Das Add-On „Microsoft SSO“ ermöglicht es Ihren Mitarbeitenden, sich bequem und sicher in Evalea anzumelden, nachdem sie sich einmalig bei Microsoft authentifiziert haben. 

Einrichtung:

1.    Öffnen Sie das Add-On „Microsoft SSO“.
2.    Folgen Sie der Anleitung, die im Add-On hinterlegt ist.
3.    Geben Sie die notwendigen Daten gemäß der Anleitung ein.

Erstellen einer SSO-Applikation in Azure AD

Melden Sie sich zunächst im Microsoft Azure-Portal an. Navigieren Sie dann zu Azure Active Directory und wählen Sie den Menüpunkt “App registrations”. Dort erstellen Sie über “New registrations” eine neue Anwendung.

Dies öffnet die Ansicht “Register an application”.

Tragen Sie an dieser Stelle den Namen der App ein, wählen Sie die Option “Single tenant” und führen Sie die Registrierung durch. Die Namensgebung steht Ihnen frei.

Anschließend werden Sie zur Übersichtsseite der Anwendung weitergeleitet.

In der Anwendungsübersicht sind bereits die Client-ID sowie die Mandanten-ID (Tenant-ID) eingetragen. Bitte übernehmen Sie beide Angaben in das Microsoft SSO-Add-On innerhalb von Evalea. 

Ein Client Secret können Sie durch Auswahl der Option “Add a certificate or secret” erstellen.

Auf dieser Seite ist die Option “New client secret” zu wählen. Vergeben Sie eine aussagekräftige Beschreibung und legen Sie eine Gültigkeitsdauer von 24 Monaten fest.

Der daraufhin generierte Wert stellt das Client Secret dar. Dieser ist unverzüglich zu sichern, da er nach Verlassen der Seite nicht mehr eingesehen werden kann.

Zur ordnungsgemäßen Konfiguration der Anwendung ist zwingend der Wert des Client Secret zu übernehmen, nicht hingegen die Secret-ID.

Das Client Secret muss in das Microsoft Outlook Add-On in Evalea kopiert werden..

Anschließend kehren Sie zurück zur Anwendungsübersicht.

An dieser Stelle ist eine Redirect-URI hinzuzufügen. Hierzu ist die Option "Add a plattform" zu wählen und der Typ "Web" auszuwählen.

Anschließend ist die Redirect-URI einzutragen, welche dem Microsoft-SSO-Add-On in Evalea zu entnehmen ist. Die Redirect-URI weist folgendes Format auf: https://company.subdomain/OAuth

Nach erfolgter Konfiguration sind die Client-ID, Tenant-ID sowie das Client Secret an Evalea zu übermitteln. Damit ist der Vorgang abgeschlossen.

FAQs

• Was sind “Scopes” und warum brauchen wir sie? 
  • "Delegated permissions", auch "Scopes" genannt, sind Berechtigungen, die es der Anwendung erlauben, im Namen eines angemeldeten Benutzers zu handeln.  Die Anwendung kann jedoch niemals auf etwas zugreifen, auf das der angemeldete Benutzer nicht zugreifen könnte. In einem delegierten Szenario kann eine Applikation nur im Namen eines Benutzers handeln, wenn sie die entsprechenden Microsoft Graph-Berechtigungen besitzt. Zusätzlich hängt die tatsächliche Zugriffsebene der Applikation auch von den Berechtigungen des Benutzers selbst ab.

• Warum muss eine Azure-App registriert werden? 
  • Microsoft Graph ist eine RESTful-Web-API, über die Sie auf Microsoft Cloud-Dienste zugreifen können. Nach der Registrierung Ihrer App können Sie Authentifizierungstoken für einen Benutzer oder Dienst abrufen und Anfragen an die Microsoft Graph API senden.Die App ermöglicht es Nutzern, sich mit persönlichen Microsoft-Konten (wie Outlook.com), Geschäfts-, Schul- oder Unikonten anzumelden – oder sogar beiden Kontotypen, sofern zugelassen. Dabei kann die App nur auf Ressourcen und APIs zugreifen, für die der jeweilige Benutzer auch Berechtigungen besitzt.

Häufige Fehler

Auf der Add-On-Seite können folgende Fehler auftreten, wenn die Einstellungen nicht korrekt sind oder Sie das Add-On mit einem Dienstkonto aktivieren und anmelden.

1. AADSTS900971: Keine Antwort-URL angegeben
Dieser Fehler tritt normalerweise auf, wenn die in der Authentifizierung verwendete Redirect-URL ungültig ist oder nicht in Microsoft Entra ID registriert wurde.

Lösung:
Registrieren Sie eine gültige Redirect-URL in Ihrer Entra ID-Anwendung. Die Redirect-URL finden Sie im Microsoft Outlook Add-On in Evalea.

2. AADSTS700016: UnauthorizedClient_DoesNotMatchRequest – Die Anwendung wurde im Verzeichnis/Mandanten nicht gefunden
Dies kann passieren, wenn

• Die Anwendung nicht vom Administrator des Mandanten installiert wurde.
• Oder kein Benutzer im Mandanten die Zustimmung erteilt hat.
  Mögliche Ursachen sind auch eine falsch konfigurierte Anwendungs-ID oder eine Authentifizierungsanfrage, die an den falschen Mandanten gesendet wurde.

Lösung:

Überprüfen Sie die App-Konfiguration. Häufig liegt der Fehler vor, wenn die Secret-ID statt des eigentlichen Secret-Werts kopiert wurde.

3. AADSTS7000222: InvalidClientSecretExpiredKeysProvided – Der angegebene Client Secret-Schlüssel ist abgelaufen
Der verwendete Client Secret ist nicht mehr gültig.

Lösung:

Erstellen Sie einen neuen Client Secret.

Alternativ können Sie sicherere Zertifikatsanmeldeinformationen verwenden: https://aka.ms/certCreds.

4. AADSTS50011 – Ungültige Antwortadresse (InvalidReplyTo)
Die Antwortadresse fehlt, ist falsch konfiguriert oder stimmt nicht mit den für die Anwendung konfigurierten Antwortadressen überein.

Lösung:

Stellen Sie sicher, dass die fehlende Antwortadresse der Microsoft-Anwendung hinzugefügt wird.

Alternativ kann ein Administrator mit entsprechenden Berechtigungen in Active Directory diese Anpassung vornehmen.

Kontaktieren Sie Evalea, um die korrekte Antwortadresse für Ihre Anwendung konfigurieren zu lassen.

5. Problem: Anmeldung per SSO im Evalea-Tool
Bei der Anmeldung über die normale Login-Seite oder Ihre Subdomain werden Sie zurück zur Login-Seite geleitet, anstatt Zugang zum Tool zu erhalten.

Ursache & Lösung:

Überprüfen Sie in Ihrem Azure-Konto, ob das Client-Geheimnis Ihrer App abgelaufen ist, und erstellen Sie bei Bedarf ein neues.