Grundsätzlich kann jedes OpenID-Connect fähige System mit Operations1 für Single-Sign-On (Kurz: SSO oder auch SSO-Login) gekoppelt werden, solange der OpenID-Connect-Provider für die Operations1-Cloud-Instanz notwendigen Anfragen verfügbar ist. Microsoft bietet ein solches OpenID-Connect fähiges System über die Microsoft Identity Platform, auch bekannt als Azure Active Directory. Wenn Office356 in Ihrem Unternehmen verwendet wird, ist es wahrscheinlich, dass Sie bereits ein Azure Active Directory haben.

Kunden, die Microsoft Azure Active Directory verwenden, können ihr Konto mit ihrem Operations1-Server verbinden, um Benutzer zu authentifizieren und den Zugriff auf die Anwendung zu verwalten. Dies vermeidet die Duplizierung von Benutzerdaten und bietet eine bessere Sicherheit und Zugriffskontrolle, da keine Passwörter an den Operations1-Server übertragen werden müssen und die Benutzerdaten von einem zentralen Ort aus verwaltet werden können. Diese Single-Sign-On-Funktion kann parallel zur normalen Passwort-Authentifizierung genutzt werden.

Die Hauptanforderung für eine Integration mit dem Active Directory eines Kunden ist, dass es verfügbar ist als:

Sofern Sie bereits Microsoft Office 365 nutzen, ist obiges höchstwahrscheinlich bereits der Fall. Für bestehende On-Premise-Verzeichnisse bietet Microsoft Azure AD Connect Sync an, um das lokale Verzeichnis sicher mit der Azure Cloud zu verbinden.

Der Operations1-Server wird dann als App im Azure Active Directory registriert. Er verwendet die OpenID-Connect-Endpunkte von Microsoft, um Benutzer zu authentifizieren, wenn sie sich bei der Operations1-Anwendung anmelden, sowie um grundlegende Informationen wie ihren Namen und ihre E-Mail-Adresse abzurufen. Die Authentifizierung mit Kerberos, ADFS oder LDAP in einem Active Directory vor Ort wird derzeit nicht unterstützt.

Es ist auch möglich, andere Single-Sign-On-Lösungen mit Operations1 zu verbinden, wenn sie den OpenID-Connect-Standard unterstützen. Die folgenden Schritte sind spezifisch für die Microsoft Identity Plattform, können aber auch auf andere Authentifizierungsanbieter übertragen werden.

Bevor Sie loslegen, stellen Sie bitte sicher, dass die folgenden Dinge gegeben sind:

1) Register an application with Azure Active Directory

Melden Sie sich im Azure-Portal an und stellen Sie sicher, dass Sie die entsprechenden Berechtigungen haben, um Anwendungen in Ihrem Azure Active Directory zu registrieren. Navigieren Sie zu "Azure Active Directory", dann zu "App-Registrierungen" und klicken Sie auf "Neue Registrierung". Geben Sie einen Namen für die Anwendung ein und legen Sie die unterstützten Kontotypen fest. Höchstwahrscheinlich möchten Sie nur den Zugriff eines einzelnen Mandanten zulassen. Klicken Sie auf "Registrieren", um zur Übersichtsseite für die neue Anwendung weitergeleitet zu werden. Offizielle Microsoft-Dokumentation zur Registrierung einer Anwendung: https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app

2) Redirect URLs

Navigieren Sie zum Abschnitt "Authentifizierung" der neu registrierten Anwendung. Klicken Sie auf die Schaltfläche "Plattform hinzufügen" und wählen Sie "Web". Geben Sie die folgenden Redirect-URLs für Ihren Unternehmensserver ein:

Ersetzen Sie den Domänennamen durch den Ihrer Operations1-Anwendung. Wenn Sie zum Beispiel Ihre Operations1-Instanz unter mycompany.operations1.app erreichen, ersetzen Sie mycompany.

Vergewissern Sie sich auch, dass Sie die Option "ID Tokens" am unteren Rand aktivieren.

Bestätigen Sie dann mit der Schaltfläche "Konfigurieren" am unteren Rand.

Wenn Ihre Operations1-Instanz noch eine cioplenu.app-Domäne hat, müssen Sie einen URI zu den Redirect-URIs mit https://mycompany.cioplenu.app/login/oidc-success hinzufügen, um das Single Sign-On bei Verwendung der alten Domäne zu aktivieren.

3) Client secret (Geheimnis) hinzufügen

Damit sich der Operations1-Server bei Azure authentifizieren kann, müssen Sie im Bereich "Zertifikate & Geheimnisse" auch ein Client-Secret (Geheimnis) erstellen. Wählen Sie auf der Registerkarte "Client Secrets" die Option "New client secret", geben Sie eine Beschreibung ein und legen Sie ein Ablaufdatum fest.

Bitte beachten Sie, dass die Anmeldung nicht mehr funktioniert, wenn das Geheimnis abläuft. Stellen Sie daher sicher, dass Sie einen angemessenen Zeitraum wählen und das Geheimnis nach Ablauf der Frist erneuern. Wenn Sie ein neues Geheimnis erstellen, müssen Sie es ebenfalls zur Konfiguration in Operations1 hinzufügen (siehe Schritt 4).

Fügen Sie dann das Geheimnis hinzu und lassen Sie die Registerkarte des Browsers geöffnet oder kopieren Sie den Wert des Geheimnisses, da es in Zukunft nicht mehr zugänglich sein wird.

4) Token-Konfiguration hinzufügen

Um Vor- und Nachname des Benutzers aus Azure zu verwenden, müssen Sie zusätzliche optionale Angaben für die ID-Tokens konfigurieren. Diese beiden Eigenschaften werden nur bei der ersten Anmeldung des Benutzers synchronisiert. Sie können dies im Abschnitt "Token-Konfiguration" tun. Die benötigten Angaben sind family_name und given_name.

Sie müssen auch die profile API-Berechtigungen hinzufügen, damit die Anmeldung auch in der App funktioniert. Azure zeigt eine Warnung an, wenn dies noch nicht konfiguriert ist. Der E-Mail-Bereich muss immer aktiviert sein, damit die Integration funktioniert.

Außerdem müssen Sie der Anwendung im Abschnitt "Api-Berechtigungen" die Zustimmung des Administrators erteilen.

5) Aktivieren Sie das Azure Login in Operations1

Melden Sie sich in Ihrem Operations1 mit einem Benutzerkonto an, das die Berechtigung hat, (System-)Einstellungen zu ändern. Navigieren Sie im zu System Settings → Auth Providers. Fügen Sie einen neuen Authentifizierungsanbieter hinzu und geben Sie ihm einen Namen wie "Login with Azure".

Geben Sie das Client-Geheimnis ein und kopieren Sie die Anwendungs-ID von der Seite "Übersicht" der Anwendungskonfigurationsseite in Azure. Für den OIDC-Aussteller klicken Sie auf die Schaltfläche "Endpunkte" im Abschnitt "Übersicht" und kopieren Sie die URL mit der Bezeichnung "OpenID connect metadata document".

Wählen Sie eine Standardrolle für Benutzer, die sich zum ersten Mal bei Azure anmelden, und konfigurieren Sie auf Wunsch eine Willkommensnachricht für neue Benutzer. Zusätzlich ist es möglich Nutzern, die sich erstmalig einloggen, eine Standardgruppe zuzuweisen. In der Willkommensnachricht können Sie URLs und mailto-Links verwenden. Speichern Sie dann die Konfiguration und stellen Sie sicher, dass sie aktiviert ist.

6) Login mit Azure

Wenn Sie sich nun aus aus Operations1 abmelden, sollten Sie eine neue Schaltfläche "Login with Azure / Mit Azure anmelden" sehen. Falls sie noch nicht sichtbar ist, laden Sie die Seite neu. Bei der ersten Anmeldung müssen Sie bestätigen, dass Operations1 auf Ihre Kontoinformationen zugreifen darf. Wenn Sie möchten, können Sie im Namen Ihrer Organisation zustimmen.