Zum Hauptinhalt springen

SSO - Single Sign On mit Azure

jacando HilfezentrumHandbuchApp EinstellungenAllgemeinLogin Einstellungen

SSO - Single Sign On mit Azure AD

Was ist Single Sign On?

Single Sign-on (SSO) bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung an einem Arbeitsplatz auf alle Rechner und Dienste, für die er lokal berechtigt ist, vom selben Arbeitsplatz aus zugreifen kann, ohne sich an den einzelnen Diensten jedes Mal zusätzlich anmelden zu müssen. Jacando bietet Ihnen die Möglichkeit, Ihr Tool in diese Authentifizierung zu integrieren.

SSO kann mit Azure AD (Cloud basiert) in jacando eingerichtet werden. Wenn Sie dazu Fragen haben, finden Sie unter folgendem Link Unterstützung: https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app

Wenn das SSO integriert ist, erscheint bei der Login Seite ein weiterer Button "Single Sign On (SSO)". Mitarbeiter müssen sich also in Zukunft über diesen Button einloggen.

Wie kann ich SSO aktivieren

Wie kann ich SSO aktivieren?

Um SSO mit Mircosoft Azure AD zu nutzen, müssen Sie jacando in ihrem Azure AD registrieren.
Bitte nutzen Sie dazu die von Microsoft bereitgestellte Dokumentation.
https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app

Schritt 1: Gehen Sie Sie zu Ihrer Microsoft Azure-Arbeitsumgebung Microsoft Entra admin center

Übersicht Ansicht Microsoft Entra admin center

Schritt 2: Sie befinden sich nun in der Übersicht Microsoft Entra admin center

Schritt 3: Klicken Sie nun auf den Applications und auf App registrations

App registrations

Schritt 4: Begeben Sie sich nun in den Bereich New registration um eine Registrierung vorzunehmen.

Schritt 5: Tragen Sie nun die Applikation (z.B. jacando App) bei Name ein.

Schritt 6: Wählen Sie den gewünschten Supported account types aus.

Schritt 7: Klicken Sie auf Register.
Die "jacando App" ist somit als Application erstellt worden.

App registrations - Essentials

Schritt 8: Kopieren Sie nun die Client ID und fügen Sie diese in jacando in den App-Settings bei Sysstem Administrator als Mandanten ID ein.

Schritt 9: Kopieren Sie nun die Tenant ID und fügen Sie auch diese in jacando in den App-Settings bei Sysstem Administrator als Tenant ein.

Schritt 10: Geben Sie bei Resource https://graph.microsoft.com ein

Schritt 11: Gehen Sie zu "Add a redirect URI".

Plattform konfigurieren

Schritt 12: Gehen Sie auf Add a platform und wählen Sie Web aus.

Schritt 13: Geben Sie nun die URL Ihrer Instanz ein (z.B. https://int-eu-helpcenter-1.jacando.io/futura/login)

Schritt 14: Klicken Sie auf Configure und die Plattform ist hinterlegt.

Schritt 15: Fügen Sie die URL Ihrer Instanz (Beispiel: https://int-eu-helpcenter-1.jacando.io/futura/login) in den App-Settings, Sistem Administrator, als Rückruf URL ein.

Secret erstellen

Schritt 16: Stellen Sie ein Secret ein, indem Sie im Microsoft Entra Admin Center auf Certificates & secret gehen.

Schritt 17: Gehen Sie hier auf Client secrets / New client secret.

Schritt 18: Geben Sie dem Client secret unter Description einen Namen und fügen Sie diesen über Add hinzu.

Schritt 19: Sie erhalten einen "Value". Kopieren Sie diesen und fügen Sie den "Value" in Ihren jacando App-Settings / System Administrator bei Secret ein. Speichern Sie Ihre Eingaben und aktivieren Sie den Schieberegler "Aktiviert".

API permissions setzen

Schritt 20: Setzen Sie eine API permission, indem Sie im Microsoft Entra Admin Center auf API permissions und hier auf Add permission gehen.

Schritt 21: Wählen Sie Microsoft Graph und hier Delegated permissions.

Schritt 22: Hier wählen Sie bitte folgendes aus:

  • email

  • openid

  • profile

Schritt 23: Bestätigen Sie Ihre Eingabe mit Add permissions.

Q&A SSO Erweiterung

Kann ich zusätzliche IP Einschränkungen hinterlegen?
Wenn Sie einen SSO-Prozess in Ihrem Tool aktivieren ist es nicht möglich, zusätzlich eine IP Einschränkung zu hinterlegen. Die ist kein Problem, denn wenn SSO aktiviert ist, benötigen Sie keine IP-Einschränkung mehr, da die Authentifizierung über SSO erfolgt.

Ich erhalte beim Login den Fehlercode AADSTS650056: Misconfigured application. Woran kann das liegen?
Eine mögliche Ursache und Lösung wird hier beschrieben.

Ich erhalte beim Login den Fehlercode “AADSTS50011: The reply address does not match the reply addresses configured”
Vermutlich ist die Sign-on URL nicht korrekt hinterlegt. Zusätzliche Informationen dazu finden Sie hier.