SSO mit Entra ID einrichten

Features:
Tags:
Begriffe:

  3 Minuten Lesezeit  

Durch die Anbindung an Microsoft Entra ID 1 können Sie FLOWWER bequem mit nur einer Anmeldung (Single Sign-On, SSO) nutzen. Das bedeutet, dass Benutzer sich nur einmal mit ihren Microsoft Entra ID-Zugangsdaten anmelden müssen, um Zugriff auf FLOWWER zu erhalten.
Es entfällt eine separate Anmeldung für FLOWWER, da die Authentifizierung über Microsoft Entra ID erfolgt. Dies vereinfacht den Zugang, da Benutzer ihre gewohnten Zugangsdaten nutzen und sich nicht ein weiteres Passwort merken müssen.

Darüberhinaus können auf diese Weise Passwortrichtlinien und andere Sicherheitsvorgaben zentral verwaltet werden.

Anleitung

Nachfolgend finden Sie eine Schritt-für-Schritt-Anleitung, um Microsoft Entra ID in einem FLOWWER-Konto zu hinterlegen. Der Vorgang erfordert mehrere Schritte, da sicherheitsrelevante Daten wechselseitig in beiden Systemen eingetragen werden müssen. Bitte beachten Sie, dass sich die Darstellung der Screenshots aufgrund laufender Weiterentwicklungen auf beiden Seiten leicht von der tatsächlichen Darstellung unterscheiden kann.

SSO-Anbieter in FLOWWER hinzufügen

Beginnen Sie mit dem Hinzufügen eines Anbieters für externe Anmeldungen, siehe Externe Login-Verwaltung.

  1. Einstellungen für externe Login-Verwaltung wählen
  2. SSO-Anbieter hinzufügen

Redirect-URI

Damit das Entra ID-System Ihre Benutzer nach der Anmeldung sicher zurück zu FLOWWER leiten kann, stellt FLOWWER eine eindeutige Redirect-URI bereit.
Diese URI benötigen Sie später, um sie in den Einstellungen Ihrer Entra ID-App zu hinterlegen.

Bitte lassen Sie dieses Fenster geöffnet und führen Sie die nachfolgenden Schritte in einem neuen Browser-Tab durch.

  1. Von FLOWWER automatisch erstellte Redirect-URI

Entra Admin Center

Öffnen Sie das Admin Center von Entra ID in einem neuen Browser-Tab/Fenster, um eine neue Identity-App für FLOWWER zu erstellen.

  1. Wechsel zu Identity App registrations
  2. Neue App

Identity-App registrieren

Legen Sie nun grundlegende Parameter für die FLOWWER Identity-App fest.

  1. Name (FLOWWER o.ä.)
  2. hinterlegen der Redirect-URI aus FLOWWER
  3. Registrieren der App

IDs aus Identity-App

Nachdem die FLOWWER Identity-App nun in Entra erstellt wurde, stehen einige, eindeutige IDs bereit.
Diese werden benötigt, um die Anlage des SSO-Anbieters in FLOWWER zu vervollständigen.

  1. Application (client) ID für FLOWWER
  2. Directory (tenant) ID für FLOWWER
  3. Wechseln zu Certificates & secrets (siehe nächster Schritt)
  4. Wechseln zu Token configuration (siehe übernächster Schritt)

Certificates & secrets

  1. Neues Client Secret erzeugen
  2. Client Secret kopieren und in FLOWWER einfügen (siehe Bild 8)

Token configuration

Damit ein Entra ID-Login automatisch Ihrem bestehenden FLOWWER-Benutzerkonto zugeordnet werden kann, vergleicht FLOWWER die E-Mail-Adresse. Um den Abgleich zu ermöglichen, muss das während des Single Sign-On (SSO)-Vorgangs an FLOWWER übermittelte Token den Claim email enthalten.
Falls das Token den email-Claim nicht enthält oder die Übermittlung nicht gewünscht ist, zeigt FLOWWER einen Zuordnungsfehler an.
In diesem Fall muss die Zuordnung manuell und einmalig vom jeweiligen Benutzer in FLOWWER durchgeführt werden.

  1. Hinzufügen optionaler Claims beginnen
  2. Token-Typ “ID” wählen
  3. Claim-Typ “email” wählen
  4. Hinzufügen

SSO-Anbieter in FLOWWER vervollständigen

Wie zuvor beschrieben, hinterlegen Sie nun bitte die Werte in den “Anbieter hinzufügen”-Dialog des noch geöffneten FLOWWER-Fensters.

  1. Einfügen ‘Application (client) ID’ aus Identity-App
  2. Einfügen ‘Directory (tenant) ID’ aus Identity-App
  3. Einfügen ‘Client Secret’ aus Certificates & secrets
  4. Hinzufügen der Werte

Einstellungen aktivieren

Nun sind alle notwendigen IDs zwischen FLOWWER und Entra ID wechselseitig hinterlegt.
Bitte speichern Sie die Werte in FLOWWER und starten das FLOWWER-Konto neu, um die neuen Einstellungen bereits während der Benutzeranmeldung verfügbar zu haben.

  1. Speichern Sie die Einstellungen und
  2. Aktivieren Sie die neue Konfiguration durch erneutes Starten der FLOWWER-Instanz

Anmeldung mit SSO

Der FLOWWER-Anmeldebildschirm bietet nun, zusätzlich zur Anmeldung über lokale Benutzerkonten, den Login per SSO über Microsoft Entra ID an.

  1. auch bekannt als Azure Active Directory bzw. Azure AD ↩︎