Microsoft Azure Active Directory einrichten

Damit IBI-aws mit einem Microsoft Azure Active Directory kommunizieren kann, sind folgende Schritte nötig.

Vor dem Einrichten eines Microsoft Azure Active Directory Zugriffs, empfehlen wir, die zertifikatsbasierte Verschlüsselung der Hinweis-Datei zu aktivieren.

So kann sichergestellt werden, dass nur authorisierten Clients der Zugriff ermöglicht wird.

IBI-aws Admin (Teil 1)

Zertifikat für die Client-Authentifizierung generieren

1. IBI-aws Admin starten
2. Zu Einstellungen > Verzeichnisdienste navigieren
3. Hinzufügen > Microsoft Azure Active Directory... anklicken
4. Einen passenden Namen wählen
5. Mandanten-ID und Anwendungs-ID können zunächst mit einem Platzhalter, wie z.B. "tbd" belegt werden
6. Unter Zertifikate auf Generieren klicken
7. Danach auf Aktivieren
8. Exportieren (Nur Public Key)... anklicken und den Public Key des Zertifikats an eine beliebige Stelle speichern
9. Speichern anklicken
10. Speichern anklicken

Azure Portal

Anwendung registrieren

1. Azure Portal öffnen
2. Zu Azure Active Directory > App-Registrierungen navigieren
3. Neue Registrierung anklicken
4. Einen passenden Namen wählen. Bspw. IBI-aws
5. Einen passenden Kontotyp wählen (im Zweifel Nur Konten in diesem Organisationsverzeichnis auswählen)
6. Registrieren anklicken

Zertifikat einbinden

1. Azure Portal öffnen
2. Zu Azure Active Directory > App-Registrierungen navigieren
3. Die zuvor erstellte Anwendung auswählen
4. Zertifikate & Geheimnisse anklcken
5. Den Reiter Zertifikate anklicken
6. Zuvor generiertes und abgespeichertes Zertifikat (Public Key) mittels Zertifikat hochladen hinterlegen

API-Berechtigungen vergeben

Damit IBI-aws die benötigten Informationen abfragen kann, müssen folgende API-Berechtigungen vergeben werden:

• Device.Read.All
• User.Read.All
• GroupMember.Read.All

Die genannten Berechtigungen werden wie folgt vergeben.

1. Azure Portal öffnen
2. Zu Azure Active Directory > App-Registrierungen navigieren
3. Die zuvor erstellte Anwendung auswählen
4. API-Berechtigungen anklicken
5. Berechtigung hinzufügen anklicken
6. Reiter Microsoft APIs anklicken
7. Microsoft Graph auswählen
8. Anwendungsberechtigungen auswählen
9. Mittels der Suchfunktion, die oben genannten Berechtigungen auswählen
10. Den Vorgang mittels Berechtigungen hinzufügen bestätigen
11. Über das Menü (...) der jeweiligen Berechtigung muss die Administratoreinwilligung eingeholt werden

Mandanten-ID und Anwendungs-ID ermitteln

1. Azure Portal öffnen
2. Zu Azure Active Directory > App-Registrierungen navigieren
3. Die zuvor erstellte Anwendung auswählen
4. Anwendungs-ID (Client) und Verzeichnis-ID (Mandant) notieren

IBI-aws Admin (Teil 2)

Einrichtung fertigstellen

Wenn die Anwendung im Azure Portal registriert und alle Berechtigungen erteilt wurden, können die restlichen Informationen im IBI-aws Admin übertragen werden und ein Verbindungstest durchgeführt werden

1. IBI-aws Admin starten
2. Zu Einstellungen > Verzeichnisdienste navigieren
3. Zuvor erstellten Microsoft Azure Active Directory Eintrag bearbeiten

4. Zuvor notierte Informationen wie folgt eintragen:

   Azure Eigenschaft	IBI-aws Eigenschaft
   Verzeichnis-ID (Mandant)	Mandanten-ID
   Anwendungs-ID (Client)	Anwendungs-ID

5. Verbindung testen anklicken, um sicherzustellen, dass eine Verbindung und die Authentifizierung erfolgreich durchgeführt werden konnten
6. Speichern anklicken
7. Speichern anklicken