Microsoft Azure AD / Entra ID an Q.wiki anbinden (SCIM+OIDC)

Geändert am Di, 17 Dez um 4:52 NACHMITTAGS

Diese Anleitung ist an IT-Fachpersonal gerichtet. Sie unterstützt die selbstständige Anbindung von Q.wiki an Microsoft Entra ID. Bei Unklarheiten können Anleitungen von Microsoft oder der Q.wiki Support unterstützen.


Sie benötigen Key User Rechte um die folgenden Schritte durchzuführen.



TABLE OF CONTENTS


Empfehlung und allgemeine Informationen

Limitierungen

  • Mit Mircosoft Entra ID können ausschließlich einzelne Nutzer und Gruppen synchronisiert werden, Nested Groups, also Gruppen in Gruppen, werden nicht unterstützt.
  • Microsoft Entra ID darf nicht zusammen mit anderen Providern (z.B. LDAP) konfiguriert werden. Die manuelle Anlage und Verwaltung von Nutzern ist immer aktiv und erlaubt es, externe Nutzer in Q.wiki zu registrieren.
  • Jeder Nutzer muss eine eindeutige E-Mail-Adresse haben, bevor Microsoft Entra ID angebunden werden kann. Der Konfigurationsdialog in Q.wiki weist darauf hin, sollte diese Voraussetzung nicht erfüllt sein. Über die Nutzerverwaltung in Q.wiki kann der Key User doppelt vergebene Email-Adressen ändern.
  • Aus Sicherheitsgründen haben alle synchronisierten Nutzerdaten eine Längenbeschränkung von 100 Zeichen. Nutzer, die einen Anzeigenamen mit mehr Zeichen haben, können daher nicht synchronisiert werden.


Migration vorhandener Topic/LDAP Nutzer

Bei Anbindung von Entra ID werden bestehende Q.wiki Nutzer Nutzer mit einer übereinstimmenden Email-Adresse migriert. Die migrierten Nutzer werden mit den Daten aus Entra ID aktualisiert und von diesem Zeitpunkt an über dieses verwaltet.


Migrierte Nutzer können sich über den Button Unternehmenslogin verwenden anmelden. Die Anmeldung mit Nutzernamen und Passwort ist nicht mehr möglich.


Einrichten eines "Nofall-Kontos"

Sollte es zu einer Fehlfunktion seitens Entra kommen, oder der Secret Token auslaufen, ist eine Anmeldung nur noch über manuell in Q.wiki angelegte Nutzer möglich. Aus diesem Grund empfiehlt es sich, ein manuell verwaltetes Konto der KeyUser Gruppe hinzuzufügen. Dieses Konto muss über eine valide Email-Adresse verfügen und darf nicht über Azure provisioniert werden, eine unpersönliche Email-Adresse wie "service@", "it-support@" bietet sich an. Sollte der Schlüssel bereits abgelaufen sein, lese bitte den folgenden Artikel: 401 Unauthorized Fehlermeldung bei Benutzeranmeldung


Anbinden des Entra ID - Nutzer und Gruppen (SCIM Provisionierung)

  1. In Microsoft Entra ID eine neue Enterprise Application anlegen. Achtung! Es ist wichtig, mit einer Enterprise Application (Unternehmensanwendung) zu starten!
  2. Create your own application starten.
  3. Namen der App eingeben und Non-gallary auswählen.
  4. Create anklicken.
  5. In der angelegten App Provisioning auswählen.
  6. Get started klicken.
  7. Provisioning Mode auf Automatic setzen.
  8. In Q.wiki über das Werkzeugmenü in die Nutzerverwaltung wechseln und im 3-Punkt-Menü Provisionierung konfigurieren auswählen
  9. Die Tenant URL aus dem Dialog in Entra ID übernehmen und ein Secret generieren
  10. Test Connection klicken und nach erfolgreicher Verbindung speichern.
  11. Unter Mappings die Gruppenprovisionierung aktivieren.
  12. Unter Settings und Notification Email den Verantwortlichen eintragen, der bei Synchronisierungsproblemen benachrichtigt werden soll.
  13. Bei Scope muss die Option Nur zugewiesene Nutzer und Gruppen synchronisieren explizit ausgewählt werden. (wenn der Punkt vorhanden ist)
  14. Provisioning Status auf On setzen.
  15. Save klicken.
  16. Unter Mappings auf Provision Azure Active Directory Users klicken.
  17. Unter Attribute Mappings sind alle Attribute gelistet, die an Q.wiki gesendet werden. Die Standardeinstellung sollte bereits alle für Q.wiki notwendigen Attribute beinhalten. Im Folgenden sind die Attribute aufgelistet, die von Q.wiki verwendet werden. 
  18. Die Attribute name.givenName, name.familyName und phoneNumbers[type eq "work"].value sind optional. Diese werden nur in Q.wiki Enterprise für die Darstellung in dem Mitarbeiterprofile Modul verwendet.
  19. Ab Version 6.3 muss hier zusätzlich das Attribut department hinzugefügt werden, falls es bei der Einrichtung gelöscht wurde.
  20. Nutzer und Gruppen werden unter Users and groups hinzugefügt. Sollen alle Benutzer provisioniert werden, kann die Standardgruppe Alle Benutzer verwendet werden. Achtung: Gruppen sind nur eine Option, wenn Benutzer über einen aktualisierten Azure Active Directory P1- oder P2-Mandanten verfügen. Die standardmäßige AD-Planebene ermöglicht nur die Zuweisung einzelner Benutzer zur Anwendung. 



Nach spätestens 40 Minuten werden die Nutzer in Q.wiki synchronisiert.


Anbinden des Entra ID - Single Sign-On mit OIDC (Authentifizierung)

Bei Einrichtung von SSO mit OIDC werden die provisionierten Nutzer automatisch an Q.wiki angemeldet, wenn bereits eine Authentifizierung an Entra bzw. Microsoft 365 stattgefunden hat. Wenn nicht, wird der Nutzer automatisch an die Microsoft 365 Anmeldung mit der Unternehmensrichtlinie für 2 Faktor Authentifizierung weitergeleitet.


  1. In Q.wiki die Nutzerverwaltung unter den Key User-Werkzeugen aufrufen.
  2. Über das Drei-Punkt-Menü Identity Provider (IdP) anbinden und Entra ID auswählen
  3. In Entra ID eine neue App Registrierung anlegen
  4. All applications auswählen und die zuvor angelegte Applikation für Q.wiki auswählen. 
  5. Die Application (client) ID und Directory (tenant) ID kopieren und im Konfigurationsdialog in Q.wiki eintragen.
  6. Authentication in der linken Menüleiste auswählen
    • Add a platform auswählen.
    • Web application auswählen.
  7. Redirect URI aus Q.wiki Konfigurationsdialog kopieren und hier eintragen.
  8. Configure klicken, Certificates & secrets auswählen.
  9. New client secret klicken, Beschreibung eingeben, Add klicken.
    • Den Wert des generierten Secrets kopieren und in Q.wiki Konfigurationsdialog einfügen.
      Achtung: Bitte darauf achten, den Wert und nicht die geheime ID zu kopieren

  10. Im Q.wiki Konfigurationsdialog auf Speichern klicken.
  11. API permissions auswählen.
    • Add a permission klicken.
    • Microsoft Graph auswählen.
    • Delegated permissions auswählen.
    • Unter OpenId permissions email, openid und profile auswählen.
    • Add a permission klicken.
    • Grant admin consent klicken und mit Yes bestätigen.
  12. Ab jetzt sollten provisionierte Nutzer automatisch an Q.wiki angemeldet werden

War dieser Artikel hilfreich?

Das ist großartig!

Vielen Dank für das Feedback

Leider konnten wir nicht helfen

Vielen Dank für das Feedback

Wie können wir diesen Artikel verbessern?

Wählen Sie wenigstens einen der Gründe aus
CAPTCHA-Verifikation ist erforderlich.

Feedback gesendet

Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren