Microsoft Entra-ID Authentifizierung esmobile

Neben der Authentifizierung mit Nutzerkennung und Passwort kann für die esmobile-Anmeldung auch die Azure Active Directory-Authentifizierung (AAD) / Microsoft Entra ID verwendet werden.

Für die Einrichtung der Entra ID-Authentifizierung für die esmobile-App sind folgende Schritte erforderlich:

1. esmobile im Microsoft Entra Admin Center als App registrieren

2. Registrieren der eswebWebAPI

3. esweb-Anpassungen

4. Verknüpfen von esoffice-Benutzer (Personal) zu den Entra ID Benutzern

esmobile-Registrierung

1. Gehen Sie zum Microsoft Entra Admin Center (https://entra.microsoft.com) oder öffnen Sie das Azure Portal und navigieren Sie zum Abschnitt Entra.

   Melden Sie sich mit einem Administratorkonto an, das die erforderlichen Berechtigungen für die Registrierung von Apps hat.

2. Navigieren zu den App-Registrierungen

   Wählen Sie im Microsoft Entra Admin Center dem Menüeintrag Identität (Identity) aus.

3. Gehen Sie zum Menüpunkt Anwendungen | App-Registrierungen (App registrations). Dies ist der Bereich, in dem Sie neue Apps registrieren und verwalten können.

4. Neue App-Registrierung

   Klicken Sie auf + Neue Registrierung (+ New registration), um eine neue App zu registrieren.

   

5. App-Details angeben

   • Name

     Geben Sie einen Namen für die App ein, der leicht erkennbar ist, zum Beispiel esmobile1300.

   • Unterstützte Kontotypen (Supported account types)

     Wählen Sie den unterstützten Kontotyp aus (zum Beispiel Nur Konten in diesem Organisationsverzeichnis).

      

     Die im Bereich Unterstützte Kontotypen ausgewählte Option ist abhängig von Ihrer Organisationsstruktur, weiter Informationen dazu erhalten Sie über den Link Entscheidungshilfe unterhalb der Optionen.

   • Umleitungs-URL (optional) (Redirect URI (optional))

     Lassen Sie die Umleitungs-URL zunächst leer.

6. Klicken Sie auf Registrieren (Register), um fortzufahren.

   Es wird eine Zusammenfassung der neu angelegten App Registrierung angezeigt.

   

7. Klicken Sie auf den Link Umleitungs-URI hinzufügen.

   Es wird der Punkt Verwalten | Authentifizierung geöffnet.

   

8. Hier ist es erforderlich die Umleitungs-URIs abhängig von den verwendeten Plattformen zu definieren (iOS und UWP).

   

   Die Plattform iOS ist abhängig von der Paket-ID der Anwendung (hier Version 13.00).

   

    

   Aufbau der Umleitungs-URL

   msauth.de.es2000.esmobile[4-stellige esmobile Hauptversionsnummer]://auth

   Beispiel esmobile Version 13.00

   msauth.de.es2000.esmobile1300://auth

esweb WebApi Registrierung

1. Wählen Sie unter Verwalten den Menüpunkt Eine API verfügbar machen aus.

2. Fügen Sie einen neuen Bereich ein indem Sie auf + Bereich hinzufügen klicken.

   Es wird eine Anwendungs-ID-URl vorgeschlagen, die sie mit Speichern und fortfahren übernehmen können.

   

3. Vergeben Sie einen Bereichsnamen, zum Beispiel acces_as_user, ergänzen Sie die weiteren Angaben und speichern Sie den Bereich mit der Schaltfläche Bereich hinzufügen. Nach dem der Bereich angelegt wurde, können sie der Anwendung eine Berechtigung erteilen, auf diesen Bereich zuzugreifen.

   

4. Wechseln Sie in die esmobile-Registrierung in den Bereich API-Berechtigungen und fügen sie eine Delegierte Berechtigung unter Eigene APIs > WebApi für den eben angelegten Bereich hinzu.

   

   

5. Kopieren Sie nun die Anwendungs-ID (Client) aus der esmobile-Registrierung > Übersicht und tragen Sie diese als autorisierten Client bei der esweb WebApi ein. Hierfür gehen sie in die web-Registrierung unter Eine API verfügbar machen > Autorisierte Clientanwendungen und geben die ID dort ein und wählen den zu autorisierenden Bereich.

   

esweb Anpassungen

Es sind noch Anpassungen esweb an der Datei esweb.ini erforderlich.

1. Öffnen Sie die Datei esweb.ini mit einem Texteditor

2. Fügen Sie, sofern nicht vorhanden, eine neue Sektion mit dem Namen AAD hinzu und befüllen Sie die Werte.

    

   Kopieren

   Beispiel esweb.ini

   [AAD]
   ServerAppId=33333333-eeee-4b6c-b78d-757574ff8bbf
   ClientAppId=9999999-aaaa-4bcb-a66d-23512e0b9e9a
   Scope=access_as_user
   Tenant=common

   ServerAppId

   Die Anwendungs-ID aus der esweb WebApi-Registrierung

   ClientAppId

   Die Anwendungs-ID aus der esmobile-Registrierung

   Scope

   Der Bereichsname, den Sie konfiguriert haben

   Tenant

   Dies kann eine Mandats-ID, eine Mandatsdomäne oder eine Mandatskonvention sein. Im Beispiel ist einer der gültigen Werte für eine Mandatskonvention zu sehen

   organizations

   Anmeldung nur über Arbeits- oder Schulkonten erlauben

   consumers

   Anmeldung nur über persönliche Microsoft-Konten

   common

   Anmeldung über Arbeits- oder Schulkonten sowie persönliche Microsoft-Konten

3. Speichern Sie die Änderungen in der esweb.ini

4. Starten den IIS bzw. die entsprechende Seite im IIS neu.

    

   Nach der Umstellung wie oben beschrieben sind nur noch ADD Logins in der esmobile-App möglich.

Verknüpfen von esoffice-Benutzern (Personal) zu den Entra-ID-Konten

1. Gehen Sie zum Microsoft Entra Admin Center (https://entra.microsoft.com) oder öffnen Sie das Azure Portal und navigieren Sie zum Abschnitt Entra.

   Melden Sie sich mit einem Administratorkonto an, das die erforderlichen Berechtigungen für die Verwaltung von Benutzern hat.

2. Wählen Sie im Microsoft Entra Admin Center dem Menüeintrag Benutzer aus.

   Gehen Sie zum Menüpunkt Benutzer | Alle Benutzer

   

3. Wählen Sie in der Liste einen Benutzer durch Anklicken aus, die Detailseite wird geöffnet.

   In der Übersicht oder Eigenschaften wird die eine Objekt-ID angezeigt, die für einen Benutzer innerhalb eines Mandanten eindeutig ist.

   

    

   Derselbe Nutzer hat innerhalb eines anderen Mandaten allerdings eine neue Objekt-ID.

4. Kopieren Sie die Objekt-ID und tragen Sie diese im esoffice unter Einstellungen | Anwender-Kennwörter für den Benutzer (PersonalNr.) im Feld Entra-ID ein.

   

5. Nach dem Speichern der Änderungen kann sich der Benutzer mit seinen Windows-Anmeldeinformationen in der esmobile-App anmelden.