Entra ID Apps
- Robert Mühsig
- Thomas Wepfer
- Dinah Bolli
“CUSTOMER.com” muss mit Ihrer eigenen URL ersetzt werden und steht nur beispielhaft für eine Domain.
Im Entra ID (ehemals: Azure AD) muss eine Application registriert werden. In der Regel reicht eine “Single tenant” Registrierung, nur falls die Installation für mehrere Entra IDs erreichbar sein soll, muss “Multitenant” aktiviert werden.
ACHTUNG
“Personal Microsoft accounts” werden nicht unterstützt.
Entra ID App Erstellung
Als Redirect URI wählen Sie “Web” als Plattform und wählen solch eine URL:
https://CUSTOMER.com/ids/oidc-signin-office365auth“Customer.com” steht für die Zieladresse, unter welcher primedocs später erreichbar sein wird.
Entra ID App Authentication
Nach der Erstellung fügen Sie die folgende Konfiguration hinzu:
Unter Redirect URIs muss folgendes aufgelistet sein:
https://CUSTOMER.com/ids/oidc-signin-office365auth
https://CUSTOMER.com/datasourceadminapp/office365adminconsentUnter Front-channel logout URL:
https://CUSTOMER.com/ids/Unter “Implicit grant and hybrid flows” aktivieren Sie:
Entra ID Certifications und secret
Erstellen Sie danach ein Client secret und speichern Sie dieses. Wählen Sie eine ausreichende Gültigkeit - dieses Secret wird später in die primedocs.config hinterlegt und muss aktuell gehalten werden.
Entra ID API Permissions
Geben Sie der Applikation folgende “Delegated permissions” unter “Microsoft Graph”:
emailoffline_accessopenidprofileUser.Read
Zusätzlich sind folgende “Application permissions” notwendig:
Directory.Read.All: Über diese Berechtigung kann primedocs die Gruppenmitgliedschaften eines Benutzers feststellen. Vorlagen, Textbausteine, Profile usw. können im primedocs auf Entra ID Gruppen berechtigt werden. Um herauszubekommen, ob ein Benutzer in einer bestimmten Gruppe ist, wird dieses Recht benötigt.User.Read.All:Über diese Berechtigung funktioniert die Benutzersynchronisierung über den Microsoft Graph.
Erteilen Sie den “Consent” für diese Applikation.
Optionale “Delegated permissions”:
Files.ReadWrite.All&Sites.Read.Allwird für die Integration in Microsoft SharePoint und Microsoft Teams (Web-Integration) benötigt.
Entra ID App Erstellung DataSourceAdminApp
App Registration
Die DataSourceAdminApp ist nicht mit dem Rechte- und Rollenkonzept verbunden, sondern ist als Applikation entworfen wurden, um die initiale Konfiguration und den Betrieb zu unterstützen.
In einer klassischen OnPrem-Umgebung würde man z. B. nur die Administratoren per Windows-Gruppen auf diese Applikation berechtigen. Im Azure Umfeld nutzen wir eine weitere Entra App Registration, um dies abzubilden.
Hierfür registrieren Sie eine weitere Anwendung, geben als Redirect URI folgendes an:
Legen Sie für diese Anwendung ebenfalls ein Client-Secret fest.
Erteilen Sie anschliessend bei den API Permissions ebenfalls den “Consent” für diese Applikation.
Enterprise Application - User Assignment
Der Zugriff auf die DataSourceAdminApp sollte stark eingeschränkt sein. Nutzen Sie hierfür die Möglichkeit der "User Assignments" bei der Enterprise Application.
Suchen Sie die eben erstellte App Registration der DataSourceAdminApp und aktivieren Sie "Assignment required" und wählen die Benutzer aus, welche Zugriff bekommen sollten (in der Regel nur technische Personen und Administratoren, die Pakete exportieren/importieren müssen, um den Betrieb sicherzustellen).
PrimeSoft AG, Bahnhofstrasse 4, 8360 Eschlikon, Switzerland