Gruppen-ID: 1-2-3-4) wird zur Authentifizierung und Zuweisung in eine Gruppe benötigt. Der Wert des Claims wird in der jeweiligen Gruppe definiert, in die der Nutzer erstellt werden soll, bzw. unter dessen Richtlinien der User agieren soll.

  1. Scopes

Die Scopes für den jeweiligen Provider werden automatisch vom System erstellt. Hier ist keine Eingabe notwendig.

  1. Vorhandene Benutzerkonten konvertieren

Sollte es bereits Nutzerkonten geben (LOCAL oder LDAP), können diese über die Funktion Vorhandene Benutzerkonten konvertieren in OIDC-Konten umgewandelt werden.

ACHTUNG

Das Konvertieren von Nutzern löst Sie von Ihren alten Anmeldeverfahren. Sollte ein Nutzer beispielsweise von LOCAL nach OIDC konvertiert werden, kann dieser sich nicht mehr über den lokalen Weg authentifizieren.

  1. Login-Anbieter erzwingen

Wenn Sie eine bestimmte Anmeldeart erzwingen wollen, wählen Sie hier den gewünschten Wert. Wenn Nein ausgewählt ist, kann der Benutzer die Anmeldeart selbst wählen. Wenn eines der anderen Felder ausgewählt wird, wird die entsprechende Anmeldeart erzwungen.

WARNUNG

Diese Einstellung gilt nur für Benutzer, die den Secure Desktop Client (SDC) verwenden.

Zuweisen einer Gruppe

Neue Gruppe mit Claim hinzufügen

Nachdem der Provider registriert wurde, muss noch einer oder mehreren Gruppen der Gruppen Claim Wert hinzugefügt werden. Dieser ist für die Anmeldung mandatorisch.

Erstellen Sie dafür eine neue Gruppe über System -> Neue Gruppe. Wählen Sie einen Gruppennamen und aktivieren Sie die OIDC Authentifizierung. Nach Aktivierung erscheint ein neues Feld für die Eingabe des Gruppen Claim. Fügen Sie hier nun bitte den Wert ein, der über den Provider mitgeteilt wurde. Unser Beispiel basiert auf der Gruppen ID.

So erhalten Sie die Gruppen ID im AzureAD

Gruppen im AzureAD

Melden Sie sich im AzureAD an und navigieren Sie nach Gruppen.

Auswahl der Gruppe

Wählen Sie in der Übersicht der Gruppen die gewünschte Gruppe aus und klicken Sie auf den entsprechenden Eintrag.

Kopieren der Group ID

Kopieren Sie die Objekt-ID der Gruppe und fügen Sie diese ID in den Gruppen Claim der Qiata Gruppe ein.

info

Jeder Nutzer, der nun mit dem Gruppen Claim "14bc2de9-6521-40dd-ac04-a3cdd76bd343" korrekt authentifiziert bei Qiata ankommt, wird automatisch in der neuen Gruppe eingerichtet und unterliegt damit den Richtlinien der Gruppe.

Klicken Sie abschließend auf Speichern um die Gruppe zu speichern.

ACHTUNG

Beachten Sie bitte, dass die Funktionen LDAP Authentifizierung und Automatisches Anmelden von Nutzern nicht mit der OIDC Authentication kompatibel sind.