Du kannst dein Just ganz einfach mit deinem Azure AD verbinden. Dann können sich deine Nutzer wie gewohnt über Azure in deinem Just Social anmelden. Im Folgenden ist beschrieben, was du dazu in Azure und JUST konfigurieren musst.
Setup in Azure
- Gehe zum Azure Portal
- Wechsle in die Azure Active Directory Verwaltung
- Wechsle in den Menüpunkt "App-Registrierungen"
- Klicke oben auf "Neue Registrierung"
- Gib hier zuerst einen frei wählbaren Namen ein (z.B. Name deiner JUST Plattform)
- Wähle den Unterstützten Kontotypen aus (Standard: "Nur Konten in diesem Organisationsverzeichnis"). Umleitungs-URI zunächst leer lassen
-
Nachdem du nun in die Übersicht der neuen App gekommen bist, gehe in den Menupunkt Zertifikate & Geheimnisse.
Damit JUST sich gegenüber Azure sicher authentifizieren kann, muss hier ein geheimer Clientschlüssel angelegt werden, der dann in deiner JUST Installation hinterlegt wird. -
Gehe in den Reiter Geheime Clientschlüssel und erstelle einen neuen geheimen Clientschlüssel.
-
Wähle einen beliebigen Namen und setze ein Ablaufdatum für das Geheimnis.
WICHTIG: Mach dir am besten einen Kalendereintrag wann das Geheimnis abläuft, da nach Ablauf des Geheimnisses der SSO Login in JUST nicht mehr funktionieren wird.
Daher musst du vorher ein neues Geheimnis in JUST registrieren. -
Kopiere dir den generierten Wert des Schlüssels direkt in die Zwischenablage oder eine temporäre Datei, da du ihn später nicht mehr sehen kannst!
Setup in JUST
Gehe nun in deiner JUST Installation in die Admin App und gehe dort zu "Anbindungen" -> "Single-Sign-On" (https://<HOST>/just/#/admin/sso)
Desktop Browser SSO
- Klicke auf Login hinzufügen
- Wähle einen "Login Provider" Namen (z.B. "Azure Browser Login") und füge deinen geheimen Clientschlüssel von Azure in das "Client Secret" Feld ein
- Gib nun die ClientId / AppId ein, diese findest du in Azure auf der Übersichtsseite deiner neu angelegten App
- Gib als Scope "openid,email,profile" ein
- Setze bei "Login nutzen mit" den Haken für Desktop
- Gib nun im Feld "Issuer URI" folgende URI ein: https://login.microsoftonline.com/<AZURE_MANDANTEN_ID>/v2.0/ wobei du die AZURE_MANDANTEN_ID auf der Übersichtsseite deiner neu angelegten App unter "Verzeichnis-ID (Mandant)" findest.
- Nach dem Speichern siehst du, dass der Login Provider angelegt wurde und aktiv ist.
- Wenn du die Informationen des Providers ausklappst siehst du nun eine automatisch generierte URI, die du später in Azure als "Umleitungs-URIs" hinzufügen musst.
Setup für Mobile SSO
- Wiederhole Schritte 1-3 von oben (client-Secret kannst du in diesem Fall weglassen)
- Gib als Scope "api://just.social/access,offline_access,openid" an
- Setze bei "Login nutzen mit" nur den Haken für Mobile
- in Azure sicherstellen, dass "offline_access" gewährt wurde https://docs.microsoft.com/de-de/azure/active-directory/develop/quickstart-configure-app-access-web-apis#delegated-permission-to-microsoft-graph
- in Azure sicherstellen, dass für die Just Installation die Administratoreinwilligung erteilt wurde und im "Status" neben der Just Installation ein grüner Haken zu sehen ist https://docs.microsoft.com/de-de/azure/active-directory/develop/quickstart-configure-app-access-web-apis#admin-consent-button
- Gib nun im Feld "Issuer URI" folgende URI ein:
https://login.microsoftonline.com/<AZURE_MANDANTEN_ID>/v2.0
wobei du die AZURE_MANDANTEN_ID auf der Übersichtsseite deiner neu angelegten App unter "Verzeichnis-ID (Mandant)" findest. - Nach dem Speichern siehst du nun eine Reihe von automatisch generierten URIs, die du in Azure als "Umleitungs-URIs" hinzufügen musst
Umleitungssetup in Azure
- Gehe in Azure in deiner neu erstellten App auf den Menüpunkt "Authentifizierung" und wähle "Plattform hinzufügen"
- Wähle "Web" aus und kopiere dir die Redirect URI aus JUST für den Eintrag "Desktop Browser" in das Umleitungs-URI Feld. Die übrigen Felder können leer bleiben.
Klicke unten auf "Konfigurieren" - Wenn du SSO für Mobilgeräte aktivieren möchtest, klicke noch einmal auf "Plattform hinzufügen" und wähle "Mobilgerät- und Desktopanwendungen"
- Füge nun die Redirect URIs für iOS Connect, iOS Social, Android Connect und Android Social, die du in der Admin App deiner JUST Installation siehst, hier ein. (siehe Screenshot)
- Vergiss nicht, oben in Azure auf "Speichern" zu drücken um die Änderungen zu übernehmen!
Access Token für Mobile SSO nutzbar machen
Damit JUST den Access Token von Azure verifizieren kann, müssen noch folgende Schritte gemacht werden:
- Gehe in Azure in deiner neu erstellten App auf den Menupunkt "Manifest" und ändere im Manifest den Wert von "accessTokenAcceptedVersion" von "null" auf "2"
- Gehe in Azure auf den Menüpunkt "Eine API verfügbar machen" und klicke auf "Bereich hinzufügen"
- Gib den Wert "api://just.social" ein
- Wähle nun "Bereich hinzufügen" und gib als Bereichsname "access" an
- Fülle die anderen Pflichtfelder frei aus (Beispiel siehe Screenshot)
- Unter API-Berechtigungen nun den Zugriff auf die erstellte API für alle gewähren.
Dazu:
- API-Berechtigungen: Berechtigung hinzufügen
- Oben rechts: Eigene APIs auswählen
- JustSocial -> access anhaken und speichern
- Administrator-Zustimmung erteilen (grünes Häkchen bei Status)
- Gehe in Azure auf den Menüpunkt "Tokenkonfiguration" und wähle "Optionalen Anspruch hinzufügen"
- Wähle hier Tokentyp "Zugriff" und Berechtigungen "email" schließe das Menu indem du unten "Hinzufügen" klickst (stimme im erscheinenden Popup der Anbindung an Graph API zu)
- Stelle sicher, dass der erstellte Bereich (api://just.social/access) mit dem Scope übereinstimmt, das du in JUST für Mobile SSO gesetzt hast.
Azure-Login testen und als Standard-Login setzen
Damit Desktop-Nutzer sich von nun an mit Azure authentifizieren, muss der neue Login noch aktiviert werden. Dazu einfach im 3-Punkte-Menue des Eintrags "Als Standard-Login nutzen" auswählen. Wenn du dich nun aus JUST ausloggst, wirst du automatisch an Azure weitergeleitet, um dich erneut einzuloggen.
Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.