MS Azure AD über OAuth

Einführung MS Azure AD über OAuth

Das CRM+ Add-on „MS Azure AD über OAuth“ ermöglicht die OAuth Anmeldung an das CRM mittels eines Office365 Kontos.
Bei OAuth handelt es sich um ein offenes Sicherheitsprotokoll für die tokenbasierte Autorisierung und Authentifizierung im Internet.
Die Anmeldedaten - insbesondere das Passwort - werden dabei nicht in der Datenbank von CRM+ gespeichert.

Definition

Microsoft Azure ist eine Cloud-Computing-Plattform von Microsoft, welche Anwendungen und Datenbanken zur Verfügung stellt, die netzbasiert genutzt werden können.
Der Enterprise-Identitätsdienst Azure Active Directory (Azure AD) bietet Single Sign-On (SSO) und mehrstufige Authentifizierung (Multi-Factor Authentication).

Das Add-on „MS Azure AD“ gehört nicht zum Standardumfang von CRM+, kann jedoch separat erworben werden.

Für weitere Informationen hierzu besuchen Sie bitte unsere Webseite unter brainformatik.com oder kontaktieren uns per E-Mail/Telefon.

Aktivierung und Konfiguration

Aktivierung

Bemerkung

Add-ons werden nach dem Erwerb i.d.R. von der Brainformatik GmbH aktiviert.

Grundsätzlich können Add-ons aber auch durch Kunden aktiviert werden.
Damit Sie selbst ein Add-on aktivieren können, benötigen Sie einen passenden Aktivierungscode. Nach dem Erwerb des Add-ons erhalten Sie einen Aktivierungscode, welcher zur Aktivierung in den Globalen Einstellungen im Punkt Add-on Manager benötigt wird.

Globale Einstellungen - Add-on Manager

Konfiguration in MS Azure AD

Das OAuth 2.0 Anmeldeverfahren muss im Microsoft Azure Active Directory Server konfiguriert sein. Weitere Einstellungen in MS Azure AD müssen ansonsten nicht vorgenommen werden.

Konfiguration in CRM+

Nach Aktivierung des Add-ons muss lediglich die Authentifizierungsart über die Globalen Einstellungen auf Azure AD geändert und bei den Benutzern die E-Mail Adressen für den Azure AD hinterlegt werden.

Der Einstellungspunkt „Authentifizierungsart“ befindet sich im Bereich „Benutzerverwaltung“:

Globale Einstellungen - Benutzerverwaltung

Der Einstellungspunkt „Authentifizierungsart“ stellt sich wie folgt dar:

Globale Einstellungen - Authentifizierungstyp

Es sind hier zwei Einstellungsbereiche verfügbar:

  • Konfiguriere Authentifizierungstyp

  • MS Azure AD Konfiguration

Konfiguriere Authentifizierungstyp

Bei aktiviertem Add-on „MS Azure AD über OAuth“ sind in der Auswahlliste „Authentifizierungstyp“ drei Werte verfügbar:

  • SQL - Für den Login wird der Benutzername und das Passwort (verschlüsselt) in der CRM Datenbank gespeichert.

  • LDAP - Benutzerauthentifizierung über ein LDAP-Verzeichnis. Siehe hierzu Abschnitt LDAP im Handbuch.

  • MS Azure AD über OAuth - Anmeldung an CRM+ mittels eines Office365 Kontos.

Globale Einstellungen - Authentifizierungstyp

MS Azure AD Konfiguration

In diesem Einstellungspunkt werden die CRM Benutzer festgelegt, welche sich weiterhin über den Authentifizierungstyp „SQL“ anmelden sollen.
Siehe hierzu auch den Abschnitt Login ohne MS Azure AD über OAuth im Handbuch.

Bemerkung

Für den Benutzer „admin“ ist der Authentifizierungstyp „SQL“ fest hinterlegt und kann auch nicht geändert werden.

Benutzereinstellungen

Bei aktiviertem Add-on „MS Azure AD über OAuth“ ist in den Benutzereinstellungen das Feld „Azure AD E-Mail“ verfügbar, in welchem die E-Mail Adresse hinterlegt werden muss, welche zur Anmeldung genutzt wird:

MS Azure AD - Benutzereinstellungen

Warnung

Die beim Benutzer hinterlegte E-Mail Adresse im Feld „Azure AD E-Mail“ muss für dieses Feld systemweit einzigartig sein.

Ist für einen Benutzer der Authentifizierungstyp „MS Azure AD über OAuth“ konfiguriert, wird beim Feld „Passwort“ der Wert „MS Azure AD Anmeldeprozess“ angezeigt.
Der Button „Passwort ändern“ steht nicht mehr zur Verfügung.

Login-Prozess

Bei aktiviertem Add-on „MS Azure AD über OAuth“ stellt sich die Loginseite wie folgt dar:

CRM MS Azure Loginseite

Erstmaliger Login

Beim ersten Login wird nach dem Anklicken des Buttons „MS Azure AD Login“ autom. ein weiteres Browserfenster geöffnet, in welchem die Anmeldedaten (E-Mail Adresse und Passwort) des Microsoft-Kontos eingetragen werden müssen.

Eingabe der E-Mail Adresse:

Browseranmeldung MS Konto Step 1

Eingabe des Kennworts:

Browseranmeldung MS Konto Step 2

Abfrage „Angemeldet bleiben?“:

Browseranmeldung MS Konto Step 3

Nach der abschließenden Bestätigung wird der Login in CRM+ ausgeführt.

Künftige Logins

Solange die OAuth Authentifizierung gültig ist, muss der Benutzer für künftige Logins lediglich den Button „MS Azure AD Login“ anklicken, ohne nochmals die Anmeldedaten (E-Mail Adresse und Passwort) des Microsoft-Kontos eintragen zu müssen.

Login ohne MS Azure AD über OAuth

In Globale Einstellungen - Authentifizierungsmethode können beim Einstellungspunkt „MS Azure AD Konfiguration“ CRM Benutzer festgelegt werden, welche sich weiterhin über den Authentifizierungstyp „SQL“ anmelden sollen.

Globale Einstellungen - SQL Benutzer

Bemerkung

Für den Benutzer „admin“ ist der Authentifizierungstyp „SQL“ fest hinterlegt und kann nicht geändert werden.

Alle CRM Benutzer, welche sich weiterhin über den Authentifizierungstyp „SQL“ anmelden, müssen auf der Loginseite den Button „Login wechseln“ anklicken:

CRM MS Azure Loginseite

Nach dem Anklicken werden die Eingabefelder für Benutzername und Passwort eingeblendet:

CRM SQL Loginseite

Nach der Eingabe des CRM+ Benutzernamens sowie des CRM+ Passworts und dem Anklicken des Buttons „Login“ wird der Login in CRM+ ausgeführt.

Warnung

Die Nutzung der Mobile App für CRM Benutzer, für die der Authentifizierungstyp „MS Azure AD über OAuth“ eingestellt ist, ist in Verbindung mit „MS Azure AD“ leider nicht möglich. Es können lediglich Benutzer die Mobile App nutzen, bei der die Authentifizierung als sog. „SQL-Benutzer“ hinterlegt ist.

Fehlerbehandlung

In Ausnahmefällen kann es zu einem Fehler während des Anmeldeverfahrens kommen. Die Ursache kann hier seitens des Microsoft Azure Active Directory Servers oder am CRM+ Loginprozess liegen.

Ursache Microsoft Azure Active Directory

Bei einem Fehler während es Authentifizierungsprozesses am Microsoft Azure Active Directory Servers wird die Fehlermeldung direkt vom Active Directory Server zurückgegeben.
Wenden Sie sich bitte in diesem Fall an Ihren CRM+ Administrator, bzw. den Verantwortlichen des Microsoft Azure Active Directory Servers.

Ursache CRM+ Loginprozess

Konnte der Login Prozess am Microsoft Azure Active Directory Server erfolgreich abgeschlossen werden, kann es innerhalb des CRM+ Loginprozesses ebenfalls zu Fehlern kommen.
Für die Fehler, die innerhalb des CRM+ Loginprozesses auftreten ist ein Logging integriert, über welches der Administrator des CRM+ Systems Detailinformationen abrufen kann. Alle Fehlermeldungen werden in der Datei „azure_ad.log“ protokolliert.
Benutzer mit administrativen Rechten können diese Logdatei in Globale Einstellungen - Logs verwalten einsehen.

Folgende Fehler werden in der Logdatei protokolliert:

  • Fehlercode: 1597335037
    Beschreibung: Die Azure AD E-Mail in der Microsoft Azure Active Directory Server Genehmigung ist bei keinem CRM+ Benutzer hinterlegt.
  • Fehlercode: 1597335049
    Beschreibung: Die Azure AD E-Mail in der Microsoft Azure Active Directory Server Genehmigung ist mehr als einem Benutzer CRM+ Benutzer zugewiesen.
  • Fehlercode: 1597335055
    Beschreibung: Der Benutzer mit der Azure AD E-Mail in der Microsoft Azure Active Directory Server Genehmigung ist nicht für diesen Prozess aktiviert.
  • Fehlercode: 1597335061
    Beschreibung: Die Azure AD E-Mail in der Microsoft Azure Active Directory Server Genehmigung gehört zu einem Benutzer, dessen Status „Inaktiv“ ist.