Skript für die App-Registrierung in Microsoft Entra ID

Benötigte Berechtigungen: IT-Admin

Zur Erstellung der App-Registrierung in Microsoft Entra ID wird ein Paket bereitgestellt, das eine Einrichtung über ein Skript ermöglicht und diesen Prozess automatisiert.

Das Paket beinhaltet zwei PowerShell-Skripte – ein Skript zur Erstellung der App-Registrierung und ein optionales Skript, das nur ausgeführt wird, wenn empower® Mails Online eingerichtet werden soll.

Die dritte Datei ist eine Konfigurationsdatei, die dazu verwendet wird, wichtige Parameter für das Registrierungs-Skript im Voraus festzulegen, um den Prozess zu beschleunigen.

Das Paket kann unter folgendem Link heruntergeladen werden:

Paket für App-Registrierung herunterladen

Insgesamt enthält das Paket die folgenden drei Dateien:

  • config.json: Konfigurationsdatei zur Definition wichtiger Parameter.

  • EntraIdAppRegistration.ps1: Skript für die App-Registrierung.

  • EntraIdAppRegistration_MailsOnline.ps1: Skript für die weiterführende Konfiguration für empower® Mails Online (optional).

Anmerkung

Die PowerShell-Skripte sind mit dem Microsoft Graph PowerShell Module Version 2.1.9.0 kompatibel.

Konfigurationsdatei

Die Datei ist wichtig für den Aufbau des Skripts. Sie enthält wichtige Informationen zur Konfiguration.

Anmerkung

Wenn Sie das Paket heruntergeladen haben, können Sie Datei selbst Ihren Anforderungen entsprechend vorbereiten.

Der Inhalt der Konfigurationsdatei sieht wie folgt aus:

 
{
  "tenantID": "Tenant ID from Entra ID"
  "appName": "empower",
  "hostname": "https://",
  "useMailsOnline": false,
  "useSCIM": false,
  "oneTimePasswordServiceUri": "https://oneoffsecret.com/"
}

Die Werte werden wie folgt definiert:

  • tenantID: Tenant ID.

    Dieser Wert muss von Ihnen bereitgestellt werden.

  • appName: Name der Anwendung.

  • hostname: Die Basis-URL für die Anwendung.

  • useMailsOnline: Angabe dazu, ob empower® Mails Online verwendet werden soll oder nicht.

    Wenn diese Einstellung auf true gesetzt ist, werden die Erweiterungen für empower® Mails Online zur App-Registrierung hinzugefügt.

  • useSCIM: Angabe dazu, ob SCIM als Bereitstellungsmethode verwendet werden soll.

    Wenn diese Einstellung auf true gesetzt ist, wird die App-Registrierung für SCIM mit delegierten Berechtigungen erstellt.

  • oneTimePasswordServiceUri: Service, der zur Übertragung des Client Secrets verwendet wird.

    Die folgenden Services sind für diese Einstellung zugelassen:

    https://oneoffsecret.com/

    https://snappass.symplasson.de/

Anmerkung

Wenn Sie nicht in der empower® Cloud hosten, müssen Sie vor Ausführung des Skripts alle erforderlichen Informationen (Tenant ID, Basis-URL) selbst einsammeln.

Das Skript über PowerShell ausführen

Um das PowerShell-Skript ausführen zu können, müssen die folgenden Voraussetzungen erfüllt sein:

  • Installieren Sie das MS Graph PowerShell Module.

    Für weitere Informationen von Microsoft zur Installation von PowerShell siehe Install the Microsoft Graph PowerShell SDK.

  • Entpacken Sie den .zip-Ordner.

  • Öffnen Sie PowerShell als Administrator aus dem entpackten Ordner.

Um das Skript über PowerShell auszuführen, gehen Sie wie folgt vor:

  1. Führen Sie das Skript EntraIdAppRegistration.ps1 unter dem Pfad, unter dem es gespeichert ist, mit dem folgenden Befehl aus:

    .\EntraIdAppRegistration.ps1

    Das Skript verwendet die Werte aus der Konfigurationsdatei als Standardwerte.

  2. Geben Sie die Tenant ID ein, um den Standardwert aus der Konfigurationsdatei zu bestätigen.

    Die Tenant ID kann unter Übersicht im Azure-Portal eingesehen werden.

    Um den Standardwert aus der Konfigurationsdatei anzuwenden, drücken Sie Enter.

  3. Melden Sie sich in dem Login-Fenster mit dem Benutzer an, der Zugriff auf die VM hat.

    1. Wenn Berechtigungen angefragt werden, akzeptieren Sie diese Berechtigungen.

  4. Geben Sie den Namen für die App-Registrierung ein, um den Standardwert aus der Konfigurationsdatei zu bestätigen.

    Um den Standardwert aus der Konfigurationsdatei anzuwenden, drücken Sie Enter.

  5. Geben Sie die Basis-URL ein.

    Um den Standardwert aus der Konfigurationsdatei anzuwenden, drücken Sie Enter.

  6. Wenn Sie empower® Mails verwenden möchten, geben Sie true ein.

    Wenn Sie empower® Mails nicht verwenden möchten, geben Sie false ein.

    Um den Standardwert aus der Konfigurationsdatei anzuwenden, drücken Sie Enter.

    Die App-Registrierung wird automatisch erstellt.

  7. Kopieren Sie die Werte, die auf dem Bildschirm angezeigt werden (Tenant ID, Client ID und Client Secret).

    Das Client Secret kann nur über den Einmal-Passwort-Link kopiert werden. Öffnen Sie den Link, um das das Client Secret anzuzeigen und speichern Sie es sicher ab.

    Diese Werte werden für die Installation des empower® Backends benötigt.

    Alternativ finden Sie die Werte in der Datei AppRegristrationInfo.json, die nach Beendigung der abgeschlossenen Ausführung im Ausführungsverzeichnis abgelegt wird.

Die App-Registrierung kann dann im Tab App-Registrierungen im Azure-Portal eingesehen werden.

Wichtig

Das Einmal-Passwort für das Client Secret ist nur einmal sichtbar und der Link läuft nach einem Monat ab.

Speichern Sie das Client Secret sicher ab.

Wichtig

Die Einstellung useSCIM wird aus der Konfigurationsdatei nur ausgelesen. Im Skript selbst werden Sie nicht gefragt, ob Sie SCIM verwenden möchten.

Die Einstellung wird verwendet, um die Berechtigungen zu definieren, die der App-Registrierung erteilt werden.

Zusätzlich müssen Sie weitere manuelle Änderungen an der App-Registrierung vornehmen, nachdem diese erstellt wurde.

Für weitere Informationen siehe SCIM in Microsoft Entra ID einrichten.

Anmerkung

Wenn die Datei config.json im Voraus nicht an Ihre Anforderungen angepasst wurde, müssen Sie alle Werte manuell eingeben.

Das Skript in Cloud Shell ausführen

Um das Skript über Cloud Shell auszuführen, gehen Sie wie folgt vor:

  1. Stellen Sie sicher, dass Sie mit dem Tenant verbunden sind, in dem Sie die App-Registrierung erstellen möchten.

  2. Entpacken Sie den .zip-Ordner, bevor Sie das Skript ausführen.

  3. Geben Sie in Ihrem Browser shell.azure.com ein.

    1. Wenn Sie Cloud Shell zum erstem Mal verwenden, öffnet sich ein Dialogfenster.

      Wählen Sie ein Abonnement aus und klicken Sie auf den Button Create storage.

      Ein Speicherkonto für Cloud Shell wird erstellt.

  4. Wählen Sie in dem Drop-Down-Menü in der oberen rechten Ecke des Fensters die Option PowerShell aus.

  5. Klicken Sie auf das Dokument-Symbol und wählen Sie die Option Upload aus.

  6. Wählen Sie alle drei Dateien aus Ihrem Dateisystem aus und laden Sie sie hoch.

  7. Führen Sie dann das Hauptskript aus, indem Sie folgenden Befehl verwenden:

    .\EntraIdAppRegistration.ps1

  8. Geben sie den Namen für die App-Registrierung ein.

    Um den Standardwert aus der Konfigurationsdatei anzuwenden, drücken Sie Enter.

  9. Geben Sie die Basis-URL ein.

    Um den Standardwert aus der Konfigurationsdatei anzuwenden, drücken Sie Enter.

  10. Wenn Sie empower® Mails verwenden möchten, geben Sie true ein.

    Wenn Sie empower® Mails nicht verwenden möchten, geben Sie false ein.

    Um den Standardwert aus der Konfigurationsdatei anzuwenden, drücken Sie Enter.

    Die App-Registrierung wird automatisch erstellt.

  11. Kopieren Sie die Werte, die auf dem Bildschirm angezeigt werden (Tenant ID, Client ID und Client Secret).

    Das Client Secret kann nur über den Einmal-Passwort-Link kopiert werden. Öffnen Sie den Link, um das das Client Secret anzuzeigen und speichern Sie es sicher ab.

    Diese Werte werden für die Installation des empower® Backends benötigt.

    1. Klicken sie alternativ erneut auf das Dokument-Symbol und wählen Sie die Option Download aus.

    2. Geben Sie den Dateinamen AppRegistrationInfo.json in das Eingabefeld ein und klicken Sie auf den Button Download.

      Die Werte finden Sie nun auch in der Datei AppRegristrationInfo.json.

Die App-Registrierung kann dann im Tab App-Registrierungen im Azure-Portal eingesehen werden.

Wichtig

Das Einmal-Passwort für das Client Secret ist nur einmal sichtbar und läuft nach einem Monat ab.

Speichern Sie das Client Secret sicher ab.

Anmerkung

Wenn Sie die Datei config.json nicht hochladen oder sie im Voraus nicht an Ihre Anforderungen angepasst wurde, müssen Sie alle Werte manuell eingeben.

empower die Konfigurationsdetails bereitstellen

Wenn Sie in der empower® Cloud hosten, müssen Sie dem empower® Support Team weitere Informationen zur Verfügung stellen.

Schicken Sie dem empower® Support hierfür die Datei AppRegistrationInfo.json.

Zusätzlich zu den Informationen aus der Datei AppRegristrationInfo.json, stellen Sie nach Einrichtung der App-Registrierung dem empower® Support Team die folgenden Informationen zu Verfügung:

  • empower® Group Object ID

    Diese ID ist ein Globally Unique Identifier (GUID) oder genauer: eine Entra ID Benutzergruppe, die dazu verwendet wird, Benutzer nach empower® zu synchronisieren.

    Auf diese Weise wird sichergestellt, dass nicht Ihr gesamter Entra ID Tenant nach empower® synchronisiert wird, sondern nur die Benutzer, die mit empower® arbeiten werden.

  • Anzeigename für Entra-ID-Gruppe

    Um innerhalb von empower® Berechtigungen setzen zu können, werden nicht nur Benutzer, sondern auch Gruppen synchronisiert.

    Daher ist es sinnvoll, mit empower® Gruppen zu arbeiten oder mit Gruppen, die mithilfe von Namen gruppiert werden. Diese Namen sollten immer mit empower beginnen.

    Beispiel: empower® Benutzergruppe = empower_users – empower® Admin-Gruppe = empower_adminusers.

    Auf diese Weise können Berechtigungen in empower® direkt über Entra-ID-Gruppen vergeben werden.

  • Ablaufdatum des Client Secrets

Anmerkung

Sie erhalten von empower® eine Erinnerung bevor Ihr Client Secret abläuft.

Anmerkung

Für weitere Informationen zur Erstellung von Benutzergruppen in Microsoft Entra ID siehe Verwalten von Microsoft Entra-Gruppen und -Gruppenmitgliedschaften.

War dieser Beitrag hilfreich?

/

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.