Das Modul "Benutzerverwaltung / Verzeichnisdienste" versetzt raum]für[raum in die Lage, ein vom Kunden gepflegtes Benutzerverzeichnis anzubinden und zu nutzen.

Die von diesem Modul abgedeckten Funktionalitäten lassen sich grob in folgende Bereiche unterteilen:

  1. Benutzer provisionieren (Echtzeit Benutzerimport aus der angebundenen Schnittstelle)
  2. Benutzer authentifizieren (Kennwortüberprüfung mit Hilfe der angebundenen Schnittstelle)
  3. Benutzer autorisieren (Regel-basierte Vergabe von raum]für[raum Benutzerberechtigungen auf Basis einer schnittstellen-spezifischen raum]für[raum LiveSync Richtlinie)

Benutzer provisionieren (via Benutzerschnittstelle "Microsoft Graph")

Voraussetzungen für die Anwendung der Microsoft Identity Platform:

  • Graph API Berechtigungen festlegen
  • Umleitungs-URI festlegen

Graph API Berechtigungen festlegen

API

Berechtigung

Art

Administrator-
einwilligung
erforderlich


Microsoft Graph

User.Read

Delegiert

Nein


Microsoft Graph

User.Read.All

Anwendung

Ja

Diese Berechtigung befähigt raum]für[raum, auf alle Personen zuzugreifen (inkl. Personendetails), die in der Anwendung für die Microsoft Identity Platform berechtigt wurden.

Microsoft Graph

Group.Read.All

Anwendung

Ja

Diese Berechtigung befähigt raum]für[raum, die Gruppenmitgliedschaften der provisionierten Benutzer auszulesen.

Umleitungs-URI

Umleitungs-URI

raum]für[raum Endpunkt

oauth,php

Endpunkt für browser-basierte Azure Anmeldungen

Voraussetzungen in raum]für[raum

Folgende Schritte sind zum Einrichten des Echzeit Benutzerimports notwendig:

  • Einrichten einer Benutzer-Schnittstelle vom Typ Microsoft Graph
  • Durchführen des Benutzer-Remappings (Synchronisieren bestehender raum]für[raum Benutzer mit den Benutzern aus der konfigrierten Benutzer-Schnittstelle)
  • Erstellen einer LiveSync Richtlinie für die Regel-basierte Vergabe von Benutzerberechtigungen

Benutzer authentifizieren (via Benutzerschnittstelle "Microsoft Graph")

Nachfolgend werden die Voraussetzungen beschrieben, die erfüllt sein müssen, um sich erfolgreich mit einer unterstützen Internet Browser Anwendung (Microsoft Edge, Mozilla Firefox, Google Chrome) an raum]für[raum anzumelden.

Die Voraussetzungen für eine Anmeldung mit der raum]für[raum Mobile App oder dem raum]für[raum Outlook ADD.IN werden in gesonderten Kapiteln behandelt.

Voraussetzungen für die Anwendung der Microsoft Identity Platform:

  • Graph API Berechtigungen festlegen
  • Umleitungs-URI festlegen

Graph API Berechtigungen festlegen

API

Berechtigung

Art

Administrator-
einwilligung
erforderlich

Microsoft Graph

User.Read

Delegiert

Nein

Umleitungs-URI festlegen

Umleitungs-URI

raum]für[raum Endpunkt

oauth,php

Endpunkt für browser-basierte Azure Anmeldungen

Voraussetzungen in raum]für[raum

Authentifizierung / Single Sign-On

Im Rahmen der Benutzerauthentifizierung wird von der Microsoft Graph API der im Azure AD hinterlegte userPrincipalName übertragen. Dieser muss erfolgreich mit einem in raum]für[raum gespeicherten Benutzerprofil in Übereinstimmung gebracht werden, um eine eindeutige Identifizierung und Anmeldung der Person durchführen zu können.

Im Abschnitt SSO der raum]für[raum System-Initialisierung muss dazu die nachfolgend beschriebene Konfiguration durchgeführt werden.

Formularfeld

erforderlicher Wert

Beschreibung

Fieldnames

userPrincipalName

In diesem Feld werden alle zur Authentifizierung herangezogenen Variablen komma-separiert aufgeführt, die im Rahmen des Single Sign-On (Kerberos, OAuth) betrachtet werden.

Achtung: Es muss auf Groß-/Kleinschreibung geachtet werden.

Userfield

username

Mit diesem raum]für[raum Benutzer-Attribut wird der von Azure gelieferte userPrincipalName abgegleichen

Cut identifier (before)

<leer>

Mit Hilfe dieses Trennzeichens wird das raum]für[raum Benutzer-Attribut nur links vom Trennzeichen betrachtet und der rechte Teil abgeschnitten

Cut identifier (after)

<leer>

Mit Hilfe dieses Trennzeichens wird das raum]für[raum Benutzer-Attribut nur rechts vom Trennzeichen betrachtet und der linke Teil abgeschnitten

raum]für[raum Benutzer Attribute

Der in raum]für[raum gespeicherte Anmeldename des Benutzers muss dem im Azure Active Directory hinterlegten userPrincipalName der Person übereinstimmen.