Um die Authentifizierung über EntraID mit SIGNL4 verwenden zu können, müssen Sie einige Scopes für die Nutzung unserer EntraID Enterprise Application freigeben.
Wichtig zu wissen ist zuerst, dass wir bei der SSO-Authentifizierung „Modern Authentication / OpenID Connect" und nicht SAML verwednen.
Benötigte Scopes:
Folgende Scopes werden von SIGNL4 bei EntraID im Rahmen der Nutzerauthentifizierung angefragt, und müssen vom EntraID Administrator für SIGNL4 freigegeben werden:
- openId
- profile
- offline_access
- User.Read
Man kann diese Scopes in zwei verschiedene Arten von Bereichen unterteilen.
openId, email, offline_access und profile sind Standardbereiche von OpenID Connect, während User.Read für die Microsoft Graph-API verwendet wird.
OpenID Scopes:
openID
Dieser Scope ist in jedem OIDC-Ablauf obligatorisch und signalisiert, dass die Anwendung eine Authentifizierung durchführen möchte. Er stellt sicher, dass ein ID-Token ausgestellt wird, das Informationen über die Identität des Benutzers enthält.
email
Dieser Scope ermöglicht der Anwendung den Zugriff auf die E-Mail-Adresse des Benutzers. Das ID-Token enthält dann den E-Mail-Anspruch und möglicherweise ein E-Mail-Verifizierungsflag.
profile
Dieser Scope gewährt Zugriff auf grundlegende Profilinformationen wie Name, Vorname, Familienname, Benutzername oder sogar die URL des Profilbildes. Er enthält die wichtigsten Attribute, die zum Anzeigen oder Personalisieren des Benutzers in der App erforderlich sind.
offline_access
Dieser Scope ermöglicht es der Anwendung, ein Aktualisierungstoken anzufordern. Damit kann die App im Hintergrund unbemerkt neue Zugriffstoken abrufen, ohne dass sich der Benutzer erneut anmelden muss.
User.Read
User.Read ist obligatorisch, da die Token-Validierung mittels der Graph-API seitens SIGNL4 ansonsten nicht stattfinden kann.
Zusammen mit den OID Standard Scopes bildet User.Read zudem die Grundlage für die korrekte Anwendung von eventuell im EntraID vorhandenen Conditional Access Policies im Rahmen der Nutzeranmeldung.
Administrator-Zustimmung erteilen
Bitte führen Sie die folgenden Schritte in Azure AD aus, um die Admin-Zustimmung für SIGNL4 zu erteilen, um neue Scopes API-Bereiche anzufordern:
Melden Sie sich im Azure Portal an und öffnen Sie Active Directory.
Wählen Sie aus dem linken Menü "Unternehmensanwendungen".
Geben Sie im Suchfeld "SIGNL4" ein und öffnen Sie die Details der Anwendung mit der Anwendungs-ID, die mit 16b5 beginnt.
Klicken Sie im Detailmenü der App auf "Berechtigungen".
Klicken Sie auf die Schaltfläche Administratorzustimmung erteilen und erlauben Sie SIGNL4, die zuvor beschriebenen Scopes anzufordern.
Anschließend sollte in der Liste der erteilten Admin-Zustimmungen diese 4 Scopes der Microsoft Graph API angezeigt werden:
Bitte beachten sie das der email Scope seitens EntraID nicht separat freigeben werden kann und stattdessen standardmäßig immer erlaubt ist.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.