Azure AD als Identity Provider

Das Azure Active Directory (Azure AD) ist ein Microsoft Service zum zentralen Verwalten von Benutzerkonten mit der Microsoft Azure Cloud-Computing-Plattform. Mittels OpenResty oder eines anderen Reverse Proxys, welcher OpenID Connect/OAuth2 unterstützt, kann enaio® gateway zur Authentifizierung an Azure AD angebunden werden.

Die Konfiguration von Azure AD für ein solches Szenario ist hier in Grundzügen beschreiben.

Durch die Aktivierung einer Azure AD-Edition werden automatisch eine Domäne, ein Mandant und ein administratives Benutzerkonto erstellt. Eine aktivierte Azure AD-Edition ist Voraussetzung, um die folgenden Schritte durchführen zu können.

Mandant erstellen

Für die Anbindung an enaio® wird genau ein Mandant im Azure AD gewählt. Gegebenenfalls erstellen Sie einen Mandaten neu.

• Azure Active Directory Admin Center öffnen und mit dem administrativen Benutzerkonto anmelden.

• Mandantenübersicht öffnen.

  

• Mandant erstellen.

• in den Kontext des neuen Mandanten wechseln

  

Benutzerkonten erstellen

Um sich mit einem Azure AD Benutzerkonto an enaio® anmelden zu können, muss ein entsprechendes Konto in enaio® existieren. Der Name des enaio® Benutzerkontos muss hierfür der Object ID des Azure AD Kontos entsprechen. Microsoft rät davon ab, die Konten über den User principal name (UPN) zuzuordnen.

OpenResty als Client registrieren

OpenResty muss als Client Anwendung für die Plattform Web in Azure AD registriert werden. Als Redirect URI wird die Adresse zu OpenResty mit dem Zusatz /oauth2 angegeben. Statt eines Zertifikats ist nur ein Client Secret erforderlich.

Erlaubnis für die Verwendung von OpenResty erteilen

Um OpenResty zu verwenden, muss jeder Benutzer während des Anmeldeprozesses im Browser einwilligen, dass OpenResty dessen Benutzerprofil einsehen darf. Es enthält persönliche Daten, wie Namen und E-Mail-Adresse. Diese Einwilligung ist nur einmalig bei der ersten Anmeldung erforderlich. Sollte das nicht erwünscht sein, kann administrativ stellvertretend für alle Benutzer des Mandanten die Einwilligung erteilt werden.

• auf der Administrationsoberfläche unter App registrations den Eintrag für OpenResty öffnen.

• im Abschnitt API permissions die Schaltfläche Grant admin consent aktivieren und bestätigen.

Hierdurch wird für alle eingetragenen Berechtigungen des OpenResty Clients die administrative Zustimmung erteilt. Bei Neuanlage des Clients wird automatisch nur die Berechtigung User-Read der Microsoft Graph API vergeben.