Entra ID: Konfiguration

enaio® 11.10 »

Entra ID: Voraussetzungen

  • enaio® server wird an einem Standort in einer lokalen Domäne betrieben.

    • Benutzer aus der lokalen Domäne können sich mit enaio® client, enaio® webclient als Desktop-Anwendung oder enaio® webclient authentifizieren.

    • Benutzer aus anderen Domänen, für die es in der lokalen Domäne kein Benutzerkonto gibt, können sich mit enaio® webclient gegenüber Entra ID authentifizieren.

  • Neuanlage von Benutzern in enaio®.

    • Alle Benutzer werden im Rahmen der Entra ID Synchronisation neu mit ihrem UPN als Loginnamen in enaio® angelegt.

    • Benutzer in Bestandssystemen, deren Loginnamen auf dem bisher verwendeten Windows SAM-Namen basieren, können nicht mehr verwendet werden.

  • Die Kerberos-Authentifizierung an enaio® server ist aktiviert.
  • Der Login in enaio® erfolgt über Angabe des UPN. Beispiel: meyer@firma.de.
  • Benutzer verschiedener Domänen eines Unternehmens können in der Entra ID zusammengefasst und dort zentral verwaltet werden.
  • Erlaubte Entra ID Sicherheits-Gruppen im Rahmen der Synchronisierung.

Für das Registrieren der Anwendung sind die folgende Schritte in Entra ID notwendig.

Entra ID: Anwendung registrieren

Im Microsoft Entra Portal wird im Bereich 'App Registrierungen' eine neue Registrierung erstellen. Für die Registrierung wird ein Name vergeben. Als Kontotyp wird 'Nur Konten in diesem Organisationsverzeichnis' aktiviert. Eine Umleitungs-URI wird nicht benötigt.

Geheimen Clientschlüssel anlegen

Zu der erstellten Registrierung wird im Bereich 'Zertifikate & Geheimnisse' ein geheimer Clientschlüssel erzeugt. Der neue geheime Clientschlüssel benötigt einen Namen. Zudem muss die Gültigkeit angegeben werden. Maximal 24 Monate sind möglich. Nach Ablauf der Zeit ist keine Verbindung von enaio® zu Entra ID mehr möglich.

Der Wert, der zu einem neuen Clientschlüssel erzeugt wird, muss separat gesichert werden. Er muss bei der Konfiguration von enaio® directory-sync angegeben werden.

API-Berechtigungen setzen

Die erstellte Registrierung benötigt weitere API-Berechtigungen. Diese können im Bereich 'API–Berechtigungen' im Microsoft Entra Portal gesetzt werden.

Die folgenden Berechtigungen werden benötigt. Sie werden im Bereich 'Microsoft Graph' als Anwendungsberechtigung und anschließend mit Administratoreinwilligung gesetzt.

  • User.Read.All
  • Group.Read.All
  • GroupMember.Read.All

Werte aus der Zusammenfassung kopieren

Aus der Zusammenfassung der App Registrierung müssen folgende Werte kopiert und für die Verbindungskonfiguration verwendet werden:

  • Anwendungs-ID (Client)
  • Verzeichnis-ID (Mandant)