# Single Sign-On mit Microsoft Entra ID Diese Seite beschreibt die Erstellung einer Microsoft App Registration welche in weiterer Folge für das Single Sign-On benötigt wird. ## 1. Neue App registrieren Im Azure Portal () öffnen Sie den Bereich *App registrations*. Anschliessend erstellen Sie eine neue App mit einem Klick auf *+ New registration*.

Neue App Registration

Geben Sie einen Namen ein. Unter *Supported account types* wählen Sie *Single tenant* aus. Unter *Redirect URI (optional)* wählen Sie *Web* aus und geben folgende URI ein: `https://login.aiaibot.com/oauth2/callback`

Name und Redirect URI der App Registraion

{% hint style="warning" %} Achten Sie genau auf die korrekte schreibweise der Redirect URI! {% endhint %} Erstellen Sie die App Registration mit einem Klick auf *Register*. Kopieren Sie auf der nachfolgenden Seite folgende Werte: * *Application (client) ID* * *Directory (tenant) ID*

Client und Tenant ID

## 2. Client Secret erstellen Klicken Sie auf *Clients & secrets* und anschliessend auf *New client secret* um ein neues Secret für die App zu erstellen.

Certificates & secrets

Vergeben Sie eine Beschreibung und wählen Sie aus, wie lange das Secret gültig sein soll. {% hint style="warning" %} Um sicherzustellen, dass eine Anmeldung an unserer Plattform unterbrechungsfrei möglich ist, muss ein neues Client Secret **rechtzeitig vor Ablauf** an aiaibot übermittelt werden! {% endhint %} Kopieren Sie das Secret in der Spalte *Value*.

Kopieren des Secrets

## 3. API Permissions vergeben Klicken Sie auf *API permissions* um die notwendigen Berechtigungen zu vergeben.

API permission

Anschliessend klicken Sie auf *+ Add a permission* und wählen dann *Microsoft Graph* aus.

Permissions für Microsoft Graph

### Benötigte Permissions Es wird die Permission `openid` benötigt. Wählen Sie diese aus und klicken Sie auf *Add permission*.
## 4. Token konfigurieren Klicken Sie auf *Token configuration* um den ID-Token entsprechend zu konfigurieren. Wählen Sie anschliessend *Add group claims*:
Damit die Gruppennamen im ID-Token inkludiert werden, markieren Sie *All groups*. In den Abschnitten *ID* und *Access* wählen Sie `sAMAccountName` aus, damit die Gruppennamen korrekt übermittelt werden.
Klicken Sie dann auf *Add* um die Tokenkonfiguration abzuschliessen. ## 5. Gruppe für Backend-Benutzer (optional) Wir empfehlen, alle Benutzer mit Zugriff auf das aiaibot-Backend in eine eigene Gruppe zu geben. So können Sie über die Gruppenzugehörigkeit steuern, wer Zugriff auf das Backend hat. Die Gruppe kann zum Beispiel `aiaibot_Admins` heissen. ## 6. Datenübermittlung an aiaibot Damit die Einrichtung erfolgreich abgeschlossen werden kann, benötigen wir folgenden Daten: * *Application (client) ID* aus [Schritt 1](#id-1.-neue-app-registrieren) * *Directory (tenant) ID* aus [Schritt 1](#id-1.-neue-app-registrieren) * *Client Secret* aus [Schritt 2](#id-2.-client-secret-erstellen) * Domain für die das Single Sign-On aktiviert werden soll. * Name der Gruppe für Backend-Benutzer (optional) Diese sind an aiaibot zu übermitteln. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://help.aiaibot.com/robot/single-sign-on-mit-microsoft-entra-id.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.