Relevanz
Dieser Artikel ist für Sie relevant, wenn Sie im Zusammenhang mit empower® Charts die Funktion für SharePoint-/OneDrive-Excel-Links verwenden möchten. Zudem sind die nachfolgenden Informationen nur relevant, wenn Sie in ihrem Unternehmen eine SharePoint-online Instanz verwenden. Für SharePoint-onPremise Instanzen sind die Informationen aus diesem Dokument nicht gültig. Darüber hinaus gibt es Szenarien bzw. Arbeitsweisen, bei denen Sie zwar mit online Dateien arbeiten, jedoch die unten beschriebene Konfiguration nicht erforderlich ist.
Szenarien, in denen mit Online-Excel-Dateien gearbeitet wird, erfordern nicht die unten beschriebene Konfiguration.
Szenario: Arbeiten mit offener online Excel-Datei
Beschreibung: Sie haben die online Excel-Datei sowohl beim Erstellen des Excel-Links als auch bei jedem Datenupdate geöffnet.
Szenario: Lokal synchronisierte OneDrive Excel-Datei
Beschreibung: Die Excel-Datei liegt in OneDrive und ist lokal auf dem Computer synchronisiert.
Sollten in ihrem Unternehmen nur gemäß den oben beschriebenen Szenarien gearbeitet werden dann können Sie in Betracht ziehen, die nachfolgende Konfiguration auszulassen.
Kontext
Nachfolgend befasst sich dieses Dokument mit solchen Excel-Link Szenarien, die nicht durch die Szenarien oben abgedeckt sind und folglich einen SharePoint-Login erfordern.
Beispiel: Sie möchten ein mit einer online Excel-Datei verlinktes Chart bei geschlossener Datei aktualisieren.
Seitens empower® Charts ist bei online Dateien (außer der Szenarien, die oben aufgeführt wurden) ein SharePoint-Login erforderlich, da die Dateien in diesen Fällen ausschließlich über eine online Quelle verfügbar sind und folglich heruntergeladen werden müssen. Der Zugriff auf die online Quelle erfordert, dass Anwendende sich gegenüber der Quelle authentifizieren.
Technische Notwendigkeit
Zur Durchführung der Authentifizierung verwendet empower® Charts die Microsoft Authentication Library (MSAL).
https://learn.microsoft.com/de-de/azure/active- directory/develop/msal-overview
Die Nutzenden werden bei Verwendung der MSAL gegen den Azure Active Directory (AAD) Tenant authentifiziert in dem die jeweiligen Accounts angelegt wurden. Für gewöhnlich handelt es sich dabei um ihr Unternehmens-AAD.
Damit empower® Charts eine solche Authentifizierung anfordern darf, benötigen wir eine sogenannte Azure-App. Es handelt sich dabei nicht etwa um eine von empower® programmierte Software, sondern um ein in unserem AAD angelegtes Set an Konfigurationsparametern, welches von Microsoft unter dem Begriff „App“ zusammengefasst wird.
- Diese Azure-App existiert bereits im empower® AAD, Sie müssen also keine eigene Azure-App erstellen.
Die Funktionsweise der MSAL erfordert es nun, dass empower® Charts die oben erwähnte Azure-App verwendet, um sich gegenüber der Microsoft Identity Plattform als eine Applikation auszuweisen, die berechtigt ist, Authentifizierungstoken für Nutzende aus ihrem Unternehmens-AAD entgegenzunehmen.
Damit die Verbindung zwischen der empower® Charts Azure-App und ihrem Unternehmens-AAD hergestellt werden kann, ist es erforderlich, dass die empower® Charts Azure-App in ihrem AAD als sogenannter „Service Principal“ eingetragen wird.
Es handelt sich dabei um die von Microsoft vorgeschriebene Vorgehensweise. Mehr Informationen zu Service Principals finden Sie hier:
https://learn.microsoft.com/de-de/azure/active- directory/develop/app-objects-and-service-principals - https://learn.microsoft.com/de-de/azure/active- directory/develop/how-applications-are-added
Anschließend müssen dem Service Principal noch die von der empower® Charts Azure-App benötigten Leseberechtigungen erteil werden. Dies kann entweder von allen Nutzenden einzeln beim ersten Login oder von einem Azure-Admin unternehmensweit durchgeführt werden (mehr Informationen dazu finden Sie im nächsten Abschnitt).
Eintragung des Service Principals
Je nachdem wie das AAD ihres Unternehmens konfiguriert ist, kann die Eintragung des Service Principals entweder automatisch beim ersten Login eines Nutzenden passieren, oder sie muss manuell durch einen Azure Admin durchgeführt werden.
Grundsätzlich wird der Service Principal immer dann eingetragen, wenn auch Berechtigungen erteilt werden. Für Nutzende sind nur die Angeforderten Berechtigungen sichtbar, der Service Principal wird im Hintergrund durch Microsoft automatisch eingetragen.
Allgemeine Informationen zum Erteilen von Berechtigungen finden Sie hier:
https://learn.microsoft.com/de-de/azure/active- directory/develop/application-consent-experience
Eine Übersicht über die von der empower® Charts Azure-App angeforderten Berechtigungen finden Sie unten.
Berechtigung darf durch Nutzende erteilt werden
In diesem Fall erscheint beim ersten Login jedes Nutzenden ein Fenster, dass in etwa so aussieht (Hinweis: Das untenstehende Bild ist eine Beispieldarstellung von Microsoft. Der Name der App, sowie die angeforderten Berechtigungen sind beispielhaft.):
In diesem Fenster sind sowohl der Herausgeber und der Name der Azure-App als auch die angeforderten Berechtigungen zu finden. Wird nun auf Accept geklickt, wird automatisch die empower® Charts Azure- App als Service Principal in ihrem AAD hinzugefügt und für die jeweilige Person werden die angeforderten Berechtigungen erteilt. Um den Nutzenden in ihrem Unternehmen diesen Schritt abzunehmen, kann ein Azure-Admin die Berechtigungen auch unternehmensweit erteilen.
Erteilen der Berechtigungen durch einen Azure-Admin
Sind die Nutzenden nicht berechtigt die Berechtigungen selbst zu erteilen, oder sollen die Berechtigungen aus anderen Gründen unternehmensweit erteilt werden, kann ein Azure-Admin diese über einen der beiden folgenden Wege erteilen.
Anmeldung über empower® Charts:
1. Melden Sie sich über empower® Charts als Azure-Administrator an.
2. Daraufhin wird das folgende Fenster angezeigt (Microsoft Beispiel).
3. Markieren Sie Consent on behalf of your organization und klicken Sie auf Accept.
Die empower® Charts Azure App wird im AAD der Organisation registriert und die Berechtigung wird für alle Benutzer erteilt.
Erteilung von Genehmigungen über Browser-Link:
- Die tenant-ID des AAD Ihrer Organisation ist erforderlich.
- Navigieren Sie dann zu dieser URL:
https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id=f05a4e72-4760-458e-a39b-88740cdd932e
Bitte beachten Sie:
Die {tenant-id} muss durch die Tenant-Id des eigenen Azure Tenants ausgetauscht werden. Die Client-Id muss unverändert übernommen werden. - Ändern Sie den Link und fügen Sie ihn in den Webbrowser ein.
- Melden Sie sich mit einem Azure-Administratorkonto an.
- Navigieren Sie zu Unternehmensanwendungen. Die empower® Charts Azure-App muss jetzt sichtbar sein.
- Wählen Sie die empower® Charts aus, damit Sie eine mandantenweite Administratoreinwilligung erteilen können.
- Wählen Sie Berechtigungen aus, und klicken Sie dann auf Administratoreinwilligung gewähren.
- Wählen Sie zusätzlich MyFiles.Read und AllSites.Read erteilen und für alle Benutzer einstellen.
Bitte beachten Sie: Auch wenn Sie empower On-Premises hosten, kann es notwendig sein, die Azure App Registrierung für empower® Charts durchzuführen.
Erläuterungen zu den verwendeten Berechtigungen
Berechtigungen, im AAD-Kontext auch „Scopes“ genannt, werden beim Ausstellen eines Authentifizierungstokens in dem Token hinterlegt. Das Token wird im Anschluss von empower® Charts verwendet, um die angeforderte Excel-Datei abzurufen. Daher ist es erforderlich, dass das Token bestimmte Leseberechtigungen enthält.
Alle erforderlichen Berechtigungen sind bereits in der empower® Charts Azure- App konfiguriert und umfassen die folgenden Scopes:
Scope: MyFiles.Read
Beschreibung: Die Dateien der nutzenden Person in SharePoint/OneDrive lesen.
Scope: AllSites.Read
Beschreibung: Dateien lesen, die auf verschiedenen Unterseiten in SharePoint verteilt sind und nicht direkt im Bereich der nutzenden Person
Bei allen von der empower® Charts Azure-App verwendeten Berechtigungen handelt es sich um sogenannte „Delegated Permissions“. Das Permission System von Microsoft funktioniert so, dass eine Schnittmenge aus den Rechten der derzeit aktiven nutzenden Person und den Rechten der empower® Charts Azure- App gebildet wird.
Wichtig: Das bedeutet, dass eine nutzende Person über empower® Charts niemals Zugriff auf Dateien bekommt, auf die er oder sie nicht ohnehin Zugriff hat.
Weitere Informationen zu Delegated Permissions finden Sie hier:
https://learn.microsoft.com/de-de/azure/active- directory/develop/delegated-access-primer
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.