Diese Anleitung ist an IT-Fachpersonal gerichtet. Sie unterstützt die selbstständige Anbindung von Q.wiki an Microsoft Entra ID. Bei Unklarheiten können Anleitungen von Microsoft oder der Q.wiki Support unterstützen.
Sie benötigen Key User Rechte um die folgenden Schritte durchzuführen.
TABLE OF CONTENTS
- Empfehlung und allgemeine Informationen
- Anbinden des Entra ID - Nutzer und Gruppen (SCIM Provisionierung)
- Anbinden des Entra ID - Single Sign-On mit OIDC (Authentifizierung)
Empfehlung und allgemeine Informationen
Limitierungen
- Mit Mircosoft Entra ID können ausschließlich einzelne Nutzer und Gruppen synchronisiert werden, Nested Groups, also Gruppen in Gruppen, werden nicht unterstützt.
- Microsoft Entra ID darf nicht zusammen mit anderen Providern (z.B. LDAP) konfiguriert werden. Die manuelle Anlage und Verwaltung von Nutzern ist immer aktiv und erlaubt es, externe Nutzer in Q.wiki zu registrieren.
- Jeder Nutzer muss eine eindeutige E-Mail-Adresse haben, bevor Microsoft Entra ID angebunden werden kann. Der Konfigurationsdialog in Q.wiki weist darauf hin, sollte diese Voraussetzung nicht erfüllt sein. Über die Nutzerverwaltung in Q.wiki kann der Key User doppelt vergebene Email-Adressen ändern.
- Aus Sicherheitsgründen haben alle synchronisierten Nutzerdaten eine Längenbeschränkung von 100 Zeichen. Nutzer, die einen Anzeigenamen mit mehr Zeichen haben, können daher nicht synchronisiert werden.
Migration vorhandener Topic/LDAP Nutzer
Bei Anbindung von Entra ID werden bestehende Q.wiki Nutzer Nutzer mit einer übereinstimmenden Email-Adresse migriert. Die migrierten Nutzer werden mit den Daten aus Entra ID aktualisiert und von diesem Zeitpunkt an über dieses verwaltet.
Migrierte Nutzer können sich über den Button Unternehmenslogin verwenden anmelden. Die Anmeldung mit Nutzernamen und Passwort ist nicht mehr möglich.
Einrichten eines "Nofall-Kontos"
Sollte es zu einer Fehlfunktion seitens Entra kommen, oder der Secret Token auslaufen, ist eine Anmeldung nur noch über manuell in Q.wiki angelegte Nutzer möglich. Aus diesem Grund empfiehlt es sich, ein manuell verwaltetes Konto der KeyUser Gruppe hinzuzufügen. Dieses Konto muss über eine valide Email-Adresse verfügen und darf nicht über Azure provisioniert werden, eine unpersönliche Email-Adresse wie "service@", "it-support@" bietet sich an. Sollte der Schlüssel bereits abgelaufen sein, lese bitte den folgenden Artikel: 401 Unauthorized Fehlermeldung bei Benutzeranmeldung
Anbinden des Entra ID - Nutzer und Gruppen (SCIM Provisionierung)
- In Microsoft Entra ID eine neue Enterprise Application anlegen.
- Create your own application starten.
- Namen der App eingeben und Non-gallary auswählen.
- Create anklicken.
- In der angelegten App Provisioning auswählen.
- Get started klicken.
- Provisioning Mode auf Automatic setzen.
- In Q.wiki über das Werkzeugmenü in die Nutzerverwaltung wechseln und im 3-Punkt-Menü Provisionierung konfigurieren auswählen
- Die Tenant URL aus dem Dialog in Entra ID übernehmen und ein Secret generieren
- Test Connection klicken und nach erfolgreicher Verbindung speichern.
- Unter Mappings die Gruppenprovisionierung aktivieren.
- Unter Settings und Notification Email den Verantwortlichen eintragen, der bei Synchronisierungsproblemen benachrichtigt werden soll.
- Bei Scope muss die Option Nur zugewiesene Nutzer und Gruppen synchronisieren explizit ausgewählt werden. (wenn der Punkt vorhanden ist)
- Provisioning Status auf On setzen.
- Save klicken.
- Unter Mappings auf Provision Azure Active Directory Users klicken.
- Unter Attribute Mappings sind alle Attribute gelistet, die an Q.wiki gesendet werden. Die Standardeinstellung sollte bereits alle für Q.wiki notwendigen Attribute beinhalten. Im Folgenden sind die Attribute aufgelistet, die von Q.wiki verwendet werden.
- Die Attribute name.givenName, name.familyName und phoneNumbers[type eq "work"].value sind optional. Diese werden nur in Q.wiki Enterprise für die Darstellung in dem Mitarbeiterprofile Modul verwendet.
- Ab Version 6.3 muss hier zusätzlich das Attribut department hinzugefügt werden, falls es bei der Einrichtung gelöscht wurde.
- Nutzer und Gruppen werden unter Users and groups hinzugefügt. Sollen alle Benutzer provisioniert werden, kann die Standardgruppe Alle Benutzer verwendet werden. Achtung: Gruppen sind nur eine Option, wenn Benutzer über einen aktualisierten Azure Active Directory P1- oder P2-Mandanten verfügen. Die standardmäßige AD-Planebene ermöglicht nur die Zuweisung einzelner Benutzer zur Anwendung.
Nach spätestens 40 Minuten werden die Nutzer in Q.wiki synchronisiert.
Anbinden des Entra ID - Single Sign-On mit OIDC (Authentifizierung)
Bei Einrichtung von SSO mit OIDC werden die provisionierten Nutzer automatisch an Q.wiki angemeldet, wenn bereits eine Authentifizierung an Entra bzw. Microsoft 365 stattgefunden hat. Wenn nicht, wird der Nutzer automatisch an die Microsoft 365 Anmeldung mit der Unternehmensrichtlinie für 2 Faktor Authentifizierung weitergeleitet.
- In Q.wiki die Nutzerverwaltung unter den Key User-Werkzeugen aufrufen.
- Über das Drei-Punkt-Menü Identity Provider (IdP) anbinden und Entra ID auswählen
- In Entra ID eine neue App Registrierung anlegen
- All applications auswählen und die zuvor angelegte Applikation für Q.wiki auswählen.
- Die Application (client) ID und Directory (tenant) ID kopieren und im Konfigurationsdialog in Q.wiki eintragen.
- Authentication in der linken Menüleiste auswählen
- Add a platform auswählen.
- Web application auswählen.
- Add a platform auswählen.
- Redirect URI aus Q.wiki Konfigurationsdialog kopieren und hier eintragen.
- Configure klicken, Certificates & secrets auswählen.
- New client secret klicken, Beschreibung eingeben, Add klicken.
- Den Wert des generierten Secrets kopieren und in Q.wiki Konfigurationsdialog einfügen.
Achtung: Bitte darauf achten, den Wert und nicht die geheime ID zu kopieren
- Den Wert des generierten Secrets kopieren und in Q.wiki Konfigurationsdialog einfügen.
- Im Q.wiki Konfigurationsdialog auf Speichern klicken.
- API permissions auswählen.
- Ab jetzt sollten provisionierte Nutzer automatisch an Q.wiki angemeldet werden
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren