Microsoft Entra ID (früher Azure Active Directory) einrichten

Damit IBI-aws mit Microsoft Entra ID (früher Azure Active Directory) kommunizieren kann, sind folgende Schritte nötig.

Vor dem Einrichten eines Microsoft Entra ID Zugriffs (früher Azure Active Directory), empfehlen wir, die zertifikatsbasierte Verschlüsselung der Hinweis-Datei zu aktivieren.

So kann sichergestellt werden, dass nur authorisierten Clients der Zugriff ermöglicht wird.

IBI-aws Admin (Teil 1)

Zertifikat für die Client-Authentifizierung generieren

1. IBI-aws Admin starten

2. Zu Einstellungen > Verzeichnisdienste navigieren

3. Hinzufügen > Microsoft Entra ID (früher Azure Active Directory)... anklicken

4. Einen passenden Namen wählen

5. Mandanten-ID und Anwendungs-ID können zunächst mit einem Platzhalter, wie z.B. "tbd" belegt werden

6. Unter Zertifikate auf Generieren klicken

7. Danach auf Aktivieren

8. Exportieren (Nur Public Key)... anklicken und den Public Key des Zertifikats an eine beliebige Stelle speichern

9. Speichern anklicken

10. Speichern anklicken

Azure Portal

Anwendung registrieren

1. Azure Portal öffnen

2. Zu Microsoft Entra ID > App-Registrierungen navigieren

3. Neue Registrierung anklicken

4. Einen passenden Namen wählen. Bspw. IBI-aws

5. Einen passenden Kontotyp wählen (im Zweifel Nur Konten in diesem Organisationsverzeichnis auswählen)

6. Registrieren anklicken

Zertifikat einbinden

1. Azure Portal öffnen

2. Zu Microsoft Entra ID > App-Registrierungen navigieren

3. Die zuvor erstellte Anwendung auswählen

4. Zertifikate & Geheimnisse anklcken

5. Den Reiter Zertifikate anklicken

6. Zuvor generiertes und abgespeichertes Zertifikat (Public Key) mittels Zertifikat hochladen hinterlegen

API-Berechtigungen vergeben

Damit IBI-aws die benötigten Informationen abfragen kann, müssen folgende API-Berechtigungen vergeben werden:

• Device.Read.All

• User.Read.All

• GroupMember.Read.All

Die genannten Berechtigungen werden wie folgt vergeben.

1. Azure Portal öffnen

2. Zu Microsoft Entra ID > App-Registrierungen navigieren

3. Die zuvor erstellte Anwendung auswählen

4. API-Berechtigungen anklicken

5. Berechtigung hinzufügen anklicken

6. Reiter Microsoft APIs anklicken

7. Microsoft Graph auswählen

8. Anwendungsberechtigungen auswählen

9. Mittels der Suchfunktion, die oben genannten Berechtigungen auswählen

10. Den Vorgang mittels Berechtigungen hinzufügen bestätigen

11. Über das Menü (...) der jeweiligen Berechtigung muss die Administratoreinwilligung eingeholt werden

Mandanten-ID und Anwendungs-ID ermitteln

1. Azure Portal öffnen

2. Zu Microsoft Entra ID > App-Registrierungen navigieren

3. Die zuvor erstellte Anwendung auswählen

4. Anwendungs-ID (Client) und Verzeichnis-ID (Mandant) notieren

IBI-aws Admin (Teil 2)

Einrichtung fertigstellen

Wenn die Anwendung im Azure Portal registriert und alle Berechtigungen erteilt wurden, können die restlichen Informationen im IBI-aws Admin übertragen werden und ein Verbindungstest durchgeführt werden

1. IBI-aws Admin starten

2. Zu Einstellungen > Verzeichnisdienste navigieren

3. Zuvor erstellten Microsoft Entra ID (früher Azure Active Directory) Eintrag bearbeiten

4. Zuvor notierte Informationen wie folgt eintragen:
   Verzeichnis-ID (Mandant): Mandaten-ID
   Anwendungs-ID (Client): Anwendungs-ID

5. Verbindung testen anklicken, um sicherzustellen, dass eine Verbindung und die Authentifizierung erfolgreich durchgeführt werden konnten

6. Speichern anklicken

7. Speichern anklicken