Bevor Sie beginnen
Für die Schnittstelle mit Azure AD stehen die Protokolle OAuth 2.0 und SAML 2.0 zur Verfügung.
Das folgende Dokument enthält die erforderlichen Informationen zum Einrichten der einmaligen Authentifizierung zwischen Azure AD- und LUCCA-Lösungen über das OAuth 2.0-Protokoll
Für das SAML 2.0-Protokoll können Sie dem folgenden Merkblatt folgen (nur für PREMIUM Azure AD-Abonnements verfügbar): SSO SAML 2.0-Protokoll
Schritt 1: Erstellen der Konfiguration in Lucca
Diese Aktion muss von einem/einer Administrator:in oder einem/einer Benutzer:in mit Zugriff auf das Modul „Authentifizierungs- und SSO-Einstellungen“ ausgeführt werden.
1. Aktivieren Sie die Authentifizierungsmethode, die dem Protokoll entspricht (OAuth 2.0, SAML 2.0 usw.) und Ihr IDP.
2. Rufen Sie unterschiedliche Informationen in den Details des Bereichs „Informationen zum Lucca Service Provider“ ab. In diesem Beispiel handelt es sich um ein SAML 2.0-Protokoll, es bleibt jedoch für andere Protokolle anwendbar:
- Ihre Login-URL;
- Ihre Antwort-URL;
- Ihre Metadaten-URL (nur SAML2.0);
- Ihr Lucca-Identifikator (nur SAML2.0).
Schritt 2: Erstellen einer OAuth 2.0-App
1. Klicken Sie über die VerwaltungsoberflächeAzure Active Directory, Tab App registrations auf Neue Anmeldung.
2. Geben Sie die folgenden Informationen ein: Anwendungsname (dieser Wert ist personalisierbar), unterstützter Kontotyp und Antwort-URL. Klicken Sie dann auf Registrieren.
3. Markieren Sie in der Übersicht die Anwendungs-ID und die Verzeichnis-ID.
4. Geben Sie auf dem Tab Personalisierung die in Schritt 1 abgerufene Verbindungs-URL ein.
5. Im Tab Certificats & secrets klicken Sie auf Neuer secret client und geben Sie dann eine Beschreibung und ein Ablaufdatum ein (hier läuft es nie ab). Klicken Sie abschließend auf Hinzufügen.
Speichern Sie dann den generierten Schlüssel.
Im Tab Unternehmensanwendungen finden Sie die für LUCCA erstellte OAuth 2.0-Anwendung. Zukünftigen Benutzern:innen der LUCCA-Lösungen sollten die erforderlichen Berechtigungen zugeteilt werden.
Schritt 3: Lucca-Einstellungen
Diese Aktion muss von einem/einer Administrator:in durchgeführt werden.
Nach der Konfiguration in Ihrem Azure Active Directory-Verwaltungsinterface kehren Sie zu den Authentifizierungseinstellungen von Lucca zurück und geben Sie dort Folgendes ein:
- Verzeichnis-ID (Tenant ID)
- App-ID (Application ID)
- Der gespeicherte Schlüssel (Secret Key): Kopieren Sie die Wertdaten (und nicht Secret ID), bei der es sich um eine Zeichenfolge mit Buchstaben, Zahlen und Symbolen handelt.
Mit dem Verbindungsattribut können Sie festlegen, welches Attribut (Login oder geschäftliche E-Mail-Adresse) von Ihrem Identity Provider gesendet wird, um die Verbindung herzustellen.
Zu Ihrer Information: Der LUCCA-Authentifizierungsdienst gleicht die von Azure AD bereitgestellte Benutzer-E-Mail-Adresse (einmaliger Benutzername) mit dem Feld für die geschäftliche E-Mail-Adresse der LUCCA-Benutzerdateien ab.
Daher müssen die geschäftlichen Azure AD-E-Mail-Adressen in die LUCCA-Lösungen integriert werden.
Sobald diese Informationen eingegeben und gespeichert wurden, können Sie die Verbindung per SSO jederzeit aktivieren:
Sobald die Verbindung über SSO aktiviert ist, können Sie die Möglichkeit für Ihre Mitarbeitenden deaktivieren, auf die Lucca-Verbindungsseite zu gelangen, die es ihnen ermöglicht, sich mit ihrem Lucca-Login und einem personalisierten Passwort anzumelden, indem Sie „Login/Login-Verbindungspass Lucca“ deaktivieren.