Neben der herkömmlichen Authentifizierung mit dem Benutzernamen und dazugehörigen Passwort, gibt es in VertiGIS FM die Möglichkeit, sich via OAuth (Microsoft Azure Active Directory) zu registrieren.

Ein Verwenden dieser Authentifizierungsmethode erspart dem Benutzer die zusätzliche Anmeldung über die VertiGIS FM Login-Maske, da an dieser Stelle die Windows-Integrierte Authentifizierung (Windows Login) verwendet wird.

Dadurch kann sehr einfach ein vollwertiges Single-Sign-On (SSO) Szenario in Windows Netzwerken erreicht werden.

Im Folgenden finden Sie Information zur Architektur, den Einstellungen des Azure Active Directories und der Konfiguration in VertiGIS FM.

Architektur

Anhand der zwei Schaubildern bekommen Sie einen Überblick über die Architektur der Web-Anwendung und der App.

Web-Anwendung

 

 

App

Einrichtung des Azure Active Directories

 

Im Folgenden Kapitel finden Sie eine Schritt-für-Schritt-Anleitung zum Einrichten des Azure Active Directories.

1.Im Azure Active Directory unter App-Registrierungen eine neue Registrierung anlegen:

2. Ausfüllen: 

a.Name, ist beliebig wählbar, z.B. VertiGIS FM 

b.Kontotyp: der 1. (nur in dieser Organisation) 

c.Umleitungs-Url:  die Url von VertiGIS FM 

3. Ergebnis / neue Anwendung: 
   Die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) werden benötigt und sind dann in VertiGIS FM zu hinterlegen.

 

4. Weitere Einstellungen

a. Authentifizierung:  hier nur den einen Haken setzen

b) Zertifikate und Geheimnisse: neuer geheimer Clientschlüssel 
Name: beliebig, z.B.  VertiGIS FMKey 
Gültigkeit: z.B. 12 Monate 
Der erstellte Wert ist praktisch ein Passwort und als "Client Secret" in VertiGIS FM zu hinterlegen

c) Tokenkonfiguration: Optionale Ansprüche für ID hinzufügen

d) API-Berechtigungen: 
Es müssen für Microsoft Graph die nötigen Berechtigungen gegeben werden, um die Gruppen und Ihre User zu ermitteln 
(ggf. sind effektiv weniger Rechte nötig, als im Screenshot gezeigt)

Konfiguration in VertiGIS FM

 

Zur korrekten Konfiguration in VertiGIS FM gehen Sie in die Verwaltung > Schnittstellen > Externe Authentifizierung und erfassen Sie folgende Informationen:

 

"Reply-Url: Web"

Hier wird die Basis-URL der Anwendung angezeigt und diese ist bei der Einrichtung des Authentifizierungspunktes beim OAuth-Anbieter als "Reply" bzw. "Response" URL einzutragen. 

 

"Reply-Url: Android" und "Reply-Url: iOS"

Diese beiden Felder sind mit den vom OAuth-Anbieter generierten "Reply" bzw. "Response" URLs zu befüllen. Für diese Generierung dienen die Felder dahinter ("App-Paketname" und "App SHA1 Zertifikatfingerabdruck"). 

Hinweis: Für die Generierung des Endpunktes für Android/iOS unter Microsoft Azure AD ist es notwendig, dass der Zertifikatfingerabdruck im Format "base64" angegeben wird. Hierfür bietet sich ein HEX -> Base64 Konverter an. (bspw. base64.guru) 

 

"DiscoveryUrl"

Diese URL wird vom OAuth-Anbieter vorgegeben und dient zur Auffindung der benötigten Daten für die Authentifizierung. 

 

"Bezeichnung"

Beliebig wählbarer Name der OAuth-Konfiguration. 

 

"ClientID"

Diese ID wird vom OAuth-Anbieter vorgegeben und dient zur Identifizierung des bereitgestellten Oauth-Profiles auf Anbieterseite. 

 

"ClientSecret"

Diese Art von Passwort wird vom OAuth-Anbieter gestellt. 

 

"TenantId"

Diese ID wird ebenfalls vom OAuth-Anbieter vorgegeben. 

 

"Scope"

Die hier angegebene Zeichenkette gibt die Felder bzw. Berechtigungen an, die mittels der Authentifizierung beim OAuth-Anbieter an VertiGIS FM übermittelt werden und somit verarbeitet werden können. Die Angaben können sich von Anbieter zu Anbieter durchaus unterscheiden und müssen recherchiert werden. 

Konfiguration Webserver

Damit die Antworten der Authentifizierungsserver nicht vom IIS geblockt werden, ist es notwendig den IIS-Server (der oberste Knoten in der Baumauswahl auf der linken Seite) manuell einzustellen, damit QueryStrings über 2048 Zeichen akzeptiert werden: 

1.Server auswählen 

Unter der Sektion "IIS" die Kategorie "Anforderungsfilterung" auswählen 

Ganz rechts unter "Aktionen" die "Featureeinstellungen bearbeiten" 

2.In dem Feld "Maximale Länge einer Abfragezeichenfolge (Bytes):" eine größere Zahl als 2048 eintragen 

a.Hier empfiehlt sich momentan eine Zahl von 4096 oder höher 

Damit die Authentifizierung mittels OAuth an einem lokalen Deployment funktioniert, ist es wichtig, dass die Host-URL der Anwendung richtig eingestellt ist. 

Es muss gewährleistet sein, dass eine Bindung an der Website vorhanden ist, die folgende Merkmale aufweist 

Typ: https 

IP-Adresse: * 

Port: 44368 

SSL-Zertifikat: siehe IIS und HTTPS

 

 

 

 

Nach der Konfiguration erscheint beim Aufruf von  VertiGIS FM folgende Anmeldemaske:

 

Wenn Sie nun auf Login mit OAuth klicken, melden Sie sich mit Ihrer Microsoft-Kennung an und werden dann automatisch angemeldet.

Möchten Sie diese Seite überspringen und den "Login mit Microsoft-Authentifizierung" automatisch aufrufen? Dann verwenden Sie https://meineURL/GeoManLogin.aspx?__EVENTTARGET=LoginWithOAuth