Breadcrumbs

Konfiguration und Nutzung in signoSign/Universal

Anpassung der settings.properties

In signoSign/Universal muss die Authentifizierung in den settings.properties angepasst werden.

Folgende Settings müssen genutzt werden.

auth.type=OIDC
auth.oidc.discoveryUrl=https://login.microsoftonline.com/{Directory-ID}/v2.0/.well-known/openid-configuration
auth.oidc.clientId=faa4573c-XXXX-XXXX-XXXX-947122168558
auth.oidc.tokenAudience=api://faa4573c-XXXX-XXXX-XXXX-47122168558
auth.oidc.clientSecret=nnl7Q~8J1aGzX6o3dasHAVa0XXXXXXXX-XXXX
auth.oidc.scope=openid email api://faa4573c-XXXX-XXXX-XXXX-947122168558/sso-example-scope
auth.oidc.tokenIssuer=https://login.microsoftonline.com/{Directory-ID}/v2.0,https://sts.windows.net/{Directory-ID}/

Es handelt sich um ungültige Beispielwerte. Die tatsächlichen Werte müssen Sie der erstellten Anwendung entnehmen!

Erläuterungen zu den Settings:

  • Die Authentifizierung „auth.type“ wird auf „OIDC“ gestellt.

  • Die „discoveryUrl“ kann den Endpunkten der App-Registrierung entnommen werden.

grafik-20220217-110725.png

Es wird die URL zum Endpunkt „OpenID Connect-Metadatendokument“
benötigt.

  • Die „clientId“ und „tokenAudience“ kann der Übersicht der App-Registrierung entnommen werden.

grafik-20220217-110759.png

  • Das „clientSecret“ haben Sie zuvor erstellt und zwischengespeichert.

  • Den „scope“ haben Sie zuvor erstellt. Vor die URI werden „openid“ und „email“ gesetzt.
    Beispiel: openid email api:// faa4573c-XXXX-XXXX-XXXX-947122168558/sso-example-scope

  • Als “tokenIssuer” konfigurieren Sie den Token-Aussteller Ihrer Microsoft Entra ID. Nach aktuellem Stand hat Microsoft zwei Austeller (alt und neu):
    V1: https://sts.windows.net/{Directory-ID}/
    V2: https://login.microsoftonline.com/{Directory-ID}/v2.0

  • Die „Directory-ID“ ist die Verzeichnis-ID Ihrer Microsoft Entra ID Subscription. Diese kann den Azure Portaleinstellungen oder der o. g. „discoveryUrl“ entnommen werden. Die beiden URIs werden komma-separiert als Wert für das Property konfiguriert.

Wenn Sie Single-Sign-On mit dem signoSign/Universal Document Pool verwenden möchten, so muss zusätzlich die „web.ssmpublicurl“ konfiguriert werden. Diese muss mit der Umleitungs-URI aus der App-Registrierung übereinstimmen!

Anmeldung in der Anwendung

Sobald Sie alle Einstellungen in Microsoft Entra ID und in signoSign/Universal vorgenommen haben, können Sie sich mit Ihrem Benutzer per SSO anmelden.

Insofern Sie in Ihrem Browser bereits per SSO angemeldet sind und Sie die signoSign/Universal Dokumentenverwaltung ( https://YOUR-DOMAIN.COM/signoSignUniversal/pool) aufrufen, so werden Sie automatisch eingeloggt.

Falls Sie noch nicht angemeldet sind, aber SSO als Anmeldung konfiguriert wurde, werden Sie automatisch zum Login bei Microsoft weitergeleitet.

Anmeldung am REST-API

Die Nutzung des REST-API ist im Grunde identisch zu Anmeldung mit Benutzername und Passwort. Der Methode POST/instancetoken wird anstatt der Benutzerdaten ein „Access Token“ von OpenID Connect übergeben. Anschließend erhalten Sie, wie gewohnt, das Instance Token zur weiteren Nutzung des REST-API. Das „Access Token“ wird, wie üblich, über eine OpenID Connect Flow erzeugt.