Anwendungsfall
Das WorkflowPortal soll die Benutzerkonten aus dem Microsoft Entra ID synchronisieren und entsprechend die Authentifizierung auf dieser Basis durchführen.
Technisches Vorgehen
Das WorkflowPortal unterstützt ab der Version 4.13 den direkten Zugriff auf Microsoft Entra ID. So kann über die von Microsoft bereitgestellte Graph API auf die Daten und Eigenschaften von Gruppen und Benutzerkonten zugegriffen werden.
Damit das WorkflowPortal per Microsoft Graph API Zugriff auf die Ressourcen erhalten kann, sind folgende Einrichtungsschritte notwendig, die wir am Beispiel unseren eigenen Mandanten zeigen.
1. Registrierung einer Azure AD Anwendung im Microsoft Azure Portal
Dieser Schritt ist für alle Zugriffe des WorkflowPortals oder DPC auf die Microsoft Graph API notwendig. Dabei werden eine Anwendungs-ID und ein geheimes Passwort generiert, die für einen erfolgreichen Login benötigt werden.
Microsoft Graph API - Vorbereitungen für den Zugriff
2. Vergeben der notwendigen Rechte für den Zugriff auf Gruppen und Benutzer
Damit das WorkflowPortal über die eingerichtete Anwendungs-ID auf die Ressourcen zugreifen kann, müssen über das Microsoft Azure Portal die notwendigen Rechte vergeben werden.
Wählen Sie dafür in den Einstellungen der eingerichteten Anwendung den Menüpunkt "API-Berechtigungen" und klicken auf "Berechtigung hinzufügen".
Die notwendigen Berechtigungen für diesen Anwendungsfall finden Sie in der Microsoft Graph API.
Azure AD Anwendungen können entweder Delegierte oder Anwendungsberechtigungen erhalten. Delegierte Berechtigungen erfordern für jeden API-Aufruf die Zustimmung eines angemeldeten Benutzers. Anwendungsberechtigungen dagegen müssen nur einmal durch den Administrator bestätigt werden.
Das WorkflowPortal führt Synchronisierung und Authentifizierung als Dienst im Hintergrund aus und erfordert deshalb Anwendungsberechtigungen.
Wählen Sie die im folgenden Screenshot angegeben Berechtigungen aus und bestätigen Sie die Auswahl mit "Berechtigungen hinzufügen".
Die vergebenen Berechtigungen müssen abschließend vom Administrator bestätigt werden. Klicken Sie hierfür auf "Administratorzustimmung für <Mandant> erteilen" und bestätigen den Dialog mit "Ja".
3. Konfiguration des WorkflowPortals
Für die Einrichtung der Benutzersynchronisation im WorkflowPortal per Microsoft Entra ID benötigen Sie die folgenden 3 Angaben:
- Verzeichnis-ID bzw. Mandant-ID
- Anwendungs-ID der angelegten und berechtigten Anwendung
- Geheimes Passwort der angelegten und berechtigten Anwendung
Falls die Benutzerverwaltung des WorkflowPortals noch nicht auf Entra ID konfiguriert ist, klicken Sie bitten in der Adminstration unter dem Punkt "Benutzerverwaltung\Synchronisierung"oben rechts auf das Symbol "Variante der Benutzerverwaltung ändern". Im nachfolgenden Dialog können Sie die Einstellung vornehmen und anschließend die 3 Angaben in die entsprechenden Datenfelder eintragen.