Detailinformationen und Anleitung zur Microsoft Azure AD Anbindung

Achtung! Diese Informationen und Anleitung dienen dem entsprechendem IT Fachpersonal. Sie unterstützen das selbstständige Einrichten der Anbindung von Q.wiki an ein Microsoft Azure Active Directory. Diese Seite entspricht dem aktuellem Stand vom 09.06.2021 und wird nicht aktualisiert. Bei Unklarheiten verweisen wir auf unseren Modell Aachen Support oder offizielle Anleitungen von Microsoft.

Limitierungen permalink

  • Es können mit dem Mircosoft Azure AD ausschließlich einzelne Nutzer oder Gruppenmitglieder synchronisiert werden, eine Gruppen-Synchronisation zur Verwendung der Gruppen in Q.wiki wird aktuell nicht unterstützt.

  • Des Weiteren kann und darf das Microsoft Azure AD nicht zusammen mit anderen Providern (z.B. LDAP) konfiguriert werden. Lediglich der Topic Provider ist immer aktiv und erlaubt es externe Nutzer in Qwiki zu registrieren.

  • Wird das Microsoft Azure AD einmal genutzt, gibt es kein Zurück mehr.

  • Es ist notwendig, dass jeder Nutzer eine einzigartige E-Mail-Adresse hat, bevor ein Microsoft Azure AD angebunden werden kann. Der Konfigurationsdialog in Q.wiki weist darauf hin, falls diese Voraussetzung nicht erfüllt ist. Über die Q.wiki Nutzerverwaltung kann der Q.wiki KeyUser doppelt vergebene E-Mail-Adressen abändern.

  • Aus Sicherheitsgründen sind alle synchronisierten Nutzerdaten längenbeschränkt. Die maximale Anzahl beträgt 100 Zeichen. Nutzer, die einen Anzeigenamen mit mehr als 100 Zeichen haben, können daher nicht synchronisiert werden.

  • Für Kunden mit Q.wiki Enterprise und Mitarbeiterapplikation liefert die Microsoft Azure AD Anbindung lediglich folgende Werte:

    • email
    • givenName
    • sn
    • telephoneNumber

Migration vorhandener Topic/LDAP Nutzer permalink

Wird ein Azure AD angebunden und werden darüber die Nutzer provisioniert, werden automatisch alle vorhandenen Nutzer migriert, die eine übereinstimmende E-Mail Adresse haben.

Alle migrierten Nutzer werden anschließend entsprechend der Daten aus dem Azure AD aktualisiert und müssen von diesem Zeitpunkt an über das Azure AD verwaltet werden. Migrierte Topic User sind dann auch keine Topic User mehr: Ihr Q.wiki Passwort wird zurückgesetzt. Sie können sich nicht mehr mit ihrem Nutzernamen und Passwort direkt in Q.wiki anmelden, sondern müssen dies über den Office 365 Login-Button machen.

Grundvoraussetzungen permalink

Damit das Microsoft Azure AD mit Q.wiki verbunden werden kann, muss Q.wiki über https und der Q.wiki Endpunkt /api/v1/scim für das Azure AD erreichbar sein.

Konfigurationsdialog in Q.wiki öffnen permalink

  • Als KeyUser in Q.wiki anmelden
  • Unter KeyUser Werkzeuge die Nutzer-Verwaltung aufrufen

Nutzer-Verwaltung

  • Im Drei-Punkte-Menü auf Azure Active Directory anbinden klicken

Drei-Punkte-Menü

  • Konfigurationsdialog öffnet sich (wird im späteren Verlauf benötigt)

Konfigurationsdialog Azure Active Directory Anbindung

Neue Enterprise Applikation im Microsoft Azure AD anlegen permalink

  • All Services auswählen
  • Enterprise applications auswählen

All services

  • All Applications auswählen
  • New applications auswählen

Enterprise applications

  • Create your own application auswählen

Browse Azure AD Gallery

  • Namen eingeben
  • Non-gallary app auswählen

Create your own application

  • Create anklicken

Provisionierung einrichten permalink

  • In der angelegten App Provisioning auswählen
  • Get started klicken

Provisioning

  • Provisioning Mode auf Automatic setzen

Provisioning Mode

  • Tenant URL eintragen (aus Konfigurationsdialog in Q.wiki kopieren, siehe oben)
  • Secret Token eintragen (über Konfigurationsdialog in Q.wiki generieren und kopieren, siehe oben)
  • Test Connection klicken und erfolgreiche Verbindung überprüfen

Admin Credentials

  • Save klicken
  • Unter Mappings auf Provision Azure Active Directory Groups klicken, Enabled auf No setzen und speichern

Mappings

  • Unter Settings und Notification Email den Verantwortlichen eintragen, der bei Synchronisierungsproblemen benachrichtigt werden soll.
  • Bei Scope muss die Option "Nur zugewiesene Nutzer und Gruppen synchronisieren" explizit ausgewählt werden.

Settings

  • Provisioning Status auf On setzen
  • Save klicken
  • Unter Mappings auf Provision Azure Active Directory Users klicken
  • Unter Attribute Mappings sind alle Attribute gelistet, die an Q.wiki gesendet werden. Die Standardeinstellung sollte bereits alle für Q.wiki notwendigen Attribute beinhalten. Im Folgenden sind alle Attribute aufgelistet, die von Q.wiki verwendet werden. Alle anderen Attribute können bedenkenlos gelöscht werden.
  • Die Attribute name.givenName, name.familyName und phoneNumbers[type eq "work"].value sind optional und werden nur in Q.wiki Enterprise für die Darstellung in der Mitarbeiterprofile Applikation verwendet.

Attribute Mappings

  • Nutzer und Gruppen müssen unter Users and groups hinzugefügt werden.
  • Dort können Gruppen und Nutzer hinzugefügt werden. Werden Gruppen hinzugefügt, dann werden zwar die Gruppen nicht synchronisiert, dafür aber alle direkten Mitglieder.
  • Sollen alle Benutzer provisioniert werden, kann die Standardgruppe "Alle Benutzer" verwendet werden.

Manage

Authentifizierung einrichten permalink

  • All services auswählen
  • Azure Active Directory auswählen

All services

  • App registrations auswählen

Manage

  • All applications auswählen

App registrations

  • Die zuvor angelegte Applikation für Q.wiki auswählen
  • Die Application (client) ID kopieren und im Konfigurationsdialog in Q.wiki eintragen
  • Die Directory (tenant) ID kopieren und im Konfigurationsdialog in Q.wiki eintragen
  • Authentication auswählen
  • Add a platform auswählen

Platform configurations

  • Web application auswählen

Web applications

  • Redirect URI aus Q.wiki Konfigurationsdialog kopieren und hier eintragen
  • Configure klicken
  • Certificates & secrets auswählen
  • New client secret klicken
  • Description eingeben
  • Add klicken
  • Den Value des generierten Secrets kopieren und im Q.wiki Konfigurationsdialog einfügen.
  • Im Q.wiki Konfigurationsdialog auf speichern klicken
  • API permissions auswählen
  • Add a permission klicken
  • Microsoft Graph auswählen

Microsoft Graph

  • Delegated permissions auswählen
  • Unter OpenId permissions email, openid und profile auswählen

Permission

  • Add a permission klicken
  • Grant admin consent klicken und mit Yes bestätigen
  • Nach spätestens 40 Minuten werden durch das Microsoft Azure AD die Nutzer in Q.wiki importiert