AAD-Authentifizierung esmobile

Neben der Authentifizierung mit Nutzerkennung und Passwort kann für die esmobile-Anmeldung auch die Azure Active Directory-Authentifizierung (AAD) verwendet werden.

 

Microsoft Windows Azure Active Directory (Windows Azure AD oder Azure AD) ist ein Cloud-Dienst, mit dem Administratoren Benutzer und deren Zugriffsrechte verwalten. Für die weiteren Schritte wird ein entsprechend konfiguriertes Microsoft Windows Azure Active Directory für Anwendungen vorausgesetzt.

Für die Einrichtung der Azure Active Directory-Authentifizierung für die esmobile-App sind folgende Schritte erforderlich:

  1. esmobile im AAD als App registrieren

  2. Registrieren der eswebWebAPI

  3. esweb-Anpassungen

  4. Verknüpfen von esoffice-Benutzer (Personal) zu den AAD-Konten

 

Zur Einrichtung des beschriebenen Szenarios benötigen Sie administrativen Zugang zu ihrem Azure-Active-Directory, um eine neue Applikation anzulegen.

esmobile-Registrierung

  1. Loggen Sie sich in die Admin-Console ihres Azure-Active-Directorys ein und navigieren Sie zu App-Registrierungen (App registrations) und klicken Sie auf + Neue Registrierung (+ New registration).

  2. Wählen Sie unter Verwalten den Menüpunkt Authentifizierung aus. Hier ist es erforderlich die Umleitungs-URIs abhängig von den verwendeten Plattformen zu definieren (iOS und UWP). Die Plattform iOS ist abhängig von der Paket-ID der Anwendung (hier Version 12.00).

     

    Aufbau der Umleitungs-URI

    msauth.de.es2000.esmobile[4-stellige esmobile Hauptversionsnummer]://auth

    Beispiel esmobile Version 12.00

    msauth.de.es2000.esmobile1200://auth

esweb WebApi Registrierung

  1. Wählen Sie unter Verwalten den Menüpunkt Eine API verfügbar machen aus.

  2. Fügen Sie einen neuen Bereich ein indem Sie auf + Bereich hinzufügen klicken.

  3. Vergeben Sie einen Bereichsnamen, zum Beispiel acces_as_user, ergänzen Sie die weiteren Angaben und speichern Sie den Bereich. Nach dem der Bereich angelegt wurde, können sie der Anwendung eine Berechtigung erteilen, auf diesen Bereich zuzugreifen.

  4. Wechseln Sie in die esmobile-Registrierung in den Bereich API-Berechtigungen und fügen sie eine Delegierte Berechtigung unter Eigene APIs > esweb WebApi für den eben angelegten Bereich hinzu.

  5. Kopieren Sie nun die Anwendungs-ID (Client) aus der esmobile-Registrierung > Übersicht und tragen Sie diese als autorisierten Client bei der esweb WebApi ein. Hierfür gehen sie in die web-Registrierung unter Eine API verfügbar machen > Autorisierte Clientanwendungen und geben die ID dort ein und wählen den zu autorisierenden Bereich.

esweb Anpassungen

Es sind noch Anpassungen esweb an der Datei esweb.ini erforderlich.

 

Die Konfigurationsdatei esweb.ini befindet sich im Para-Verzeichnis der IIS-Webserverinstalltion, zum Beispiel C:\inetpub\wwwroot\esweb\App_Data\Para

  1. Öffnen Sie die Datei esweb.ini mit einem Texteditor

  2. Fügen Sie, sofern nicht vorhanden, eine neue Sektion mit dem Namen AAD hinzu und befüllen Sie die Werte.

     

    Kopieren

    Beispiel esweb.ini

    [AAD]
    ServerAppId=33333333-eeee-4b6c-b78d-757574ff8bbf
    ClientAppId=9999999-aaaa-4bcb-a66d-23512e0b9e9a
    Scope=access_as_user
    Tenant=common

    ServerAppId

    Die Anwendungs-ID aus der esweb WebApi-Registrierung

    ClientAppId

    Die Anwendungs-ID aus der esmobile-Registrierung

    Scope

    Der Bereichsname, den Sie konfiguriert haben

    Tenant

    Dies kann eine Mandats-ID, eine Mandatsdomäne oder eine Mandatskonvention sein. Im Beispiel ist einer der gültigen Werte für eine Mandatskonvention zu sehen

    organizations

    Anmeldung nur über Arbeits- oder Schulkonten erlauben

    consumers

    Anmeldung nur über persönliche Microsoft-Konten

    common

    Anmeldung über Arbeits- oder Schulkonten sowie persönliche Microsoft-Konten

  3. Speichern Sie die Änderungen in der esweb.ini

  4. Starten den IIS bzw. die entsprechende Seite im IIS neu.

     

    Nach der Umstellung wie oben beschrieben sind nur noch ADD Logins in der esmobile-App möglich.

Verknüpfen von esoffice-Benutzern (Personal) zu den AAD-Konten

  1. Loggen Sie sich in die Admin-Console ihres Azure-Active-Directorys ein und navigieren Sie unter Benutzer zur Benutzerverwaltung.

  2. Wählen Sie einen Benutzer durch Anklicken aus, die Detailseite wird geöffnet.

    Unter Identität wird die eine Objekt-ID angezeigt, die für einen Benutzer innerhalb eines Mandanten eindeutig ist.

     

    Derselbe Nutzer hat innerhalb eines anderen Mandaten allerdings eine neue Objekt-ID.

  3. Kopieren Sie die Objekt-ID und tragen Sie diese im esoffice unter Einstellungen | Anwender-Kennwörtern für den Benutzer (PersonalNr.) im Feld Azure Active Directory Id ein.

  4. Nach dem Speichern der Änderungen kann sich der Benutzer mit seinen Windows-Anmeldeinformationen in der esmobile-App anmelden.