Skip to main content
Skip table of contents

Konfiguration in Microsoft Entra ID

App-Registrierung

Um SSO mit Microsoft Entra ID verwenden zu können, müssen Sie zunächst eine neue App registrieren. Hierzu nutzen Sie den Dienst „App-Registrierungen“. Über „Neue Registrierung“ kann eine neue App registriert werden.

Die neue App-Registrierung benötigt einen Namen sowie die Angabe zu den unterstützten Kontotypen.

Als Umleitungs-URI wählen Sie den Typ „Web“ und tragen zunächst folgende URI ein:

https://<DOMAIN>/signoSignUniversal/auth/callback?client_name=ViewerClient 

Den Platzhalter „<DOMAIN>“ ersetzen Sie durch Ihre Domain unter der Sie signoSign/Universal betreiben. Falls Sie am signoSign/Universal Server das Property „web.ssmpublicurl“ nutzen, so müssen diese Domains übereinstimmen.

Bitte beachten Sie hierbei, dass Microsoft ausschließlich URIs mit gültigen und prüfbaren TLS-Zertifikaten (keine selbst-signierten) erlaubt. Zu Testzwecken kann jedoch auch eine (ungeschützte) „localhost“-Adresse verwendet werden.

Ihre Auswahl bestätigen Sie anschließend mit „Registrieren“.

Weitere Umleitungs-URI

Nachdem die App-Registrierung erstellt wurde, wechseln Sie innerhalb dieser in den Bereich „Authentifizierung“.

Auf der rechten Seite sehen Sie die soeben konfigurierte Umleitungs-URI. Dort klicken Sie auf „URI hinzufügen“ und tragen folgende weitere URI ein:

https://<DOMAIN>/signoSignUniversal/auth/callback?client_name=PoolClient

Den Platzhalter „<DOMAIN>“ ersetzen Sie durch Ihre Domain unter der Sie signoSign/Universal betreiben. Falls Sie am signoSign/Universal Server das Property „web.ssmpublicurl“ nutzen, so müssen diese Domains übereinstimmen.

Bitte beachten Sie auch hier erneut, dass Microsoft ausschließlich URIs mit gültigen und prüfbaren TLS-Zertifikaten (keine selbst-signierten) erlaubt. Zu Testzwecken kann jedoch auch eine (ungeschützte) „localhost“-Adresse verwendet werden.

Die Eingabe übernehmen Sie mit „Speichern“.

Optional: Zugriffstoken für implizite Flows

In der App-Registrierung kann unter „Authentifizierung“ unter „Implizite Genehmigung und Hybridflows“ die Option „Zugriffstoken (werden für implizite Flows verwendet)“ aktiviert werden.

Diese Einstellung ist optional und kann dazu genutzt werden, um sich mithilfe eines spezifischen OpenID Connect Flows am REST-API von signoSign/Universal autorisieren zu können. Außerdem kann es z. B. genutzt werden, wenn man sich mit „http://oidcdebugger.com “ ein Access-Token erstellen möchte.

Erstellung eines Secret

In der App-Registrierung wechseln Sie nun in den Bereich „Zertifikate und Geheimnisse“. Dort klicken Sie auf „Neuer geheimer Schlüssel“. Der Schlüssel benötigt eine Beschreibung sowie eine Gültigkeitsdauer.

Das erstellte Secret ist nach der Erstellung unter „Wert“ sichtbar.

Bitte speichern Sie diesen Wert zur späteren Verwendung, da dieser nicht wieder sichtbar gemacht werden kann!

Konfiguration des Tokens

Als nächstes wird das Token konfiguriert, da signoSign/Universal die E-Mail-Adresse des Benutzers kennen muss. Um das Token zu konfigurieren, wechseln Sie innerhalb der App-Registrierung in den Bereich „Tokenkonfiguration“.

Auf der rechten Seite wählen Sie „Optionalen Anspruch hinzufügen“.

Als “Tokentyp” wählen Sie „Zugriff“ und in der Liste der Ansprüche aktivieren Sie „email“.

Anschließend bestätigen Sie die Auswahl mit „Hinzufügen“.

Es erscheint der folgende Dialog:

Aktivieren Sie die Checkbox „Aktivieren Sie Microsoft Graph-Berechtigung „email“ (erforderlich, damit Ansprüche im Token angezeigt werden).“ und drücken Sie anschließend auf „Hinzufügen“.

API verfügbar machen

Im nächsten Schritt wird ein benutzerdefinierter Bereich für das API konfiguriert. Hierzu wechseln Sie in das Menü „Eine API verfügbar machen“ und klicken rechts auf „Bereich hinzufügen“. Dieser benutzerdefinierte Bereich wird benötigt, damit signoSign/Universal Zugriff auf die benötigten Benutzerinformationen zugreifen darf.

Es muss eine Anwendungs-URI, ein Bereichsname sowie Anzeigenamen und Beschreibungen konfiguriert werden. Der Inhalt obliegt dem Administrator und ist für signoSign/Universal irrelevant. Zudem wird festgelegt, wer diese Informationen freigeben darf. Hier ist es wichtig, dass „Administratoren und Benutzer“ ausgewählt wird.

signoSign/Universal Rollen konfigurieren

signoSign/Universal benötigt spezifische Benutzerrollen, die mit den Benutzern verknüpft werden müssen.

Um die Rollen zu erstellen, wechseln Sie in den Bereich „App-Rollen“ und klicken auf „App-Rolle erstellen“.

Die App-Rolle benötigt einen Anzeigenamen sowie die zulässigen Mitgliedstypen. Der Anzeigename ist rein für administrative Zwecke und für signoSign/Universal irrelevant. Als zulässigen Mitgliedstyp wählen Sie „Benutzer/Gruppen“, sodass die Rolle im nächsten Schritt mit Benutzern oder Gruppen verknüpft werden kann.

Als „Wert“ für die Rolle muss die Rolle von signoSign/Universal verwendet werden. Derzeit gibt es zwei Rollen.

  1. ssu-user

  2. ssu-admin

Die Rolle „ssu-user“ muss jedem normalen Benutzer zugewiesen haben. Diese Benutzer haben nur Zugriff auf ihre eigenen Dokumente und Vorgänge. Die Rolle „ssu-admin“ hingegen hat Zugriff auf alle Dokumente und Vorgänge aller Benutzer.

Zuweisung der Rollen

Als letzten Schritt müssen die erstellten Rollen Ihren Benutzern oder Gruppen zugewiesen werden.

Hierzu wechseln Sie in „Unternehmensanwendungen“ und wählen dort die erstellte Anwendung aus.

Dort wechseln Sie im Menü zu „Benutzer und Gruppen“.

Über „Benutzer/Gruppe“ hinzufügen können Sie einen Benutzer bzw. eine Gruppe auswählen und mit einer der erstellten Rollen verknüpfen. Bitte beachten Sie hierbei, dass die Zuweisung von Gruppen nur in bestimmten Microsoft Entra ID Plänen verfügbar ist.

Anschließend ist die Konfiguration in Microsoft Entra ID abgeschlossen und Sie können die erstellte Anwendung in signoSign/Universal konfigurieren.

Anmeldung nur mit gemappter Rolle (optional)

Die folgende Option ist optional, wird jedoch empfohlen, um die Fehlerbehandlung zu vereinfachen.

Um seitens Microsoft Entra ID sicherzustellen, dass sich nur Benutzer mit einer gemappten Rolle anmelden können, muss die Option „Zuweisung erforderlich?“ aktiviert werden. Hierzu wechseln Sie in das Menü „Eigenschaften“ und aktivieren diese.

App für Benutzer sichtbar machen

Wenn Sie möchten, dass Benutzer die App innerhalb von "Meine Apps" in Office 365 sehen, können Sie die Option "Für Benutzer sichtbar?" auf "Ja" setzen.

Damit auf die App zugegriffen werden kann, muss in der App-Registrierung unter "Branding & Eigenschaften" die "URL der Startseite" auf die URL der Anwendung gesetzt werden (z. B. https://YOUR-DOMAIN.COM/signoSignUniversal/pool).  

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close