Single Sign On mit Azure

Die AHP One bietet für Administratoren und Endbenutzer die Option Single Sign On (SSO) mit Azure an. Damit hat der Benutzer die Möglichkeit nach einer einmaligen Authentifizierung am Arbeitsplatz auf alle Rechner und Dienste, für die er lokal berechtigt ist zuzugreifen, ohne sich an den einzelnen Diensten anmelden zu müssen. Die Authentifizierung erfolgt über die Azure Registrierung.

Diese Funktion wird über den Parameter LogonWithUPN geregelt, der per Default auf true gesetzt ist. Ferner ist eine entsprechende Konfiguration des Microsoft Azure (Option 2) Providers erforderlich. Der Provider Parameter Azure AD Authentication muss aktiviert werden und die FQDN Adresse(n) der Frontend-Server zur Konfiguration der SSO Funktion müssen eingegeben werden. Bei mehreren Adressen sollte die Eingabe mit Komma ohne Leerzeichen erfolgen.

Azure Provider Parameter
Abbildung: Azure Provider Parameter
 
Warnung

Bitte beachten Sie, eine Voraussetzung seitens Microsoft ist das Transport Layer Security (TLS-Protokoll) in der Version 1.2 auf dem AHP One Server und AHP One Frontend. Überprüfen Sie im Zweifelsfall, ob die Version aktiviert ist (Erzwingen von TLS 1.2 für Azure AD Connect).

Manuelle Konfiguration

 
Vorsicht

Neben der automatisierten Konfiguration ist ebenso eine manuelle Konfiguration des SSO möglich.

Beachten Sie aber, dass für die Option WVD Sitzung Start die automatisierte App-Registrierung zwingend erforderlich ist.

In einem ersten Schritt wird in Azure die App-Registrierung vorgenommen und die erforderlichen Rechte erteilt. In einem zweiten Schritt werden die Parameter kopiert und der AHP One Datenbank hinzugefügt.

  1. Konfiguration SSO
  2. Loggen Sie sich mit dem gewünschten Mandanten in Azure ein.
  3. Navigieren Sie im Azure Active Directory zu den App-Registrierungen.
Azure App Registrierung
Abbildung: Azure > Neue App-Registrierung erstellen
  1. Erstellen Sie eine Neue Registrierung.
  2. Geben Sie den Namen ein, wählen sie unter Unterstützende Kontotypen "Nur Konten in diesem Organisationsverzeichnis" und registrieren Sie die Eingabe.
Anwendung registrieren
Abbildung: Azure > Anwendung registrieren
  1. Navigieren Sie in der neu erstellten App-Registrierung zu Authentifizierung und fügen Sie eine neue Plattform hinzu.
Azure_neue Plattform hinzufügen
Abbildung: Azure > App-Registrierung > Plattform hinzufügen
  1. Wählen Sie die Option Web aus und geben Sie den Uniform Resource Identifier (URI) an, den Benutzer verwenden, um sich an der On-premises Installation der AHP One anzumelden.
 
Warnung

Bitte beachten Sie, dass der Eintrag der Web-Konfiguration in Azure dem Format (Groß- und Kleinschreibung) der AHPOneManagement web.configredirect URI entsprechen muss!

Web_Config_URI_redirect
Abbildung: AHP One Management > web.config > redirectUri
  1. Ergänzen Sie ebenfalls die URI für das AHP One Frontend, so dass in der App-Registrierung die URI's für beide Frontends, AHP One Frontend und AHP One Management, angegeben sind (1).
  2. Aktivieren Sie ID-Token (2).
  3. Speichern Sie die Eingaben (3).
Azure_Plattformkonfiguration
Abbildung: Azure > Plattformkonfiguration
  1. Navigieren Sie zur Tokenkonfiguration und fügen Sie einen Optionalen Anspruch hinzu.
Azure_Tokenkonfiguration
Abbildung: Azure > Tokenkonfiguration
  1. Wählen Sie den Tokentyp ID oder SAML und die gewünschten optionalen Ansprüche aus und fügen Sie diese hinzu.
  2. Aktivieren Sie die Microsoft Graph-Berechtigungen "email, profile".
Aktivieren Microsoft Graph-Berechtigungen
Abbildung: Microsoft Graph-Berechtigungen "email und profile" aktivieren
  1. Navigieren Sie zu API Berechtigungen und erteilen Sie Administratorzustimmung.
Azure API Berechtigungen
Abbildung: Azure > API Berechtigungen > Administratorzustimmung
  1. Navigieren Sie zurück zur Übersicht und kopieren Sie die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant).
Azure ID
Abbildung: Azure > Übersicht > IDs
  1. Fügen Sie diese in die AHP One Management web.config ein.
Azure ID_webconifg
Abbildung: AHP One Management > web.config
  1. Für die Benutzer (AHP One Frontend) und Administratoren (AHP One Management) ist ein Logon mit den AHP One Credentials möglich, ebenso wie ein Single Sign On über Microsoft Azure. Das folgende Beispiel zeigt das gewohnte AHP One Frontend.
AHP Logon_Azure SSO
Abbildung: Logon > Microsoft Azure Single Sign On

Für Benutzer, die das neue AHP One Frontend nutzen, sieht die Logon Seite aus wie folgt:

New UI_Logon mit Microsoft
Abbildung: Logon > Mit Microsoft anmelden