Zum Hauptinhalt springen

Wie nutzen Sie Single Sign-On (SSO) mit Microsoft Entra ID

Vor über 4 Monaten aktualisiert

💡Artikel Übersicht:

  • In diesem Artikel werden wir Ihnen zeigen, wie Sie sich über den Single Sign-On mit Microsoft Entra ID, mit Hilfe von dem OpenID Connect Protokoll, bei Tacto anmelden können.


Was ist Single Sign-On (SSO)?

Single Sign-on (SSO) ermöglicht es Benutzern, sich mit den gleichen Anmeldeinformationen, z.B. Nutzername und Passwort, bei mehreren Diensten anzumelden. Dafür wird der Benutzer bei der Anmeldung in einer Anwendung (z.B. Tacto) zunächst an den hinterlegten Identitätsanbieter (Identity Provider / IdP), z.B. Microsoft Entra ID, umgeleitet. Dort werden die Anmeldeinformationen des Benutzers überprüft. Nach erfolgreicher Authentifizierung leitet der Identitätsanbieter den Benutzer wieder zurück zur ursprünglichen Anwendung.

Was ist OpenID Connect?

OpenID Connect (OIDC) ist ein Protokoll, das auf OAuth 2.0, einem Autorisierungsframework, aufbaut. OIDC ermöglicht es Anwendungen (sog. Clients), die Identität eines Benutzers zu verifizieren und grundlegende Profilinformationen zu erhalten. OIDC verwendet JSON Web Tokens (JWTs), um die Identität des Benutzers und Zugriffstoken sicher zu übertragen.

Was können Kunden erwarten?

Jeder Nutzer, der in der App von Microsoft Entra ID aufgeführt ist, wird in der Lage sein, auf Tacto zuzugreifen. Ebenso wird die gesamte Nutzerverwaltung auf Ihrer Seite durchgeführt. Wenn ein Nutzer nicht aufgelistet ist, kann er sich nicht bei Tacto anmelden. In Tacto werden unter "Einstellungen > Nutzerverwaltung" weiterhin die Nutzer aufgelistet, die sich jemals angemeldet haben, aber es können keine Nutzer hinzugefügt oder entfernt werden.

Einrichten von OpenID Connect mit Entra ID

Voraussetzungen:

  • Berechtigungen, um in Microsoft Entra ID Apps registrieren zu können

OpenID Connect (OIDC) und Microsoft Entra ID arbeiten zusammen, um eine sichere und effiziente Authentifizierungslösung zu bieten. Microsoft Entra ID, als Identitäts- und Zugriffsmanagement-Service, unterstützt das OpenID Connect-Protokoll, um Benutzern die Authentifizierung und den Zugriff auf verbundene Anwendungen zu ermöglichen.

  1. Erstellung einer Client-Anwendung (Microsoft Dokumentation):

    • Loggen Sie sich in die Azure Entra ID Management-Konsole ein.

    • Navigieren Sie zu "App-Registrierungen".

    • Erstellen Sie eine neue Client-Anwendung, um Tacto in Ihrem IdP zu repräsentieren.

  2. Konfiguration der Anwendungseinstellungen:

    • Benennen Sie die Anwendung, zum Beispiel "Tacto", für eine einfache Identifizierung.

    • Stellen Sie den Anwendungstyp auf "Single-page Application" ein.

  3. Hinzufügen der Redirect-URI:

    • Suchen Sie in den Einstellungen der Anwendung den Abschnitt für die Redirect-URI.

    • Fügen Sie https://auth.tacto.ai/login/callback hinzu. Dorthin leitet Entra ID den Benutzer nach erfolgreicher Authentifizierung weiter.

  4. Aktivierung von ID-Tokens:

    • Navigieren Sie zu "Authentifizierung" und wählen Sie "ID Token" im Abschnitt "Implizite Genehmigung und Hybridflows" aus.

  5. Konfiguration der Leseberechtigungen:

    • Gehen Sie zu "API-Berechtigungen" und klicken Sie auf "Berechtigung hinzufügen".

    • Wählen Sie im Dialog "Microsoft Graph" und "Delegierte Berechtigung".

    • Wählen Sie "email", "profile" und "User.Read". Die letzte Berechtigung finden Sie weiter unten in der Liste.

    • Klicken Sie auf "Berechtigungen hinzufügen"

  6. Hinzufügen von ID-Token-Claims:

    • Gehen Sie zu "Tokenkonfiguration" und klicken Sie auf "Optionale Ansprüche hinzufügen".

    • Wählen Sie "ID", dann "email", "given_name", "family_name" und klicken Sie auf 'Hinzufügen'.

  7. Zusenden der der Anwendungs-ID (Client-ID) und Verzeichnis-ID (Tenant-ID):

    • Nach dem Einrichten der Anwendung finden Sie unter "App-Registrierungen" > "Name Ihrer Anwendung" > "Übersicht" eine Anwendungs-ID, die für die Konfiguration der Verbindung mit Tacto erforderlich ist.

    • Dort finden Sie ebenfalls die Verzeichnis-ID, die ebenfalls für die Konfiguration der Verbindung mit Tacto erforderlich ist.

    • Bitte senden Sie uns die Anwendungs-ID und die Verzeichnis-ID zu.

  8. Überprüfung, ob Benutzer eine E-Mail-Adresse hinterlegt haben:

    • Stellen Sie sicher, dass alle Benutzer in Entra ID eine E-Mail-Adresse hinterlegt haben, damit die Anwendung sie identifizieren kann. Diese finden Sie auf der Registerkarte "Eigenschaften" in den Benutzerdetails.

  9. Nutzer hinzufügen

    • Navigieren Sie in Entra ID zu "Unternehmensanwendungen"

    • Öffnen Sie die soeben erstelle Anwendung

    • Unter "Benutzer und Gruppen" können Sie nun hinterlegen welche Personen Zugriff auf Tacto erhalten sollen.

Hat dies deine Frage beantwortet?