Benutzerverwaltung der Web-App
      Zurück zur Startseite
      1. Service-Portal
      2. Web-App
      3. Benutzerverwaltung der Web-App

      Konfiguration des Microsoft Azure Active Directory B2C Mandanten für SSO

      Dieser Artikel beschreibt die notwendige Konfiguration innerhalb des Microsoft Azure Active Directory B2C Mandanten, um eine SSO Anmeldung bereitzustellen.

      ⚙️ Verfügbar ab: Release 8.32

      🧩 Dieser Artikel enthält Funktionalitäten einer oder mehr Zusatzoptionen

      Um SSO-Funktionalität (Single Sign-On) mittels Azure AD B2C (Azure Active Directory Business to Consumer) für die Benutzerverwaltung Ihrer customX Webanwendung bereitzustellen, müssen folgende Schritte und Einstellungen in Ihrem Azure AD B2C Mandanten vorgenommen werden:

      Azure AD B2C Mandanten erstellen

      Falls noch nicht geschehen, muss zunächst ein Azure AD B2C Mandant erstellt werden.

      Eine Anleitung zum Erstellen eines Azure AD B2C Mandanten (engl. Tenant) finden Sie in der Dokumentation von Microsoft.

      Benutzerflüsse konfigurieren

      Für customX werden drei Benutzerflüsse benötigt.

      • Registrieren und Anmelden
      • Profilbearbeitung
      • Kennwortzurücksetzung

      Verwenden Sie dazu die vordefinierten, konfigurierten Richtlinien.

      vordefinierte-konfigurierte-Benutzerfluesse-azure-ad-b2c

      Weitere Informationen finden Sie in der Dokumentation von Microsoft.

      Anwendungsansprüche (engl. Application claims)

      Abhängig von der gewählten Authentifizierungsmethode benötigt customX bei der Anmeldung oder Registrierung Informationen vom Identitätsanbieter, die sogenannten Anwendungsansprüche (claims).

      Beachten Sie, dass Sie in Abhängigkeit der Authentifizierungsmethode Standardwerte an den Benutzerattributen festlegen müssen. Diese Implementierung hängt davon ab, wie Sie Azure AD B2C konfiguriert haben. Zusammenfassend stehen Ihnen folgende Möglichkeiten zur Verfügung.

      • Custom Policies: Erlauben das Festlegen von Standardwerten direkt in der Richtlinie.
      • Built-in User Flows: Keine direkte Unterstützung, aber API-Nachbearbeitung möglich.
      • Microsoft Graph API: Erlaubt die programmgesteuerte Aktualisierung von Attributen nach der Benutzerregistrierung.

      Im Folgenden wird die Authentifizierungsmethode als "SSO" bezeichnet, bei der die Verwaltung ausschließlich in Azure AD B2C erfolgt, und als "Mischbetrieb" bezeichnet, bei dem die Verwaltung hauptsächlich in Azure AD B2C erfolgt und durch Informationen aus der customX-Benutzerverwaltung ergänzt wird.

      User-ID

      Benutzerattribut Details

      Verwendung für SSO: Obligatorisch

      Verwendung für Mischbetrieb: Obligatorisch

      Beschreibung: Eine eindeutige Kennung, die es ermöglicht, den Benutzer in Azure AD B2C zu identifizieren. Standardmäßig verwendet customX die Objekt-ID des Azure AD B2C-Benutzers. Alternativ können Sie ein anderes Benutzerattribut, welches eine eindeutige Identifizierung ermöglicht, verwenden.

      customX Basisverzeichnis

      Benutzerattribut Details

      Verwendung für SSO: Obligatorisch

      Verwendung für Mischbetrieb: Optional

      Besondere Werte: Ein Stern (*) entspricht einem leeren Platzhalter, welches dem Benutzer Zugriff auf alle customX Projekte erlaubt. Wird das Benutzerattribut leer übergeben, wird automatisch die E-Mail-Adresse als Basispfad angelegt.

      Beschreibung: Projektverzeichnis, auf welches der Benutzer Zugriff hat. Dieses wird im Mischbetrieb standardmäßig durch customX verwaltet, kann aber durch ein Benutzerattribut durch Azure AD B2C verwaltet werden. Das Schema der möglichen Werte ist frei wählbar. Stimmen Sie sich dazu mit Ihrem customX Applikationsingenieur ab.

      customX E-Mail

      Benutzerattribut Details

      Verwendung für SSO: Obligatorisch

      Verwendung für Mischbetrieb: Optional

      Beschreibung: E-Mail Adresse des Benutzers, welche für customX Funktionalitäten wie dem automatischen E-Mail Versand verwendet wird.

      customX Rolle

      Benutzerattribut Details

      Verwendung für SSO: Obligatorisch

      Verwendung für Mischbetrieb: Optional

      Beschreibung: customX Benutzerrolle zur Steuerung der Benutzerrechte. Die möglichen Werte sind frei wählbar. Stimmen Sie sich dazu mit Ihrem customX Applikationsingenieur ab.

      Benutzerdefinierte Anwenungsansprüche

      Je nach Anforderung Ihrer customX-Anwendung müssen möglicherweise zusätzliche Informationen aus der Benutzerverwaltung Ihres Identitätsanbieters übertragen werden. Dies können Standardinformationen wie Vor- und Nachname oder benutzerdefinierte Attribute wie Einwilligung zum Newsletter, Position usw. sein. Stimmen Sie sich mit Ihrem customX Applikationsingenieur bzgl. Name der Anwendungsansprüche und mögliche Werte ab.

       

      customX-Rest-Service registrieren

      Ein Rest-Service muss als Anwendung im Azure AD B2C Mandant registriert werden.

      1. Gehen Sie zu "Azure AD B2C" und wählen "App-Registrierungen" aus.
      1. Klicken Sie auf "Neue Registrierung".
      2. Vergeben Sie einen Namen für diese Anwendung beispielsweise "customX-Rest-Service".
      3. Wählen Sie "Konten in einem beliebigen Identitätsanbieter oder Organisationsverzeichnis (zum Authentifizieren von Benutzern mit Benutzerflows)" als unterstützten Kontotyp aus.
      4. Klicken Sie auf "Registrieren".

      customX-Rest-Service-App-Registrierung-Azure-AD-B2C

      customX-Rest-Service konfigurieren

      Konfigurieren Sie die gerade erstellte Anwendung (hier "customX-Rest-Service") mit den richtigen Einstellungen:

      1. Gehen Sie zu "Azure AD B2C" und wählen "App-Registrierungen" aus.
      2. Sollte die Anwendung nicht sichtbar sein, wählen Sie die Registerkarte "Alle Anwendungen" aus.
      3. Klicken Sie auf die soeben erstellte Anwendung (hier "customX-Rest-Service")
      4. Klicken Sie auf "Eine API verfügbar machen".

      5. Fügen Sie eine "Anwendungs-ID-URI" hinzu.
      6. Ersetzen Sie die GUID durch einen lesbaren Namen zum Beispiel "customX-tasks"

      7. Klicken Sie auf "Speichern".
      8. Klicken Sie auf "Bereich hinzufügen"

      9. Als Bereichsname ist "Access" von customX vorgegeben.

      10. Klicken Sie auf "Bereich hinzufügen".

      Single-Page-Anwendung registrieren

      Registrieren Sie eine weitere Anwendung im Azure AD B2C Mandanten:

      1. Gehen Sie zu "Azure AD B2C" und wählen "App-Registrierungen" aus.
      2. Klicken Sie auf "Neue Registrierung".
      3. Vergeben Sie einen Namen für diese Anwendung beispielsweise "customX-Single-Page-App".

      4. Wählen Sie "Konten in einem beliebigen Identitätsanbieter oder Organisationsverzeichnis (zum Authentifizieren von Benutzern mit Benutzerflows)" als unterstützten Kontotyp aus.
      5. Wählen Sie für die Umleitungs-URI die Option "Single-Page-Anwendung (SPA)" aus.
      6. Hinterlegen Sie die Start-URL-Adresse Ihrer customX Webanwendung.
      7. Klicken Sie auf "Registrieren".

      Single-Page-Anwendung konfigurieren

      Konfigurieren Sie die gerade erstellte Anwendung (hier "customX-Single-Page-App") mit den richtigen Einstellungen:

      1. Gehen Sie zu "Azure AD B2C" und wählen "App-Registrierungen" aus.
      2. Sollte die Anwendung nicht sichtbar sein, wählen Sie die Registerkarte "Alle Anwendungen" aus.
      3. Klicken Sie auf die soeben erstellte Anwendung (hier "customX-Single-Page-App")
      4. Klicken Sie auf "Authentifizierung".

      5. Wählen Sie unter "Implizite Genehmigung und Hybridflows" die Optionen "Zugriffstoken (werden für implizite Flows verwendet)" und "ID-Token (werden für implizite und Hybridflows verwendet)" aus.

      6. Klicken Sie auf "Speichern".
      7. Klicken Sie auf "API-Berechtigungen"

      8. Klicken Sie auf "Berechtigung hinzufügen"

      9. Klicken Sie auf "Von meiner Organisation verwendete APIs" und wählen Sie die obige Rest-Service-Anwendung (hier "customX-Rest-Service") aus.

      10. Aktivieren Sie im nachfolgenden Dialog unter "Berechtigungen" die Option "Access".

      11. Klicken Sie auf "Berechtigung hinzufügen".
      12. Klicken Sie auf "Administratorzustimmung für ... erteilen".

      13. Bestätigen Sie die Administratoreinwilligung.

      Implementierung der SSO-Funktionalität in Ihrer Webanwendung

      Übergeben Sie nachfolgende Informationen an den customX Administrator in Ihrem Unternehmen:

      Azure_Tenant=yourcompany
      Azure_SignUpSignInPolicyName=Registrieren-und-Anmelden
      Azure_ProfileEditingPolicyName=Profilbearbeitung
      Azure_ForgotPasswordPolicyName=Kennwortzuruecksetzung
      Azure_ServiceClientId=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
      Azure_ApplicationIdUri=customX-tasks
      Azure_SinglePageClientId=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

      Domänenname des Azure AD B2C Mandant

      1. Gehen Sie zu "Azure AD B2C".
      2. Notieren Sie sich den Domänennamen bis zu ".onmicrosoft.com" (hier "yourcompany")

      Namen der Benutzerflüsse

      1. Gehen Sie zu "Azure AD B2C" und wählen "Benutzerflows" aus.
      2. Notieren Sie sich die Namen der drei Benutzerflüsse (hier "B2C_1_Kennwortzuruecksetzung", "B2C_1_Profilbearbeitung" und "B2C_1_Registrieren-und-Anmelden"), die Sie im obigen Abschnitt angelegt haben.



      Informationen der Rest-Service-Anwendung

      1. Gehen Sie zu "Azure AD B2C" und wählen "App-Registrierungen" aus.
      2. Sollte die Anwendung nicht sichtbar sein, wählen Sie die Registerkarte "Alle Anwendungen" aus.
      3. Klicken Sie auf die soeben erstellte Rest-Service-Anwendung (hier "customX-Rest-Service")
      4. Notieren Sie die "Anwendungs-ID (Client)".
      5. Notieren Sie sich die Anwendungs-ID-URI (hier customX-tasks) ohne den Domänennamen (hier https://yourcompany.onmicrosoft.com/).

      Informationen der Single-Page-Anwendung

      1. Gehen Sie zu "Azure AD B2C" und wählen "App-Registrierungen" aus.
      2. Sollte die Anwendung nicht sichtbar sein, wählen Sie die Registerkarte "Alle Anwendungen" aus.
      3. Klicken Sie auf die soeben erstellte Single-Page-Anwendung (hier "customX-Single-Page-App")
      4. Notieren Sie die "Anwendungs-ID (Client)".