Microsoft Azure Active Directory (Azure AD) Single Sign-On (SSO)

[DE-Danloc]

Feature/Idee

Microsoft Azure Active Directory (Azure AD) Single Sign-On (SSO) soll es Benutzern ermöglichen, sich mit ihren Azure AD-Anmeldeinformationen bei composuite anzumelden. Dies vereinfacht den Zugriffsprozess und verringert den Aufwand der Benutzerpflege in composuite.

Hier ist ein vereinfachter Ablauf, wie Azure AD SSO zur Autorisierung in composuite verwendet werden könnte:

• Ein Benutzer wird beim Login zur Anmeldung aufgefordert.
• Der Benutzer gibt seine Azure AD-Anmeldeinformationen ein.
• Azure AD bestätigt die Identität des Benutzers und sendet ein Token an composuite.

Dies entspricht dem ungefähren Ablauf, wie er bereits bei der "Lokalen AD Anbindung" implementiert ist.

Dieser Prozess erfordert eine vorherige Einrichtung und Konfiguration sowohl in Azure AD als auch in composuite, um die korrekte Kommunikation und die gewünschten Zugriffsregeln zu gewährleisten.

Schnittstellen und Implementierung

Um Single Sign-On (SSO) mit Azure AD zu implementieren, bietet Microsoft verschiedene Schnittstellen und Protokolle an. Die Auswahl der Schnittstelle hängt von den Anforderungen und Fähigkeiten der Drittanbieter-Software ab.

• SAML 2.0 (Security Assertion Markup Language): SAML ist ein offener Standard für den Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen Parteien. Viele Webanwendungen unterstützen SSO über SAML.

• OpenID Connect: Ein Identitätsprotokoll, das auf OAuth 2.0 basiert. Es ermöglicht Clients, die Identität des Endbenutzers zu verifizieren und grundlegende Profilinformationen zu erhalten.

• OAuth 2.0: Ein Standardprotokoll für die Autorisierung, das von vielen APIs für die Delegierung von Zugriffsrechten verwendet wird.

Vorzugsweise sollte OAuth 2.0 implementiert werden, da dies bereits eine verwendete Methode für vorhandene Authentifizierungsverfahren darstellt.

Alternative/Workaround

Aktuell gibt es keine direkte Alternative zu dieser Funktion. User können in composuite angelegt und verwaltet werden oder mittels Lokal gehosteten AD und On-premise Instanz.

[DE-Danloc]

Microsoft Azure AD Rollen & Zugriffberechtigung in composuite

Derzeit befinden wir uns in der Phase der Konzeption dieses Systems. Es ist unerlässlich, dass wir dieses Konzept gründlich durchdenken und planen, bevor wir mit der Implementierung beginnen. Dabei berücksichtigen wir verschiedene Faktoren wie die unterschiedlichen Benutzerrollen, die jeweiligen Zugriffsstufen, die Verwaltung von Berechtigungen und die Flexibilität des Systems zur Anpassung an zukünftige Anforderungen.

Wir sind uns der Bedeutung und Komplexität dieser Aufgabe bewusst und legen größten Wert auf eine sorgfältige Planung, um ein robustes und effizientes Rollen- und Berechtigungssystem zu entwickeln. Die Implementierung wird erst erfolgen, wenn wir ein umfassendes und gut durchdachtes Konzept erarbeitet haben, das den Anforderungen unserer Benutzer gerecht wird und die Sicherheit und Integrität unserer Software gewährleistet.

Wichtige Fragestellungen

• Wie werden Gruppen und Rollen in Azure AD angelegt und verwaltet?
• Welche Berechtigungen soll composuite für die integration erhalten?
• Wie kann die Zuweisung von Rollen und Benutzergruppen (Azure AD) in composuite dargtestellt werden?
• Welche Daten zur Identifizierung der Benutzer, werden übermittelt und gespeichert?

[crymlink]

Die Microsoft Graph API bietet eine umfassende Integration mit den meisten Funktionen von Azure AD. Es ist möglich, Composuite über einen API-Token direkt mit Azure AD zu verbinden, um Benutzer aus Azure anzuzeigen und zukünftig weitere Features von Azure AD in Composuite zu integrieren.

Durch die direkte Verbindung mit Azure AD über einen API-Token erhält composuite Zugriff auf eine Vielzahl von Ressourcen, darunter Benutzerprofile, Gruppenmitgliedschaften, Berechtigungen und mehr. Dies ermöglicht es, die Benutzerinformationen in Composuite anzuzeigen und möglicherweise erweiterte Funktionen wie das Hinzufügen oder Aktualisieren von Benutzern, die Verwaltung von Gruppen oder die Implementierung von benutzerspezifischen Sicherheitsrichtlinien zu integrieren.

Es ist jedoch wichtig, bei der Verbindung von Composuite mit Azure AD die Sicherheit zu berücksichtigen. Es muss sicher gestellt werden, dass angemessene Sicherheitsmaßnahmen implementiert werden, um den API-Token und die zugrunde liegenden Zugangsdaten zu schützen.