Ctrlk
AppChangelog

Single Sign-On mit Microsoft Entra ID

Diese Seite beschreibt die Erstellung einer Microsoft App Registration welche in weiterer Folge für das Single Sign-On benötigt wird.

1. Neue App registrieren

Im Azure Portal (https://portal.azure.com) öffnen Sie den Bereich App registrations. Anschliessend erstellen Sie eine neue App mit einem Klick auf + New registration.

Neue App Registration

Geben Sie einen Namen ein. Unter Supported account types wählen Sie Single tenant aus.

Unter Redirect URI (optional) wählen Sie Web aus und geben folgende URI ein: https://login.aiaibot.com/oauth2/callback

Name und Redirect URI der App Registraion

Achten Sie genau auf die korrekte schreibweise der Redirect URI!

Erstellen Sie die App Registration mit einem Klick auf Register.

Kopieren Sie auf der nachfolgenden Seite folgende Werte:

  • Application (client) ID

  • Directory (tenant) ID

Client und Tenant ID

2. Client Secret erstellen

Klicken Sie auf Clients & secrets und anschliessend auf New client secret um ein neues Secret für die App zu erstellen.

Certificates & secrets

Vergeben Sie eine Beschreibung und wählen Sie aus, wie lange das Secret gültig sein soll.

Um sicherzustellen, dass eine Anmeldung an unserer Plattform unterbrechungsfrei möglich ist, muss ein neues Client Secret rechtzeitig vor Ablauf an aiaibot übermittelt werden!

Kopieren Sie das Secret in der Spalte Value.

Kopieren des Secrets

3. API Permissions vergeben

Klicken Sie auf API permissions um die notwendigen Berechtigungen zu vergeben.

API permission

Anschliessend klicken Sie auf + Add a permission und wählen dann Microsoft Graph aus.

Permissions für Microsoft Graph

Benötigte Permissions

Es wird die Permission openid benötigt. Wählen Sie diese aus und klicken Sie auf Add permission.

4. Token konfigurieren

Klicken Sie auf Token configuration um den ID-Token entsprechend zu konfigurieren. Wählen Sie anschliessend Add group claims:

Damit die Gruppennamen im ID-Token inkludiert werden, markieren Sie All groups. In den Abschnitten ID und Access wählen Sie sAMAccountName aus, damit die Gruppennamen korrekt übermittelt werden.

Klicken Sie dann auf Add um die Tokenkonfiguration abzuschliessen.

5. Gruppe für Backend-Benutzer (optional)

Wir empfehlen, alle Benutzer mit Zugriff auf das aiaibot-Backend in eine eigene Gruppe zu geben. So können Sie über die Gruppenzugehörigkeit steuern, wer Zugriff auf das Backend hat. Die Gruppe kann zum Beispiel aiaibot_Admins heissen.

6. Datenübermittlung an aiaibot

Damit die Einrichtung erfolgreich abgeschlossen werden kann, benötigen wir folgenden Daten:

  • Application (client) ID aus Schritt 1

  • Directory (tenant) ID aus Schritt 1

  • Client Secret aus Schritt 2

  • Domain für die das Single Sign-On aktiviert werden soll.

  • Name der Gruppe für Backend-Benutzer (optional)

Diese sind an aiaibot zu übermitteln.