Microsoft Azure AD / Entra ID an Q.wiki anbinden (SAML)

Geändert am Do, 2 Apr um 4:15 NACHMITTAGS

Diese Anleitung ist an IT-Fachpersonal gerichtet. Sie unterstützt die selbstständige Anbindung von Q.wiki an Microsoft Entra ID. Bei Unklarheiten können Anleitungen von Microsoft oder der Q.wiki Support dich unterstützen.

Tipp: Wir empfehlen ausdrücklich die Nutzung von SCIM und OIDC für die Nutzerprovisionierung und Single Sign-On. SCIM provisioniert alle gewählten Nutzer „just in time" und ermöglicht so, Nutzern in Q.wiki Inhalte und Berechtigungen zuzuweisen, bevor sie sich das erste Mal an Q.wiki angemeldet haben. Das ist mit SAML und der „just in time" Provisionierung nicht möglich.

Voraussetzung: Du benötigst Key User Rechte, um die folgenden Schritte durchzuführen.

Empfehlung und allgemeine Informationen

Limitierungen

Diese Anleitung behandelt SAML-Authentifizierung. Beachte die Unterschiede zwischen SAML und SCIM/OIDC in der Einleitung oben.

Migration vorhandener Nutzer

Bei Anbindung von Entra ID werden bestehende Q.wiki Nutzer mit einer übereinstimmenden E-Mail-Adresse automatisch migriert. Die migrierten Nutzer werden mit den Daten aus Entra ID aktualisiert und von diesem Zeitpunkt an über dieses System verwaltet.

Migrierte Nutzer melden sich über den Button Unternehmenslogin verwenden an. Die Anmeldung mit Nutzernamen und Passwort ist nicht mehr möglich.

Notfall-Konto einrichten

Sollte es zu einer Fehlfunktion seitens Entra kommen oder der Secret Token auslaufen, ist eine Anmeldung nur noch über manuell in Q.wiki angelegte Nutzer möglich. Aus diesem Grund empfehlen wir, ein manuell verwaltetes Konto der KeyUserGroup hinzuzufügen. Dieses Konto muss über eine valide E-Mail-Adresse verfügen und darf nicht über Azure provisioniert werden – eine unpersönliche E-Mail-Adresse wie „service@" oder „it-support@" bietet sich an.

Sollte der Schlüssel bereits abgelaufen sein, lese bitte den Artikel 401 Unauthorized Fehlermeldung bei Benutzeranmeldung.

Entra ID anbinden – Nutzer und Gruppen (SAML Provisionierung und Authentifizierung)

Provisionierung

Mit eingerichteter SAML-Authentifizierung ist die sogenannte Just-in-Time-Provisionierung aktiv. Nutzerkonten werden automatisch in Q.wiki angelegt, wenn sie sich das erste Mal anmelden. Die Provisionierung kannst du in der Nutzerverwaltung > 3-Punkt Menü > Provisionierung konfigurieren deaktivieren:

Authentifizierung

Lege in Microsoft Entra ID eine neue Enterprise Application an.
Starte Create your own application.
Gib den Namen der App ein und wähle Non-gallery aus.
Klicke auf Create.
Wähle in der angelegten App Einmaliges Anmelden > SAML.
Bearbeite die grundlegende Konfiguration:
Die Q.wiki SAML-Metadaten (XML) sind unter https://tenant.qwikinow.de/saml/sp/metadata verfügbar.

Kopiere die ACS URL aus dem Q.wiki Dialog:

Füge sie als Entitäts-ID und Antwort-URL in Entra ein:
Lade das Zertifikat aus Entra herunter und lade es in Q.wiki hoch.
Wähle unter Benutzer und Gruppen die Nutzer aus, die Zugriff auf Q.wiki erhalten sollen.
Die Namens-ID wird explizit mit dem Attributnamen „email" erwartet – das ist für Entra Standard, kann in anderen IdP aber ein angepasstes Mapping erfordern. Das Namens-ID-Format ist nicht vorgegeben.
Für die korrekte Darstellung des Nutzeranzeigenamens ist das Mapping von „name" auf „displayname" erforderlich: