🪢Azure AD verbinden

Dieser Leitfaden bietet eine Anleitung zur Integration von Microsoft Azure Active Directory (AD) als Identitätsanbieter mit Blockbrain Auth, um die Registrierungs- und Anmeldeerfahrung zu optimieren.

Im Blockbrain Auth System können Sie einen Identitätsanbieter (IdP) wie Azure AD mit Ihrer Mandanteninstanz verbinden.

Azure AD Konfiguration

Sie benötigen Zugriff auf einen Azure AD Mandanten. Falls Sie noch keinen haben, folgen Sie dieser Anleitung von Microsoft um einen kostenlosen zu erstellen.

Registrieren Sie einen neuen Client

  1. Naviegieren Sie zum App registration menus create dialog um eine neue App zu erstellen

  2. Geben Sie der Anwendung einen Namen und wählen Sie aus, wer sich anmelden können sollte (Single-Tenant, Multi-Tenant, persönliche Konten usw.). Diese Einstellung hat auch Auswirkungen darauf, wie der Anbieter später in Blockbrain Auth konfiguriert wird.

  3. Wählen Sie im Feld "Redirect-URI" "Web" aus und fügen Sie die URL hinzu: https://auth.theblockbrain.ai/ui/login/login/externalidp/callback

  4. Speichern Sie die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Tenant-ID) von der Detailseite.

Fügen Sie das Client Secret hinzu

Generieren Sie ein neues Client Secret zur Authentifizierung Ihres Benutzers.

  1. Klicken Sie auf "Client Credentials" auf der Detailseite der Anwendung oder nutzen Sie das Menü "Zertifikate & Geheimnisse".

  2. Klicken Sie auf "+ Neues Client Secret" und geben Sie eine Beschreibung sowie ein Ablaufdatum ein. Fügen Sie danach das Geheimnis hinzu.

  3. Kopieren Sie den Wert des Secrets und speichern Sie ihn an einem sicheren Ort (z.B. in einem Passwort-Manager) für zukünftige Verwendung. Sie werden den Wert in Azure in Zukunft nicht mehr einsehen können.

Wenn Sie Ihr Secret verlieren oder es abläuft, müssen Sie ein neues Secret erstellen.

Token Konfiguration

Um Blockbrain Auth zu ermöglichen, Informationen vom authentifizierenden Benutzer zu erhalten, müssen Sie konfigurieren, welche Art von optionalen Ansprüchen im Token zurückgegeben werden sollen.

  1. Klicken Sie im seitlichen Menu "Token configuration"

  2. Klicken Sie auf "+ Add optional claim"

  3. Fügen Sie email, family_name, given_name und preferred_username zur ID token hinzu

API Genehmigungen

Um alle Informationen zu erhalten, die Blockbrain Auth benötigt, müssen Sie die entsprechenden Berechtigungen konfigurieren.

  1. Navigieren Sie zu "API permissions" im seitlichen Menu

  2. Stellen Sie sicher, dass die Berechtigungen "Microsoft Graph" umfassen:email, profile and User.Read

Andere gewährte Berechtigungen

Die OpenID-Autorisierung ist entscheidend für die Aktivierung des OpenID Connect-Protokolls. Dieses Protokoll ist besonders wichtig für die Verwaltung von Benutzeranmeldungen und die Ausstellung von ID-Token in Anwendungen.

Im Kontext der Anwendungsregistrierung beziehen sich "other permissions" auf die spezifischen Zugriffsrechte oder "Scopes", die von einer Anwendung benötigt werden. Diese Scopes bestimmen, auf welche Daten und Funktionen die Anwendung im Namen des Benutzers zugreifen kann.

  1. Benutzereinwilligung: Bei der ersten Anmeldung des Benutzers werden sie aufgefordert, diese Berechtigungen zu gewähren. Dieser Schritt ist entscheidend, um die Zustimmung des Benutzers und die Sicherheitskonformität sicherzustellen. Abhängig von der Einrichtung Ihrer Organisation ist möglicherweise eine Administratorzustimmung erforderlich.

  2. Nachdem die Zustimmung erteilt wurde, sind die Berechtigungen aktiv und werden in der App-Registrierung aufgelistet. Die Authentifizierung und Anmeldung sind jetzt möglich, und die Anwendung verfügt über die erforderlichen Zugriffsrechte.

  • Die "anderen gewährten Berechtigungen" sollten "Microsoft Graph" umfassen: openid"

Blockbrain Auth Konfiguration

Ensure External IdP allowed

Sie können die Anmelderichtlinie in Ihrer Organisation in Blockbrain Auth konfigurieren.

  1. Wählen Sie Ihre Organisation im Menü aus und gehen Sie zu https://auth.theblockbrain.ai/ui/console/org-settings?id=login.

  2. Gehen Sie zu den Einstellungen Ändern Sie Ihre Anmelderichtlinie im Menü "Anmeldeverhalten und Sicherheit".

  3. Aktivieren Sie das Attribut "Externer IdP erlaubt".

Azure AD Provider hinzufügen

Gehen Sie zur Einstellungsseite Ihrer Instanz oder Organisation und wählen Sie "Identitätsanbieter" aus.

In der Tabelle sehen Sie alle konfigurierten Anbieter sowie alle verfügbaren Anbietervorlagen.

Wählen Sie nun die Vorlage für den Anbieter "Microsoft" aus.

Die Microsoft-Vorlage ist bereits vollständig vorkonfiguriert. Sie müssen nur die "Client-ID" und das "Secret" hinzufügen, die Sie in den Azure-Schritten zuvor erstellt haben.

Sie können die folgenden Einstellungen konfigurieren, wenn Sie möchten. Es wird ein nützlicher Standardwert eingefügt, wenn Sie nichts ändern:

  • Scopes: Die Scopes definieren, welche Scopes an den Anbieter gesendet werden. openid, profile und email sind vorausgefüllt. Diese Informationen werden verwendet, um den Benutzer in Blockbrain Auth zu erstellen/aktualisieren. Stellen Sie sicher, dass Sie auch User.Read hinzufügen. Blockbrain Auth stellt sicher, dass mindestens openid und User.Read Scopes immer gesendet werden.

  • Email Verified: Azure AD sendet den Anspruch "email verified" nicht im Benutzertoken, wenn Sie diese Einstellung nicht aktivieren. Der Benutzer wird dann mit einer nicht verifizierten E-Mail-Adresse erstellt, was zu einer E-Mail-Verifizierungsnachricht führt. Wenn Sie dies vermeiden möchten, stellen Sie sicher, dass "E-Mail verifiziert" aktiviert ist. In diesem Fall wird der Benutzer mit einer verifizierten E-Mail-Adresse erstellt.

  • Tenant Type: Konfigurieren Sie den Tenant-Typ entsprechend Ihrer vorherigen Auswahl in den Einstellungen Ihrer Azure AD-Anwendung.

  • Common: Wählen Sie dies aus, wenn alle Microsoft-Konten sich anmelden können sollen. Konfigurieren Sie in diesem Fall "Accounts in any organizational directory and personal Microsoft accounts" in Ihrer Azure AD-App.

  • Organizations: Wählen Sie dies aus, wenn Sie Azure AD-Mandanten und keine persönlichen Konten haben (Sie haben entweder "Accounts in this organization" oder "Accounts in any organizational directory" in Ihrer Azure-App registriert).

  • Consumers: Wählen Sie dies aus, wenn Sie öffentliche Konten zulassen möchten (In Ihrer Azure AD-App haben Sie "Personal Microsoft accounts only" konfiguriert).

  • Tenant ID: Wenn Sie Tenant ID als Tenant-Typ ausgewählt haben, geben Sie die Verzeichnis (Tenant) ID ein, die Sie zuvor aus der Azure-App-Konfiguration kopiert haben.

  • Automatische Erstellung: Wenn diese Einstellung aktiviert ist, wird der Benutzer automatisch in Blockbrain Auth erstellt, wenn er noch nicht vorhanden ist - empfohlen.

  • Automatisches Update: Wenn diese Einstellung aktiviert ist, wird der Benutzer in Blockbrain Auth aktualisiert, wenn einige Benutzerdaten im Anbieter geändert werden. Zum Beispiel, wenn sich der Nachname im Microsoft-Konto ändert, wird die Information beim nächsten Login im Blockbrain Auth-Konto aktualisiert - empfohlen.

  • Kontoerstellung erlaubt: Diese Einstellung bestimmt, ob die Kontoerstellung innerhalb von Blockbrain Auth erlaubt ist oder nicht.

  • Verknüpfung von Konten erlaubt: Diese Einstellung bestimmt, ob die Verknüpfung von Konten erlaubt ist. In diesem Fall muss bei der Anmeldung mit einem Microsoft-Konto bereits ein verknüpfungsfähiges Blockbrain Auth-Konto vorhanden sein.

Entweder die Kontoerstellung oder das Verknüpfen von Konten muss aktiviert sein. Andernfalls kann der Anbieter nicht verwendet werden.

Aktivieren Sie IdP

Sobald Sie den Anbieter erstellt haben, wird er in der Übersicht der Anbieter aufgeführt. Aktivieren Sie ihn, indem Sie über den Anbieter schweben und das Häkchen mit dem Tooltip "verfügbar" auswählen.

Wenn Sie einen Anbieter deaktivieren, können sich Ihre Benutzer mit Verknüpfungen zu diesem Anbieter nicht mehr authentifizieren. Sie können ihn jedoch wieder aktivieren, und die Anmeldungen werden wieder funktionieren.

Testen Sie ihr Setup

Um die Einrichtung zu testen, verwenden Sie den Inkognito-Modus und navigieren Sie zu Ihrer Anmeldeseite. Dort sehen Sie einen neuen Button, der Sie zu Ihrem Microsoft-Anmeldescreen weiterleitet.

PreviousZugriff verwaltenNextSharePoint verbinden

Last updated