Voraussetzungen
Bitte beachten Sie die
folgende Dokumentation zum Einrichten von Azure AD Um eine Anwendung im Azure-Portal zu registrieren, gehen Sie wie folgt vor: Tutorium
Allgemeine Einstellungen
Einstellungen des Mechanismus
Die folgenden Einstellungen sind für die oAuth-Autorisierung für Azure erforderlich.
| Anzeigename | Der Anzeigename wird auf der Anmeldeschaltfläche angezeigt. |
| Client-ID | Die Client-ID identifiziert die Anwendung und wird durch die Konfiguration auf dem OAuth-Server definiert. |
| Client Secret | Der geheime Clientschlüssel authentifiziert die Anwendung und wird durch die Konfiguration auf dem OAuth-Server definiert. |
| Umfang | Der Bereich bestimmt, welche Rechte mit dem Zugriffstoken erworben werden. Z.B. ‘Profil’, ‘E-Mail’ usw., um Rechte für den Zugriff auf das Benutzerprofil/die Benutzer-E-Mail zu erhalten. Verwenden Sie für vollständigen Azure Access die folgenden Beispielbereiche: https://graph.microsoft.com/email https://graph.microsoft.com/profile https://graph.microsoft.com/Calendars.Read https://graph.microsoft.com/People.Read https://graph.microsoft.com/User.ReadBasic.All https://graph.microsoft.com/Calendars.ReadWrite https://graph.microsoft.com/Contacts.ReadWrite https://graph.microsoft.com/Tasks.ReadWrite https://graph.microsoft.com/Mail.ReadWrite https://graph.microsoft.com/Mail.Send https://graph.microsoft.com/Sites.Read.All https://graph.microsoft.com/Sites.ReadWrite.All offline_access |
| Autorisierungs-Endpunkt | Der Autorisierungsendpunkt ist die URL, an die eine Autorisierungsanforderung gesendet wird. Der Standardwert sollte https://login.microsoftonline.com/ tenantid>/oauth2/v2.0/authorize sein.< |
| Token-Endpunkt | Der Tokenendpunkt ist die URL, an die eine Zugriffstokenanforderung gesendet wird. Standardwert: https://login.microsoftonline.com/< tenantid>/oauth2/v2.0/token |
| Logout-Endpunkt | Logout-Endpunkt ist eine URL, die für externe IDMs bereitgestellt werden kann, die einen Logout-Mechanismus vom Client zum IDM unterstützen |
| Endpunkt umleiten | Der Umleitungsendpunkt ist die URL, zu der der Browser nach erfolgreicher Autorisierung geleitet wird. Diese URL muss in der Konfiguration des OAuth-Servers eingetragen werden. |
| Zusätzliche Abfrageparameter | Sie können zusätzliche Abfrageparameter hinzufügen, z. B. Name und Wert. |
| Icon | Das Icon wird in der Login-Maske über dem Anzeigenamen angezeigt. |
| Profil-URL | Die URL, an die eine Benutzerprofilanforderung gesendet wird. |
| Profilpfad | Der Pfad, der auf das Benutzerprofil verweist. Z.B. ‘/’, ‘profile’, ‘profiles[0]’ usw. Standardwert https://graph.microsoft.com/v1.0/me |
| Profil Verb | GET, POST, PUT |
Mandantenfähige und persönliche Konten
Wenn Sie eine Anmeldung für mehrere Mandanten und persönliche Konten erstellen möchten, müssen Sie common als Mandanten-ID innerhalb des Autorisierungsendpunkts verwenden.
https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Sie müssen dies auch in Ihrer App-Registrierung im Azure-Portal aktivieren. 
Details zum Benutzer
| Vorname | Der Pfad, der auf den Eintrag des Benutzerprofils mit dem Vornamen verweist. Z.B. ‘givenName’, ‘person/firstName’, etc. |
| Nachname | Der Pfad, der auf den Eintrag des Benutzerprofils zeigt, das den Nachnamen enthält. Z.B. ‘Nachname’, ‘Person/Nachname’ usw. |
| E-Mail-Adresse | Der Pfad, der auf den Eintrag des Benutzerprofils verweist, das die E-Mail-Adresse enthält. Z.B. ‘mail’, ’emails[0]/value’ usw. |
| Mobiltelefonnummer | Der Pfad, der auf den Eintrag des Benutzerprofils zeigt, das die Mobiltelefonnummer enthält. Z.B. “Telefon”, “Telefone/Handy” usw. |
Test
Die Einstellungen für OAuth 2.0 können innerhalb der Konfiguration getestet werden.
Da der Testablauf mehrere Schritte umfasst, ist es notwendig, die Einstellungen zunächst zu speichern.
Die Zuweisung eines Zugriffstokens kann durch Drücken der Schaltfläche “Authentifizierung testen” getestet werden, während durch Drücken der Schaltfläche “Profilextraktion testen” die vollständige OAuth 2.0-Prozedur gestartet wird, die ein Zugriffstoken zuweist und auch ein Benutzerprofil mit den erforderlichen Daten sammelt.
Single-Sign-On für Konnektor / Integration einrichten
Wenn Sie sich erfolgreich bei Ihrem externen Identitätsanbieter authentifiziert haben, können Sie Ihre Connector-Endpunkte für die Übergabe des oAuth-Tokens einrichten.
