Durch das Single Sign-On (SSO) Verfahren über Azure AD wirst du bei einmaliger Eingabe deiner Microsoft Zugangsdaten in deinem Browser automatisch in weclapp angemeldet. Du ersparst dir die zusätzliche Eingabe deines weclapp Passworts.
Wie wird SSO für weclapp aktiviert?
Für die SSO Verwendung in weclapp müssen vorab in Azure AD und in weclapp Vorbereitungen getroffen werden. Bitte folge dem Leitfaden, damit unser Support die finale Freischaltung des Anmeldeverfahrens für dein System vornehmen kann.
Schritt 1: weclapp in Azure AD registrieren
Um SSO für weclapp zu verwenden, muss weclapp für Azure AD registriert werden. Definiere direkt bei Registrierung die Redirect URL wie folgt und trage diese in Azure AD ein: https://portal.weclapp.com/webapp/resource/rest/redirect/state
Zusätzlich wird als Logout Endpoint die folgende URL benötigt: https://<tenant label>.weclapp.com/webapp/seam/resource/rest/authentication/logout. Trage dabei für die rot markierte Stelle dein Tenant Label der weclapp Instanz ein, das du oben in der URL Leiste findest.
Für die Freischaltung der Schnittstelle benötigst du zudem die Application (client) ID, die Directory (tenant) ID und das Client Secret aus der Azure AD. Diese Angaben musst zur Freischaltung unserem Support Team mitteilen.
Unter “Overview” findest du die Application (client) ID und die Directory (tenant) ID.
Lege nun noch das Client Secret in Azure AD unter “Certificates & secrets” an. Dessen Value musst du ebenfalls unserem Support Team mitteilen.
Schritt 2: Zusatzfeld an den Benutzern für ObjectID
Jedem Benutzer wird eine ObjectID zugeordnet. Lege deshalb ein Zusatzfeld unter Mein weclapp > Benutzer > Benutzerdetailseite > Zusatzfelder verwalten an. Wähle als Datentyp “Text” aus und gib dem Zusatzfeld eine Bezeichnung z.B. OpenID Connect Nutzerkennung (oid).
Der interne Systemname muss OIDC_oid sein:
Fülle nun bei allen in weclapp angelegten Benutzern das Zusatzfeld mit der ObjectID der Benutzer aus Azure AD. Nur, wenn das Zusatzfeld am Benutzer befüllt ist, kann dieser später SSO verwenden und unser Support die Schnittstelle final freigeben.
Du kannst das Zusatzfeld bspw. auch über unseren Benutzer Import im Import-Wizard befüllen.
Für den Export der ObjectID in AzureAD kannst du die PowerShell nutzen. Schaue dir dazu am besten folgende Anleitung an: AzureAD User über PowerShell exportieren
Es ist absolut notwendig, dass alle Benutzer, die sich einloggen müssen in weclapp, die ObjectID in der Benutzerverwaltung erhalten. Wenn ein Benutzer keine oder die falsche ObjectID erhält, kann er sich nach Aktivierung der Funktionalität durch den Support nicht mehr einloggen. Bitte beachte also, dass du unbedingt prüfst, ob du überall die richtige ObjectID für die Benutzer eingetragen hast, bevor du den Support dazu kontaktierst. Nutze die Filterfunktion in der Benutzertabelle, um zu schauen, ob es noch Benutzer ohne ObjectID gibt.
Schritt 3: weclapp Support kontaktieren
Um das SSO-Anmeldeverfahren final zu nutzen, kontaktiere bitte unseren Support per E-Mail an support@weclapp.com. Teile darin folgende Informationen mit, die wir zur Aktivierung benötigen:
- weclapp Kundennummer
- Verzeichnis-ID bzw. Directory (tenant) ID
- Anwendungs-ID bzw. Application (client) ID
- Anwendung: Wert der Geheimen ID bzw. Application Client Secret Value
Wir werden anschließend für deine weclapp Instanz und alle Benutzer darin anhand dieser Informationen das Anmeldeverfahren kurzfristig aktivieren.