Achtung: Folgende Informationen und Anleitung dienen dem IT-Fachpersonal. Sie unterstützen die selbstständige Anbindung von Q.wiki an ein Microsoft Azure Active Directory. Diese Anleitung entspricht dem Stand vom 07.06.2022 und wird bei Änderungen in Azure AD nicht aktualisiert. Bei Unklarheiten können Anleitungen von Microsoft oder der Support der Modell Aachen zur Rate gezogen werden.


Limitierungen

  • Mit Mircosoft Azure AD können ausschließlich einzelne Nutzer und Gruppen synchronisiert werden.
  • Nested Groups, also Gruppen in Gruppen, werden nicht unterstützt.
  • Microsoft Azure AD darf nicht zusammen mit anderen Providern (z.B. LDAP) konfiguriert werden. Lediglich der Topic Provider ist immer aktiv und erlaubt es externe Nutzer in Q.wiki zu registrieren.
  • Der Zugang zu Q.wiki muss verschlüsselt (HTTPS) erfolgen.
  • Ist Microsoft Azure AD einmal eingerichtet, gibt es kein Zurück.
  • Jeder Nutzer muss eine eindeutige E-Mail-Adresse haben, bevor das Microsoft Azure AD angebunden werden kann. Der Konfigurationsdialog in Q.wiki weist darauf hin, sollte diese Voraussetzung nicht erfüllt sein. Über die Nutzerverwaltung in Q.wiki kann der Key User doppelt vergebene Email-Adressen ändern.
  • Aus Sicherheitsgründen haben alle synchronisierten Nutzerdaten eine Längenbeschränkung von 100 Zeichen. Nutzer, die einen Anzeigenamen mit mehr Zeichen haben, können daher nicht synchronisiert werden.
  • Für Kunden mit Q.wiki Enterprise und Mitarbeiterapplikation liefert die Microsoft Azure AD Anbindung lediglich folgende Nutzerdaten:
    • email
    • givenName
    • sn
    • telephoneNumber


Migration vorhandener Topic/LDAP Nutzer

Bei Anbindung von Azure AD werden die darin provisionierten Nutzer automatisch in die im Q.wiki vorhandenen Nutzer mit einer übereinstimmenden Email-Adresse migriert. Die migrierten Nutzer werden mit den Daten aus Azure AD aktualisiert und von diesem Zeitpunkt an über dieses verwaltet.


Migrierte Nutzer können sich über den Button Unternehmenslogin verwenden anmelden. Die Anmeldung mit Nutzernamen und Passwort ist nicht mehr möglich.


Anbinden des Azure AD

Wichtig: Es sind Key-User-Rechte in Q.wiki nötig, um die folgenden Schritte durchzuführen.

  1. In Q.wiki die Nutzerverwaltung unter den Key User-Werkzeugen aufrufen.
  2. Über das Drei-Punkt-Menü Azure Active Directory anbinden auswählen.
  3. Der Konfigurationsdialog öffnet sich (wird im späteren Verlauf benötigt).
  4. In Microsoft Azure AD eine neue Enterprise Application anlegen.
  5. Unter All Services, All wählen.
  6. Enterprise applications anklicken.
  7. Unter Manage, All Applications auswählen und New applications klicken.
  8. Create your own application starten.
  9. Namen der App eingeben und Non-gallary auswählen.
  10. Create anklicken.


Provisionierung einrichten

  1. In der angelegten App Provisioning auswählen.
  2. Get started klicken.
  3. Provisioning Mode auf Automatic setzen.
  4. Tenant URL eintragen (aus dem Konfigurationsdialog aus Q.wiki kopieren, siehe 3.).
  5. Secret Token eintragen (im Konfigurationsdialog in Q.wiki generieren und kopieren, siehe 3.).
  6. Test Connection klicken und auf erfolgreiche Verbindung prüfen.
  7. Save klicken.
  8. War Azure AD bisher nicht zur Provisionierung von Gruppen eingerichtet, muss unter Mappings der Schalter Enabled für die Gruppenprovisionierung aktiviert werden.
  9. Unter Settings und Notification Email den Verantwortlichen eintragen, der bei Synchronisierungsproblemen benachrichtigt werden soll.
  10. Website aktualisieren.
  11. Bei Scope muss die Option Nur zugewiesene Nutzer und Gruppen synchronisieren explizit ausgewählt werden. (wenn der Punkt vorhanden ist)
  12. Provisioning Status auf On setzen.
  13. Save klicken.
  14. Unter Mappings auf Provision Azure Active Directory Users klicken.
  15. Unter Attribute Mappings sind alle Attribute gelistet, die an Q.wiki gesendet werden. Die Standardeinstellung sollte bereits alle für Q.wiki notwendigen Attribute beinhalten. Im Folgenden sind die Attribute aufgelistet, die von Q.wiki verwendet werden. Alle anderen Attribute können bedenkenlos gelöscht werden.
  16. Die Attribute name.givenName, name.familyName und phoneNumbers[type eq "work"].value sind optional. Diese werden nur in Q.wiki Enterprise für die Darstellung in der Mitarbeiterprofile Applikation verwendet.
  17. Nutzer und Gruppen werden unter Users and groups hinzugefügt. Sollen alle Benutzer provisioniert werden, kann die Standardgruppe Alle Benutzer verwendet werden.


Authentifizierung einrichten

  1. All services und anschließend Azure Active Directory auswählen.
  2. App registrations auswählen.
  3. All applications auswählen.
  4. Die zuvor angelegte Applikation für Q.wiki auswählen.
  5. Die Application (client) ID kopieren und im Konfigurationsdialog in Q.wiki eintragen.
  6. Die Directory (tenant) ID kopieren und im Konfigurationsdialog in Q.wiki eintragen.
  7. Authentication auswählen.
  8. Add a platform auswählen.
  9. Web application auswählen.
  10. Redirect URI aus Q.wiki Konfigurationsdialog kopieren und hier eintragen.
  11. Configure klicken.
  12. Certificates & secrets auswählen.
  13. New client secret klicken.
  14. Description eingeben.
  15. Add klicken.
  16. Den Value des generierten Secrets kopieren und in Q.wiki Konfigurationsdialog einfügen.
  17. Im Q.wiki Konfigurationsdialog auf Speichern klicken.
  18. API permissions auswählen.
  19. Add a permission klicken.
  20. Microsoft Graph auswählen.
  21. Delegated permissions auswählen.
  22. Unter OpenId permissions email, openid und profile auswählen.
  23. Add a permission klicken.
  24. Grant admin consent klicken und mit Yes bestätigen.


Nach spätestens 40 Minuten werden durch Microsoft Azure AD die Nutzer in Q.wiki importiert.