Microsoft Azure Active Directory Anbindung – Quiply Hilfe-Center

Inhaltsverzeichnis

Mapping von AD Azure Daten in Quiply Nutzerdaten

Einführung

Für die Anmeldung und Berechtigung eines Nutzers stehen aktuell zwei Varianten zur Verfügung. Zum einen die Anmeldungen über das Quiply System und zum anderen die Anmeldung über Azure AD (Active Directory auf der Microsoft Azure Plattform). Wenn nicht alle Nutzer in Azure AD gepflegt werden, lässt sich Azure AD mit der Quiply-Anmeldung kombinieren, d.h. die Nutzer, die nicht in Azure AD vorhanden sind, nutzen die Quiply-Anmeldung.

Wenn Sie Active Directory für Ihr Unternehmen aktivieren und einrichten möchten, kontaktieren Sie bitte Ihren Quiply-Ansprechpartner.

⚠️ Hinweis: Azure AD ist eine Cloud-Lösung und unterscheidet sich von einem lokalen Active Directory (On-Premise). Der folgende Artikel kann als Einstieg dienen, um ein lokales Active Directory an Azure AD anzubinden: https://docs.microsoft.com/de-de/azure/architecture/reference-architectures/identity/azure-ad.

Einrichtung Azure AD

Vorraussetzung: Für die Anbindung von Azure AD an das Quiply System muss der Kunde Zugang zu einem Microsoft Azure AD haben. Falls ein entsprechendes Konto nicht besteht, muss dieses bei Microsoft beantragt werden: https://azure.microsoft.com/de-de/account/

App-Registrierung in Azure AD

Mit Hilfe der App-Registrierung erlaubt man dem Quiply-System bestimmte Aktionen auszuführen, um Daten zwischen Azure AD und Quiply auszutauschen und zu überprüfen. Es wird die OAuth 2.0 Variante „Impliziter OAuth 2.0-Gewährungsablauf“ verwendet.

Die nachstehende Anleitung zeigt die Schritte zur App-Registrierung in vereinfachter Form. Weitere Details und Hilfe finden sich auf den jeweiligen Seiten im Azure Portal.

Melden Sie sich im Azure Portal an.
Wechseln Sie in die Azure Active Directory Ansicht
Klicken Sie auf App-Registrierungen und dann auf Neue Registrierung
Tragen Sie einen Namen ein, wählen Sie die Option wie unten angezeigt und klicken Sie dann auf Registrieren
Notieren Sie sich die Anwendungs-ID und die Verzeichnis-ID. Diese müssen Sie später in der Administrationsoberfläche in Quiply für die Einrichtung der AD Azure Anbindung eintragen.
Klicken Sie auf Umleitungs-URI hinzufügen
Tragen Sie folgende URIs vom Typ Web ein.
- Für Android/iOS: http://localhost/callback (in App-Browser der App auf dem Endgerät)
- Für die Web-App
  - Professional Kunden: https://<ihr_unternehmen>.quiply.io (nutzen Sie hierfür die URL Ihrer Webapp)
  - Essential Kunden: https://app.quiply.io
Aktivieren Sie in der gleichen Maske bei Implizite Gewährung die beiden Boxen Zugriffstoken und ID-Token und klicken Sie dann auf Speichern
Klicken Sie im linken Seitenmenü auf API-Berechtigungen und dann auf Berechtigung hinzufügen.
Klicken Sie auf Microsoft Graph
Klicken Sie auf Delegierte Berechtigungen, aktivieren Sie die Berechtigungen openId und User.Read wie in den Screenshots angezeigt und klicken Sie anschließend auf Berechtigungen hinzufügen

...
Klicken Sie nochmals auf Berechtigung hinzufügen, dann dieses mal auf Anwendungsberechtigungen, wählen Sie dort User.Read.All aus und klicken Sie anschließend auf Berechtigungen hinzufügen

...
Prüfen Sie sicherheitshalber nochmals, ob die Berechtigungen so wie hier abgebildet aussehen
Klicken Sie auf Zertifikate & Geheimnisse und dann auf Neuer geheimer Clientschlüssel
Geben Sie eine Beschreibung für den Clientschlüssel ein und klicken Sie auf Hinzufügen
Kopieren Sie den Clientschlüssel, diesen müssen Sie später im Quiply-System eintragen.

Damit ist die Einrichtung des AD Azure abgeschlossen. Als nächstes muss das Quiply System konfiguriert werden.

Anbindung Azure AD in Quiply

Öffnen Sie in der Quiply-App die App-Administration.
Wählen Sie im linken Seitenmenü Active Directory aus
Tragen Sie die Werte in der Maske ein
- National Cloud: Bitte wählen Sie hier die entsprechende Microsoft Cloud aus, in der sich Ihr AD befindet. In Abhängigkeit der Cloud ändern sich die verwendeten URLs, die von Microsoft bereitgestellt werden.
  Hinweis: Hier sollten Sie im Normalfall "Azure AD (global service)" auswählen. "Microsoft Cloud Germany" war eine Sonderlösung für den deutschen Markt, die inzwischen eingestellt wurde (s. https://docs.microsoft.com/en-us/azure/germany/germany-welcome).
- Verzeichnis-ID (Mandant/Tenant): Tragen Sie hier die Verzeichnis-ID (Mandant / Tenant) aus AD ein, die Sie zuvor notiert haben (falls nicht finden Sie diese unter App-Registrierungen im Azure Portal).
- Anwendungs-ID (Client): Tragen Sie hier die Anwendungs-ID (Client) des Client aus AD ein, die Sie zuvor notiert haben (falls nicht finden Sie diese unter App-Registrierungen im Azure Portal).
- Client Secret: Tragen Sie hier den Clientschlüssel für den Client aus AD ein, den Sie zuvor notiert haben oder erstellen Sie in AD einen neuen.
- Rollen-Mapping: Hier können Sie die AD-Gruppen komma-separiert hinterlegen und festlegen, welche dieser Gruppen den Quiply Rollen App-Administrator bzw. App-Superior entsprechen. Im Screenshot als Beispiel die AD-Gruppen „Development-Admin“ und „Development-Superior“. Sie können jede AD-Gruppe verwenden, der in AD existiert. Alle Nutzer innerhalb dieser AD-Gruppe erhalten in Quiply die entsprechende App-Adminstrator-Rolle oder App-Superior-Rolle. Wenn ein Nutzer die AD-Gruppe verlässt, wird ihm auch automatisch in Quiply die App-Administrator-Rolle oder App-Superior-Rolle entzogen.
- Bei bestimmten Konfiguration kann es vorkommen, dass vom Azure AD keine Gruppennamen übermittelt werden. Für diese Fälle können Sie statt einem Gruppennamen wie „Development-Admin“ auch die Object Id einer Gruppe angeben, beispielsweise „eb333286-013a-4352-ad83-902bb4aba011“. (Aus Sicherheitsgründen werden Gruppennamen, die dem Schema einer Object Id entsprechen, ignoriert.)
- Falls Sie die Verwaltung der Rollen App-Administrator und App-Superior über AD unterbinden wollen, können Sie Rollen-Mappings leer lassen. So können Sie beispielsweise auch Nutzern, die ansonsten über AD verwaltet werden, manuell die Rollen App-Administrator oder App-Superior zuteilen. Beachten Sie daher, dass zum Entziehen der Rollen App-Administrator oder App-Superior, die über AD vergeben wurden, Rollen-Mappings eingetragen sein müssen. Hierbei ist es möglich, z. B. nicht vorhandene Gruppennamen oder sogar freie Bezeichner wie „deaktiviert“ oder „wird-nicht-mehr-verwendet“ zu verwenden.

Mapping von AD Azure Daten in Quiply Nutzerdaten

Folgende Nutzerdaten aus dem Azure AD werden nach einer festen Zuordnung in Quiply Nutzerdaten transformiert und können nicht angepasst werden:

AD Nutzer Property	Quiply Nutzerdaten	Bemerkung
userPrincipalName	username	Die E-Mail des Nutzers im AD. Wird zum Login benötigt.
givenName	firstname	Der Vorname des Nutzers.
surname	lastname	Der Nachname des Nutzers.
displayName	alias	Der Anzeigename des Nutzers.

Die Zuordnung der AD Werte bezieht sich dabei auf die REST-Schnittstelle V 1.0 der offiziellen Microsoft Graph API.

Andere Nutzerdaten aus dem Azure AD können dynamisch in die entsprechenden Quiply Nutzer-Profilfelder übersetzt werden. Somit ist es möglich Werte in den Multi-Select-Attributfeldern mit bestehenden AD-Gruppen, die einem Nutzer zugeordnet sind, zu synchronisieren. Diese Option ermöglicht es, dass existierende Berechtigungen aus dem AD in das Quiply System übernommen werden und damit für die Steuerung von Abläufen in der Quiply App herangezogen werden können.

Wählen Sie hierzu ein Nutzer-Profilfeld aus vom Typ Multi-Select und setzen Sie an dem jeweiligen Auswahlwert die entsprechende AD-Gruppe, die dem Wert in Quiply entspricht. Das folgende Beispiel illustriert dies an Hand eines kundenspezifischen Profilfeld Rolle.

Das Profilfeld Rolle hat verschiedene Auswahlwerte. Hier im Beispiel ist dem Auswahlwert „Spezial – (Test und Doku)“ eine AD-Gruppe "Development_Spezial" zugeordnet, so dass jeder Nutzer, der sich in dieser AD-Gruppe befindet, in Quiply den Auswahlwert „Spezial – (Test und Doku)“ erhält.

Alle Profilfelder, die nicht vom Typ Multi-Select sind, z.B. Text, Telefon etc., können mit einem Mapping auf ein AD-Property hinterlegt werden. Hier erfolgt die Zuordnung an Hand der Properties, wie diese in der REST-Schnittstelle von Microsoft angegeben sind. Das folgende Beispiel zeigt dies für das AD-Property „mobilePhone“, welches in ein Quiply-Profilfeld „Telefon Geschäft“ übersetzt wird. Damit das Mapping aktiviert ist, muss man in dem Feld „Profile Mapping“ das AD-Property eintragen.

⚠️ Hinweis: Manche Propertys erfordern bestimmte Microsoft-Lizenzen, wie etwa SharePoint Online. Leider macht Microsoft keine genauen Angaben welche Propertys welche Lizenzen benötigen. Eine Anfrage mit einer Property zu der keine Lizenz vorhanden ist, schlägt fehl. In diesen Fällen wird auf eine Anfrage mit den sogenannten Common Properties (allgemeine Eigenschaften) zurück gefallen.

Common Properties sind (Stand 09.03.2022):