AD FS (OIDC)

AD FS (OIDC) kann als externer Anmeldeanbieter für Therefore™ verwendet werden. Der genaue Prozess und die Optionen in der Benutzeroberfläche werden von Microsoft verwaltet und sie können jederzeit von Microsoft geändert werden.

Konfiguration auf dem AD FS-Server

Auf dem AD FS-Server muss eine Anwendungsgruppe erstellt werden.

Stellen Sie sicher, dass die folgenden Einstellungen für die Anwendungsgruppe konfiguriert sind:

Es sind der korrekte Anwendungstyp und die korrekten Umleitungs-URIs (siehe unten) für die Therefore™ Anwendungen eingerichtet, die das externe Benutzerverzeichnis verwenden sollen. Wählen Sie z. B. "Native Anwendung" für den Therefore™ Navigator oder "Webbrowser" für den Therefore™ Web Client.
Bei nativen Anwendungen wird "Autorisierungscode mit PKCE" als Autorisierungsvorgang empfohlen.
Wenn eine Webanwendung konfiguriert ist, müssen die folgenden zulässigen Bereiche für sie eingerichtet sein:

- email

- openid

- profile

Umleitungs-URIs

Für die Konfiguration der Anwendungsgruppe auf dem AD FS-Server sind Umleitungs-URIs für Therefore™-Anwendungen erforderlich. Sie finden diese hier:

Liste der Umleitungs-URIs

Konfiguration in Therefore™

Um AD FS als externen Anmeldeanbieter zu konfigurieren, wählen Sie die Option "AD FS (OIDC)" unter "Externe Benutzerverzeichnisse". Geben Sie die AD FS-Domäne in das Feld "Domäne/Verzeichnisname" ein.

Klicken Sie auf die Schaltfläche "Automatische Erkennung". Das Dialogfeld "OIDC-Erkennungsendpunkt" wird geöffnet. Geben Sie den OIDC-Erkennungs-URL ein und klicken Sie auf "OK". Die restlichen Felder im Dialogfeld werden je nach Ihrer Eingabe automatisch ausgefüllt, mit Ausnahme der Therefore™ Client-ID, die manuell eingegeben werden muss.

Geben Sie die folgenden Werte in die entsprechenden Felder im Dialogfeld von Therefore™ Solution Designer ein:

AD FS-Beschriftung Therefore™-Einstellung Beschreibung

Erkennungs-URL

OIDC-Erkennungsendpunkt

AD FS-Beschriftung	Therefore™-Einstellung	Beschreibung
Erkennungs-URL	OIDC-Erkennungsendpunkt	Geben Sie den OIDC-Erkennungs-URL ein, um die restlichen Felder automatisch auszufüllen. Der URL verwendet das folgende Muster: `https://domain/.well-known/openid-configuration`
Client-ID	Therefore™ Client-ID	Die ID der nativen Anwendung, die auf dem AD FS-Server konfiguriert ist.

Geben Sie den OIDC-Erkennungs-URL ein, um die restlichen Felder automatisch auszufüllen. Der URL verwendet das folgende Muster:

https://domain/.well-known/openid-configuration

Client-ID Therefore™ Client-ID Die ID der nativen Anwendung, die auf dem AD FS-Server konfiguriert ist.

PKCE aktivieren
Wenn PKCE verwendet wird, muss das Kontrollkästchen "PKCE aktivieren" aktiviert sein.