Zum Inhalt

OIDC-Einrichtung für Microsoft Azure/AD

Eine neue App-Registrierung in Azure erstellen und konfigurieren

  1. Öffnen Sie das Azure-Portal.
  2. Klicken Sie auf Microsoft Entra ID -> App-Registrierungen.

  3. Wählen Sie + Neue Registrierung aus, um mit der Erstellung einer neuen Anwendung zu beginnen.

    • Name: Geben Sie einen Anzeigenamen für die neue App-Registrierung in Azure ein. Sie können einen beliebigen Namen auswählen.
    • Unterstützte Accounttypen: Wählen Sie Nur Accounts in diesem Organisationsverzeichnis aus.
    • Umleitungs-URI: Kopieren Sie die URI aus dem Dialog OIDC-Anbindung auf Ihrem octoplant Server.

  4. Klicken Sie auf Registrieren, um eine neue App-Registrierung zu erstellen. Es wird eine Übersicht über Ihre neue App-Registrierung angezeigt.

  5. Kopieren Sie die Applikations-(Client-)ID, um sie im Dialog OIDC-Anbindung hinzuzufügen.

  6. Aktivieren Sie die folgenden mobilen und Desktop-Flows.

  7. Gehen Sie zu API permissions.

  8. Klicken Sie auf + Add a permission.
  9. Wählen Sie unter Microsoft APIs Microsoft Graph aus.

  10. Klicken Sie auf Delegated permissions und wählen Sie unter OpenId-Berechtigungen E-Mail, openid und Profil aus.

  11. Wählen Sie Token-Konfiguration -> Gruppen-Claims hinzufügen aus -> wählen Sie Sicherheitsgruppen -> ID aus, aktivieren Sie dann Gruppen-ID.

OAuth mit LDAP-Synchronisierung verwenden

  1. Wählen Sie Token configuration -> Add optional claims -> Select : Token Type == ID aus und aktivieren Sie dann onprem_sid*.
  2. Wählen Sie Token configuration -> Add group claims -> Select: Security groups -> ID aus und aktivieren Sie dann On Premises Group Security Identifier.

Wenn LDAP aktiviert ist, ändert sich die Funktionsweise des OAuth-Logins.

  • Um sich mit einem LDAP-Benutzer anzumelden, führen Sie zunächst die LDAP-Synchronisation aus. Der Benutzer muss bereits mit Azure AD synchronisiert sein.
  • Benutzern mit onprem_sid werden nur Gruppen zugewiesen, die OnPrem SID enthalten. Alle anderen Gruppen werden ignoriert.

Info

Es wird nicht empfohlen, LDAP nach OAuth zu aktivieren.

octoplant kann LDAP-Benutzer mithilfe von SID- und Token-Claims auf OAuth-Benutzer abbilden - es kann jedoch keine bestehenden OAuth-Benutzer auf neu hinzugefügte LDAP-Benutzer abbilden.

Wenn Sie LDAP nach OAuth aktivieren:

  • Die LDAP-Synchronisation erzeugt doppelte Benutzer, wenn passende OAuth-Benutzer bereits in der Datenbank vorhanden sind.
  • Beim nächsten Anmelden verknüpft octoplant die Benutzer mit ihren LDAP-Identitäten und nicht mit den ursprünglichen OAuth-Konten, wodurch alle zuvor konfigurierten Berechtigungen verloren gehen.

Wenn Sie LDAP nach OAuth aktivieren müssen und es sich nicht vermeiden lässt, wenden Sie sich an unser Support-Team. Wir werden Sie bei der manuellen Datenmigration unterstützen.