SSO Azure Active Directory (OAuth 2.0)

Bevor Sie beginnen

Für die Schnittstelle mit Azure AD stehen die Protokolle OAuth 2.0 und SAML 2.0 zur Verfügung.

Das folgende Dokument enthält die erforderlichen Informationen zum Einrichten der einmaligen Authentifizierung zwischen Azure AD- und LUCCA-Lösungen über das OAuth 2.0-Protokoll

Für das SAML 2.0-Protokoll können Sie dem folgenden Merkblatt folgen (nur für PREMIUM Azure AD-Abonnements verfügbar): SSO SAML 2.0-Protokoll

Schritt 1: Erstellen der Konfiguration in Lucca

Diese Aktion muss von einem/einer Administrator:in oder einem/einer Benutzer:in mit Zugriff auf das Modul „Authentifizierungs- und SSO-Einstellungen“ ausgeführt werden.

MerciApp_e54zozhQB9.png

1. Aktivieren Sie die Authentifizierungsmethode, die dem Protokoll entspricht (OAuth 2.0, SAML 2.0 usw.) und Ihr IDP.

MerciApp_flRw7FWTAp.png

2. Rufen Sie unterschiedliche Informationen in den Details des Bereichs „Informationen zum Lucca Service Provider“ ab. In diesem Beispiel handelt es sich um ein SAML 2.0-Protokoll, es bleibt jedoch für andere Protokolle anwendbar:

  • Ihre Login-URL;
  • Ihre Antwort-URL;
  • Ihre Metadaten-URL (nur SAML2.0);
  • Ihr Lucca-Identifikator (nur SAML2.0).

MerciApp_G4KJ8ZYlTG.png

MerciApp_rNAYIXR9U6.png

Schritt 2: Erstellen einer OAuth 2.0-App

1. Klicken Sie über die VerwaltungsoberflächeAzure Active Directory, Tab App registrations auf Neue Anmeldung.

2. Geben Sie die folgenden Informationen ein: Anwendungsname (dieser Wert ist personalisierbar), unterstützter Kontotyp und Antwort-URL. Klicken Sie dann auf Registrieren.

3. Markieren Sie in der Übersicht die Anwendungs-ID und die Verzeichnis-ID.

4. Geben Sie auf dem Tab Personalisierung die in Schritt 1 abgerufene Verbindungs-URL ein.

5. Im Tab Certificats & secrets klicken Sie auf Neuer secret client und geben Sie dann eine Beschreibung und ein Ablaufdatum ein (hier läuft es nie ab). Klicken Sie abschließend auf Hinzufügen.

Wenn Sie sich für die Generierung eines Schlüssels mit begrenzter Gültigkeitsdauer entscheiden, müssen Sie dem Lucca-Helpdesk vor der Verlängerung den neuen Schlüssel zur Verfügung stellen, um eine Unterbrechung des Dienstes zu vermeiden.

Speichern Sie dann den  generierten Schlüssel.

Achtung: Sie müssen die Wertdatenund nicht die Secret ID eingeben.

Sans_titre.png

Im Tab Unternehmensanwendungen finden Sie die für LUCCA erstellte OAuth 2.0-Anwendung. Zukünftigen Benutzern:innen der LUCCA-Lösungen sollten die erforderlichen Berechtigungen zugeteilt werden.

Schritt 3: Lucca-Einstellungen

Diese Aktion muss von einem/einer Administrator:in durchgeführt werden.

Nach der Konfiguration in Ihrem Azure Active Directory-Verwaltungsinterface kehren Sie zu den Authentifizierungseinstellungen von Lucca zurück und geben Sie dort Folgendes ein:

  • Verzeichnis-ID (Tenant ID)
  • App-ID (Application ID)
  • Der gespeicherte Schlüssel (Secret Key): Kopieren Sie die Wertdaten (und nicht Secret ID), bei der es sich um eine Zeichenfolge mit Buchstaben, Zahlen und Symbolen handelt.

mceclip0.png

mceclip1.png

Mit dem Verbindungsattribut können Sie festlegen, welches Attribut (Login oder geschäftliche E-Mail-Adresse) von Ihrem Identity Provider gesendet wird, um die Verbindung herzustellen.

Zu Ihrer Information: Der LUCCA-Authentifizierungsdienst gleicht die von Azure AD bereitgestellte Benutzer-E-Mail-Adresse (einmaliger Benutzername) mit dem Feld für die geschäftliche E-Mail-Adresse der LUCCA-Benutzerdateien ab.

Daher müssen die geschäftlichen Azure AD-E-Mail-Adressen in die LUCCA-Lösungen integriert werden.

Sobald diese Informationen eingegeben und gespeichert wurden, können Sie die Verbindung per SSO jederzeit aktivieren:

mceclip0.png

Sobald die Verbindung über SSO aktiviert ist, können Sie die Möglichkeit für Ihre Mitarbeitenden deaktivieren, auf die Lucca-Verbindungsseite zu gelangen, die es ihnen ermöglicht, sich mit ihrem Lucca-Login und einem personalisierten Passwort anzumelden, indem Sie „Login/Login-Verbindungspass Lucca“ deaktivieren.

Contenu de la page

War dieser Beitrag hilfreich?
1 von 2 fanden dies hilfreich