Achtung: Folgende Informationen und Anleitung dienen dem IT-Fachpersonal. Du unterstützt die selbstständige Anbindung von Q.wiki an ein Microsoft Azure Active Directory. Diese Anleitung entspricht dem Stand vom 07.06.2022 und wird bei Änderungen in Azure AD nicht aktualisiert. Bei Unklarheiten können Anleitungen von Microsoft oder der Q.wiki Support unterstützen.
Limitierungen
- Mit Mircosoft Azure AD können ausschließlich einzelne Nutzer und Gruppen synchronisiert werden, Nested Groups, also Gruppen in Gruppen, werden nicht unterstützt.
- Microsoft Azure AD darf nicht zusammen mit anderen Providern (z.B. LDAP) konfiguriert werden. Die manuelle Anlage und Verwaltung von Nutzern ist immer aktiv und erlaubt es, externe Nutzer in Q.wiki zu registrieren.
- Der Zugriff auf Q.wiki muss verschlüsselt (HTTPS) erfolgen.
- Ist Microsoft Azure AD einmal eingerichtet, gibt es kein Zurück.
- Jeder Nutzer muss eine eindeutige E-Mail-Adresse haben, bevor das Microsoft Azure AD angebunden werden kann. Der Konfigurationsdialog in Q.wiki weist darauf hin, sollte diese Voraussetzung nicht erfüllt sein. Über die Nutzerverwaltung in Q.wiki kann der Key User doppelt vergebene Email-Adressen ändern.
- Aus Sicherheitsgründen haben alle synchronisierten Nutzerdaten eine Längenbeschränkung von 100 Zeichen. Nutzer, die einen Anzeigenamen mit mehr Zeichen haben, können daher nicht synchronisiert werden.
- Für Kunden mit Q.wiki Enterprise und Mitarbeitermodul liefert die Microsoft Azure AD Anbindung lediglich folgende Nutzerdaten:
- givenName
- sn
- Ab Q.wiki 6.3 wird für die neuen Nutzerprofile folgendes Attribute zusätzlich verwendet:
- department
- telephoneNumber
- Wie dieses Feld nachträglich hinzugefügt werden kann, wird im Abschnitt "Provisionierung einrichten" beschrieben
Migration vorhandener Topic/LDAP Nutzer
Bei Anbindung von Azure AD werden die darin provisionierten Nutzer automatisch in die im Q.wiki vorhandenen Nutzer mit einer übereinstimmenden Email-Adresse migriert. Die migrierten Nutzer werden mit den Daten aus Azure AD aktualisiert und von diesem Zeitpunkt an über dieses verwaltet.
Migrierte Nutzer können sich über den Button Unternehmenslogin verwenden anmelden. Die Anmeldung mit Nutzernamen und Passwort ist nicht mehr möglich.
Single Sign On
Bei Anbindung von Entra ID werden die darin provisionierten Nutzer automatisch an Q.wiki angemeldet, wenn bereits eine Authentifizierung an Entra bzw. Microsoft 365 stattgefunden hat. Wenn nicht, wird der Nutzer automatisch an die Microsoft 365 Anmeldung mit der Unternehmensrichtlinie für 2 Faktor Authentifizierung weitergeleitet.
Einrichten eines "Nofall-Kontos"
Sollte es zu einer Fehlfunktion seitens Azure kommen, oder der Azure Token auslaufen, ist eine Anmeldung nur noch über manuell in Q.wiki angelegte Nutzer möglich. Aus diesem Grund empfiehlt es sich, ein manuell verwaltetes Konto der KeyUser Gruppe hinzuzufügen. Dieses Konto muss über eine valide Email-Adresse verfügen und darf nicht über Azure provisioniert werden, eine unpersönliche Email-Adresse wie "service@", "it-support@" bietet sich an. Sollte der Schlüssel bereits abgelaufen sein, lese bitte den folgenden Artikel: 401 Unauthorized Fehlermeldung bei Benutzeranmeldung
Anbinden des Azure AD
Wichtig: Es sind Key-User-Rechte in Q.wiki nötig, um die folgenden Schritte durchzuführen.
- In Q.wiki die Nutzerverwaltung unter den Key User-Werkzeugen aufrufen.
- Über das Drei-Punkt-Menü Identity Provider (IdP) auswählen
- In Microsoft Azure AD eine neue Enterprise Application anlegen.
- Unter All Services, All wählen.
- Enterprise applications anklicken.
- Unter Manage, All Applications auswählen und New applications klicken.
- Create your own application starten.
- Namen der App eingeben und Non-gallary auswählen.
- Create anklicken.
Provisionierung einrichten
- In der angelegten App Provisioning auswählen.
- Get started klicken.
- Provisioning Mode auf Automatic setzen.
- Tenant URL eintragen (aus dem Konfigurationsdialog aus Q.wiki kopieren, siehe 3.).
- Secret Token eintragen (im Konfigurationsdialog in Q.wiki generieren und kopieren)
- Test Connection klicken und auf erfolgreiche Verbindung prüfen.
- Save klicken.
- War Azure AD bisher nicht zur Provisionierung von Gruppen eingerichtet, muss unter Mappings der Schalter Enabled für die Gruppenprovisionierung aktiviert werden.
- Unter Settings und Notification Email den Verantwortlichen eintragen, der bei Synchronisierungsproblemen benachrichtigt werden soll.
- Website aktualisieren.
- Bei Scope muss die Option Nur zugewiesene Nutzer und Gruppen synchronisieren explizit ausgewählt werden. (wenn der Punkt vorhanden ist)
- Provisioning Status auf On setzen.
- Save klicken.
- Unter Mappings auf Provision Azure Active Directory Users klicken.
- Unter Attribute Mappings sind alle Attribute gelistet, die an Q.wiki gesendet werden. Die Standardeinstellung sollte bereits alle für Q.wiki notwendigen Attribute beinhalten. Im Folgenden sind die Attribute aufgelistet, die von Q.wiki verwendet werden.
- Die Attribute name.givenName, name.familyName und phoneNumbers[type eq "work"].value sind optional. Diese werden nur in Q.wiki Enterprise für die Darstellung in dem Mitarbeiterprofile Modul verwendet.
- Ab Version 6.3 muss hier zusätzlich das Attribut department hinzugefügt werden, falls es bei der Einrichtung gelöscht wurde.
- Nutzer und Gruppen werden unter Users and groups hinzugefügt. Sollen alle Benutzer provisioniert werden, kann die Standardgruppe Alle Benutzerverwendet werden. Achtung: Gruppen sind nur eine Option, wenn Benutzer über einen aktualisierten Azure Active Directory P1- oder P2-Mandanten verfügen. Die standardmäßige AD-Planebene ermöglicht nur die Zuweisung einzelner Benutzer zur Anwendung.
Authentifizierung einrichten
- All services und anschließend Azure Active Directory auswählen.
- App registrations auswählen.
- All applications auswählen.
- Die zuvor angelegte Applikation für Q.wiki auswählen.
- Die Application (client) ID kopieren und im Konfigurationsdialog in Q.wiki eintragen.
- Die Directory (tenant) ID kopieren und im Konfigurationsdialog in Q.wiki eintragen.
- Authentication in der linken Menüleiste auswählen.
- Add a platform auswählen.
- Web application auswählen.
- Redirect URI aus Q.wiki Konfigurationsdialog kopieren und hier eintragen.
- Configure klicken.
- Certificates & secrets auswählen.
- New client secret klicken.
- Description eingeben.
- Add klicken.
- Den Wert des generierten Secrets kopieren und in Q.wiki Konfigurationsdialog einfügen.
Achtung: Bitte darauf achten, den Wert und nicht die geheime ID zu kopieren - Im Q.wiki Konfigurationsdialog auf Speichern klicken.
- API permissions auswählen.
- Add a permission klicken.
- Microsoft Graph auswählen.
- Delegated permissions auswählen.
- Unter OpenId permissions email, openid und profile auswählen.
- Add a permission klicken.
- Grant admin consent klicken und mit Yes bestätigen.
Nach spätestens 40 Minuten werden durch Microsoft Azure AD die Nutzer in Q.wiki importiert.
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren