Um Microsoft Entra ID (früher bekannt als Microsoft Azure Active Directory) als OpenID-Provider an DRACOON anzubinden, sind die in diesem Artikel beschriebenen Schritte erforderlich.
Themen dieses Artikels
Einstellungen im Azure-Portal
- Loggen Sie sich im Azure Portal ein, und wählen Sie den gewünschten Mandanten aus. (Sollten Sie nur einen besitzen oder bereits den gewünschten Mandanten gewählt haben, überspringen Sie diesen Punkt. Zum Auswählen klicken Sie oben rechts auf Ihr Profil, anschließend auf Verzeichnis wechseln und wählen dort den gewünschten Mandanten aus.)
- Klicken Sie unterhalb von Azure-Dienste auf Microsoft Entra ID.
- Klicken Sie in der linken Leiste auf App-Registrierungen, und klicken Sie anschließend auf Neue Registrierung.
- Geben Sie unter Name den Namen Ihrer Applikation (z.B. DRACOON) und unter Umleitungs-URI die Redirect-URL Ihrer DRACOON-Umgebung ein. Diese besteht aus der Umgebungs-URL, gefolgt von
/oauth/openid-callback
. Klicken Sie anschließend auf die Schaltlfäche Registrieren. - Klicken Sie in der linken Leiste auf Zertifikate & Geheimnisse, auf den Reiter Geheime Schlüssel und dann auf Neuer geheimer Clientschlüssel.
- Geben Sie rechts unter Geheimen Clientschlüssel hinzufügen im Feld Beschreibung einen Namen für Ihren Schlüssel ein, wählen Sie darunter die Gültigkeitsdauer, und klicken Sie auf Hinzufügen.
- Im Anschluss erhalten Sie den Wert des Schlüssels – hierbei handelt es sich um Ihr Client Secret.
WICHTIG: Kopieren Sie jetzt unbedingt das Client Secret und speichern Sie es in einer Textdatei. Wenn Sie die Seite verlassen, ohne das Client Secret zu speichern, haben Sie keine Möglichkeit mehr, sich das Client Secret nochmals anzeigen zu lassen.
- Klicken Sie in der linken Leiste auf Authentifizierung. Hier werden Umleitungs-URI und Abmeldungs-URL angegeben.
Für die Umleitungs-URI tragen Sie Ihre DRACOON-Instanz ergänzt um den Pfad/oauth/openid-callback
ein (z.B. https://dracoon.team/oauth/openid-callback).
Als Abmelde-URL tragen Sie Ihre DRACOON-Instanz ergänzt um den Pfad/oauth/logout
ein
(z.B. https://dracoon.team/oauth/logout).
Klicken Sie abschließend auf die Schaltfläche Speichern. - In der Übersicht Ihrer angelegten Applikation finden Sie alle benötigten Informationen zum Hinterlegen der Konfiguration in DRACOON. Nützliche URLs verbergen sich hinter dem Befehl Endpunkte.
Einstellungen in DRACOON
Die Einstellungen am Azure-Portal sind nun abgeschlossen.
Als nächstes müssen die Werte von Azure in DRACOON hinterlegt werden.
Sie müssen in DRACOON die Rolle Konfigurationsmanager innehaben, um die folgenden Einstellungen festlegen zu können.
- Klicken Sie in der DRACOON Web App in der linken Seitenleiste auf Einstellungen und dann auf Authentifizierung.
- Klicken Sie auf das Register OpenID Connect.
- Aktivieren Sie den Schalter Anmeldung mit OpenID Connect aktivieren.
- Klicken Sie neben OpenID-Provider auf die Schaltfläche Hinzufügen.
- Ermitteln Sie die Werte für die OpenID Connect-Konfiguration Ihrer Microsoft Entra ID.
Sie finden diese Werte in einer Datei, deren Internetadresse Sie im Azure Portal unter Endpunkte > OpenID Connect-Metadatendokument finden (siehe Schritt 9 oben). Kopieren Sie die angegebene Internetadresse, und fügen Sie sie in einem neuen Browser-Tab in der Adressleiste ein, um sie zu öffnen.Tipp: Für eine bessere Übersicht der Werte empfiehlt es sich, im Browser z.B. mit F12 die Entwickler-Tools zu öffnen und sich unter der Registerkarte Network die OpenID-Konfiguration anzeigen zu lassen.
Achten Sie bitte unbedingt darauf, dass die oben genannten v2-Endpunkte angegeben werden, ansonsten kann es zu Problemen beim Import von Benutzern kommen, da der Claim email nicht abgerufen werden kann und dieser zwingend benötigt wird. - Geben Sie nun die Einstellungen für den OpenID-Provider in DRACOON an.
Im Folgenden wird aufgelistet, wie die Werte, die im DRACOON gefordert werden, im OpenID Connect-Metadatendokument benannt sind:
Wert in DRACOON Wert aus der OpenID Connect-Konfiguration Name Kann frei vergeben werden * IssuerURL issuer Authorization Endpoint URL authorization_endpoint (OAuth 2.0-Autorisierungsendpunkt (v2) Token Endpoint URL token_endpoint (OAuth 2.0-Token-Endpunkt (v2) User Info Endpoint URL userinfo_endpoint JWKS Endpoint URL jwks_uri Client ID Steht im Azure-Portal als "Anwendungs-ID (Client)" bei Ihrer Applikation * Client Secret Das ist der Key, den Sie sich, wie oben beschrieben, in eine Textdatei gesichert haben * Scopes openid, email, profile * Redirect URIs Die zuvor eingetragene Redirect-URL, die mit /openid-callback endet (Schritt 8 oben) * Proof Key for Code Exchange (PKCE) Aktivierung empfohlen PKCE Challenge Method id_token_signing_alg_values_supported (S256) Mapping Claim email * Fallback User Mapping Claim sub (recommended; *)
Die beiden letzten, hier nicht aufgelisteten Werte Lokale Benutzer automatisch anlegen und Benutzergruppe, sind optional und können bei Bedarf aktiviert werden.
Beispiel: - Als nächsten Schritt speichern Sie die Einstellungen.
OpenID kann nun als Authentifizierungsmethode in DRACOON genutzt werden.
OpenID bei Benutzern zulassen
Damit sich ein DRACOON-Benutzer mit OpenID anmelden kann, müssen Sie ihm diese Authentifizierungsmethode erst erlauben.
- Klicken Sie in der DRACOON Web App auf Einstellungen, und doppelklicken Sie auf den Benutzer, der sich über OpenID authentifizieren können soll.
- Wählen Sie im Feld Authentifizierungsmethode den Eintrag OpenID Connect.
- Wählen Sie den gewünschten OpenID-Provider aus, geben Sie den OpenID-Benutzernamen des Benutzers an, und klicken Sie auf Speichern.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.