SSO mit Azure/Entra und OpenID Connect (OIDC)

Du kannst dein Just ganz einfach mit deinem Azure/Entra AD verbinden. Dann können sich deine Nutzer wie gewohnt über Azure in deinem Just Social anmelden. Im Folgenden ist beschrieben, was du dazu in Azure und JUST konfigurieren musst.

Setup in Azure

1. Gehe zum Azure Portal  
2. Wechsle zu Microsoft EntraID
3. Wechsle in den Menüpunkt "Verwalten > App-Registrierungen"
4. Klicke oben auf "Neue Registrierung"
5. Gib hier zuerst einen frei wählbaren Namen ein (z.B. Name deiner JUST Plattform)

6. Wähle den Unterstützten Kontotypen aus (Standard: "Nur Konten in diesem Organisationsverzeichnis"). Umleitungs-URI zunächst leer lassen

   

7. Nachdem du nun in die Übersicht der neuen App gekommen bist, gehe in den Menupunkt Zertifikate & Geheimnisse. 
   Damit JUST sich gegenüber Azure sicher authentifizieren kann, muss hier ein geheimer Clientschlüssel angelegt werden, der dann in deiner JUST Installation hinterlegt wird.
8. Gehe in den Reiter Geheime Clientschlüssel und erstelle einen neuen geheimen Clientschlüssel.
9. Wähle einen beliebigen Namen und setze ein Ablaufdatum für das Geheimnis.
   WICHTIG: Mach dir am besten einen Kalendereintrag wann das Geheimnis abläuft, da nach Ablauf des Geheimnisses der SSO Login in JUST nicht mehr funktionieren wird.
   Daher musst du vorher ein neues Geheimnis in JUST registrieren.
10. Kopiere dir den generierten Wert des Schlüssels direkt in die Zwischenablage oder eine temporäre Datei, da du ihn später nicht mehr sehen kannst!

Setup in JUST

Gehe nun in deiner JUST Installation in die Admin App und gehe dort zu "Anbindungen" -> "Single-Sign-On" (https://<HOST>/just/admin/sso)

1. Klicke auf Login hinzufügen
2. Wähle einen "Login Provider" Namen (z.B. "Azure Browser Login") und füge deinen geheimen Clientschlüssel von Azure in das "Client Secret" Feld ein
3. Gib nun die ClientId / AppId ein, diese findest du in Azure auf der Übersichtsseite deiner neu angelegten App
    
4. Gib als Scope "openid" ein
5. Trage bei "userNameAttribute" das Feld für die Nutzerzuordnung ein, meistens "email"
6. Gib nun im Feld "Issuer URI" folgende URI ein: https://login.microsoftonline.com/<AZURE_MANDANTEN_ID>/v2.0 wobei du die AZURE_MANDANTEN_ID auf der Übersichtsseite deiner neu angelegten App unter "Verzeichnis-ID (Mandant)" findest.
   
   
    
7. Nach dem Speichern siehst du, dass der Login Provider angelegt wurde und aktiv ist.
8. Wenn du die Informationen des Providers ausklappst siehst du nun eine automatisch generierte URI, die du nun in Entra als "Umleitungs-URI" hinzufügen musst.

Weiterer Setup in EntraID

1. Gehe in Entra in deiner neu erstellten App auf den Menüpunkt "Übersicht" und wähle rechts oben "Umleitungs-URI hinzufügen"

    

2. Je nach EntraID-Stand, nun auf "Redirect-URI hinzufügen" oder "Plattform hinzufügen" klicken.
    
3. Anschließend wähle "Web" aus und kopiere dir die Redirect URI aus JUST in das Umleitungs-URI Feld. Die übrigen Felder können leer bleiben.
    
4. Klicke unten auf "Konfigurieren", bzw. "Speichern", je nach EntraID-Stand um die Änderungen zu übernehmen.
   
5. Du musst Just nun noch berechtigen auf die Email-Adresse bzw. Nutzerdaten währen des Logins zuzugreifen. Dazu links im Menü auf API-Berechtigungen klicken. Unter den Konfigurierten Berechtigungen sollte nun bereits User:Read stehen. Für diese muss nun eine Adminstratorenbewilligung erteilt werden. Dazu auf "Administratoreinwilligung für [dein Driectory] erteilen" klicken und anschließend bestätigen. Anschließend muss ein grüner Haken wie im folgenden Bild zu sehen sein:
   

Azure-Login testen und als Standard-Login setzen

Damit Desktop-Nutzer sich von nun an mit Azure authentifizieren, muss der neue Login noch aktiviert werden. Dazu einfach im 3-Punkte-Menue des Eintrags "Als Standard-Login nutzen" auswählen. Wenn du dich nun aus JUST ausloggst, wirst du automatisch an Azure weitergeleitet, um dich dort einzuloggen.