Microsoft Azure AD / Entra ID an Q.wiki anbinden

Geändert am Thu, 21 Mar 2024 um 02:11 PM

Achtung: Folgende Informationen und Anleitung dienen dem IT-Fachpersonal. Sie unterstützen die selbstständige Anbindung von Q.wiki an ein Microsoft Azure Active Directory. Diese Anleitung entspricht dem Stand vom 07.06.2022 und wird bei Änderungen in Azure AD nicht aktualisiert. Bei Unklarheiten können Anleitungen von Microsoft oder der Q.wiki Support unterstützen.


Limitierungen

  • Mit Mircosoft Azure AD können ausschließlich einzelne Nutzer und Gruppen synchronisiert werden, Nested Groups, also Gruppen in Gruppen, werden nicht unterstützt.
  • Microsoft Azure AD darf nicht zusammen mit anderen Providern (z.B. LDAP) konfiguriert werden. Die manuelle Anlage und Verwaltung von Nutzern ist immer aktiv und erlaubt es, externe Nutzer in Q.wiki zu registrieren.
  • Der Zugriff auf Q.wiki muss verschlüsselt (HTTPS) erfolgen.
  • Ist Microsoft Azure AD einmal eingerichtet, gibt es kein Zurück.
  • Jeder Nutzer muss eine eindeutige E-Mail-Adresse haben, bevor das Microsoft Azure AD angebunden werden kann. Der Konfigurationsdialog in Q.wiki weist darauf hin, sollte diese Voraussetzung nicht erfüllt sein. Über die Nutzerverwaltung in Q.wiki kann der Key User doppelt vergebene Email-Adressen ändern.
  • Aus Sicherheitsgründen haben alle synchronisierten Nutzerdaten eine Längenbeschränkung von 100 Zeichen. Nutzer, die einen Anzeigenamen mit mehr Zeichen haben, können daher nicht synchronisiert werden.
  • Für Kunden mit Q.wiki Enterprise und Mitarbeiterapplikation liefert die Microsoft Azure AD Anbindung lediglich folgende Nutzerdaten:
    • email
    • givenName
    • sn
  • Ab Q.wiki 6.3 wird für die neuen Nutzerprofile folgendes Attribute zusätzlich verwendet:
    • department
    • telephoneNumber
  • Wie dieses Feld nachträglich hinzugefügt werden kann, wird im Abschnitt "Provisionierung einrichten" beschrieben

Migration vorhandener Topic/LDAP Nutzer

Bei Anbindung von Azure AD werden die darin provisionierten Nutzer automatisch in die im Q.wiki vorhandenen Nutzer mit einer übereinstimmenden Email-Adresse migriert. Die migrierten Nutzer werden mit den Daten aus Azure AD aktualisiert und von diesem Zeitpunkt an über dieses verwaltet.


Migrierte Nutzer können sich über den Button Unternehmenslogin verwenden anmelden. Die Anmeldung mit Nutzernamen und Passwort ist nicht mehr möglich.


Single Sign On

Bei Anbindung von Entra ID werden die darin provisionierten Nutzer automatisch an Q.wiki angemeldet, wenn bereits eine Authentifizierung an Entra bzw. Microsoft 365 stattgefunden hat. Wenn nicht, wird der Nutzer automatisch an die Microsoft 365 Anmeldung mit der Unternehmensrichtlinie für 2 Faktor Authentifizierung weitergeleitet.


Einrichten eines "Nofall-Kontos"

Sollte es zu einer Fehlfunktion seitens Azure kommen, oder der Azure Token auslaufen, ist eine Anmeldung nur noch über manuell in Q.wiki angelegte Nutzer möglich. Aus diesem Grund empfiehlt es sich, ein manuell verwaltetes Konto der KeyUser Gruppe hinzuzufügen. Dieses Konto muss über eine valide Email-Adresse verfügen und darf nicht über Azure provisioniert werden, eine unpersönliche Email-Adresse wie "service@", "it-support@" bietet sich an. Sollte der Schlüssel bereits abgelaufen sein, lesen Sie bitte den folgenden Artikel: 401 Unauthorized Fehlermeldung bei Benutzeranmeldung


Anbinden des Azure AD

Wichtig: Es sind Key-User-Rechte in Q.wiki nötig, um die folgenden Schritte durchzuführen.

  1. In Q.wiki die Nutzerverwaltung unter den Key User-Werkzeugen aufrufen.
  2. Über das Drei-Punkt-Menü Identity Provider (IdP) auswählen


  1. In Microsoft Azure AD eine neue Enterprise Application anlegen.
  2. Unter All Services, All wählen.
  3. Enterprise applications anklicken.
  4. Unter Manage, All Applications auswählen und New applications klicken.
  5. Create your own application starten.
  6. Namen der App eingeben und Non-gallary auswählen.
  7. Create anklicken.


Provisionierung einrichten

  1. In der angelegten App Provisioning auswählen.
  2. Get started klicken.
  3. Provisioning Mode auf Automatic setzen.
  4. Tenant URL eintragen (aus dem Konfigurationsdialog aus Q.wiki kopieren, siehe 3.).
  5. Secret Token eintragen (im Konfigurationsdialog in Q.wiki generieren und kopieren)

  6. Test Connection klicken und auf erfolgreiche Verbindung prüfen.
  7. Save klicken.
  8. War Azure AD bisher nicht zur Provisionierung von Gruppen eingerichtet, muss unter Mappings der Schalter Enabled für die Gruppenprovisionierung aktiviert werden.
  9. Unter Settings und Notification Email den Verantwortlichen eintragen, der bei Synchronisierungsproblemen benachrichtigt werden soll.
  10. Website aktualisieren.
  11. Bei Scope muss die Option Nur zugewiesene Nutzer und Gruppen synchronisieren explizit ausgewählt werden. (wenn der Punkt vorhanden ist)
  12. Provisioning Status auf On setzen.
  13. Save klicken.
  14. Unter Mappings auf Provision Azure Active Directory Users klicken.
  15. Unter Attribute Mappings sind alle Attribute gelistet, die an Q.wiki gesendet werden. Die Standardeinstellung sollte bereits alle für Q.wiki notwendigen Attribute beinhalten. Im Folgenden sind die Attribute aufgelistet, die von Q.wiki verwendet werden. 
  16. Die Attribute name.givenName, name.familyName und phoneNumbers[type eq "work"].value sind optional. Diese werden nur in Q.wiki Enterprise für die Darstellung in der Mitarbeiterprofile Applikation verwendet.
  17. Ab Version 6.3 muss hier zusätzlich das Attribut department hinzugefügt werden, falls es bei der Einrichtung gelöscht wurde.
  18. Nutzer und Gruppen werden unter Users and groups hinzugefügt. Sollen alle Benutzer provisioniert werden, kann die Standardgruppe Alle Benutzer verwendet werden.


Authentifizierung einrichten

  1. All services und anschließend Azure Active Directory auswählen.
  2. App registrations auswählen.
  3. All applications auswählen.
  4. Die zuvor angelegte Applikation für Q.wiki auswählen.
  5. Die Application (client) ID kopieren und im Konfigurationsdialog in Q.wiki eintragen.
  6. Die Directory (tenant) ID kopieren und im Konfigurationsdialog in Q.wiki eintragen.

  7. Authentication in der linken Menüleiste auswählen.
  8. Add a platform auswählen.
  9. Web application auswählen.
  10. Redirect URI aus Q.wiki Konfigurationsdialog kopieren und hier eintragen.


  11. Configure klicken.
  12. Certificates & secrets auswählen.
  13. New client secret klicken.
  14. Description eingeben.
  15. Add klicken.
  16. Den Wert des generierten Secrets kopieren und in Q.wiki Konfigurationsdialog einfügen.
    Achtung: Bitte darauf achten, den Wert und nicht die geheime ID zu kopieren

  17. Im Q.wiki Konfigurationsdialog auf Speichern klicken.
  18. API permissions auswählen.
  19. Add a permission klicken.
  20. Microsoft Graph auswählen.
  21. Delegated permissions auswählen.
  22. Unter OpenId permissions email, openid und profile auswählen.
  23. Add a permission klicken.
  24. Grant admin consent klicken und mit Yes bestätigen.


Nach spätestens 40 Minuten werden durch Microsoft Azure AD die Nutzer in Q.wiki importiert.

War dieser Artikel hilfreich?

Das ist großartig!

Vielen Dank für das Feedback

Leider konnten wir nicht helfen

Vielen Dank für das Feedback

Wie können wir diesen Artikel verbessern?

Wählen Sie wenigstens einen der Gründe aus

Feedback gesendet

Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren