...
Name | Beschreibung |
---|---|
Security.Identity.AzureAd.Common.Instance | Die Basis-URI der zu verwendenden Azure AD-Instanz. In der Regel muss hier der Wert “https://login.microsoftonline.com/“ stehen. |
Security.Identity.AzureAd.Common.Domain | Der Name der Domäne deren Benutzer sich anmelden dürfen (z. B. “galileo-group.de” oder “mycompany.com”). |
Security.Identity.AzureAd.Common.TenantId | Die Tenant ID des zugehörigen Microsoft Tenants. Diese wurde in den Schritten zur Azure AD Konfiguration ermittelt. |
Security.Identity.AzureAd.Backend.ClientId | Die Client ID der im Azure AD registrierten App für den Connect Server. |
Security.Identity.AzureAd.Backend.Audience | Die URI des bei der Azure AD Konfiguration angelegten Scopes ohne “/API.Access”. |
Security.Identity.AzureAd.Frontend.ClientId | Die Client ID der im Azure AD registrierten App für das Connect Server Frontend. |
Security.Identity.AzureAd.Frontend.Scope | Die URI des bei der Azure AD Konfiguration angelegten Scopes. |
Nach dem Ändern der Konfiguration wird eine angepasste Version der Startseite für die WebAssembly-basierte GUI generiert, welche andere JavaScript-Bibliotheken referenziert. Da der Browser beim nächsten Aufruf evtl. eine alte Version dieser Seite aus dem Browser-Cache verwendet, kann dies zu Fehlern bei der Ausführung von JavaScript-Code führen. Erzwingen Sie in diesem Fall die Aktualisierung der zwischengespeicherten Seite, indem sie die Shift Taste gedrückt halten, während Sie im Browser auf die Schaltfläche zur Aktualisierung der Seite klicken.
Verwendung von Basic Authentication für Connections
Sollen einzelne Connection über den Server Handler HttpBasicAuthenticationHandler mit einer Authentifizierung versehen werden, so sind bei der Verwendung von Azure AD einige Dinge zu beachten:
Die App Registrierung für die Server Applikation muss dahingehend angepasst werden, dass eine Anmeldung mittels Benutzer und Passwort möglich ist. Aktivieren Sie hierfür unter Authentifizierung → Erweiterte Einstellungen die Option “Öffentliche Clientflows zulassen”.
Für den verwendeten Benutzer darf die Zwei-Faktor-Authentifizierung nicht aktiv sein, da diese eine Anmeldung mittels Benutzername und Passwort verhindert.
Der verwendete Benutzer muss sich bereits mindestens einmal erfolgreich am Backend des Connect Servers (URI …/server) angemeldet und den angeforderten Berechtigungen zugestimmt haben.
Derzeit wird lediglich die Kombination von Benutzer und Passwort hinsichtlich Gültigkeit geprüft. Die Anforderung spezifischer Scopes wird ggf. in späteren Versionen des Connect Servers ermöglicht.
Insbesondere bei einem öffentlich erreichbaren Connect Server stellen die oben beschriebenen Konfigurationsänderungen eine Schwächung der Sicherheit dar, weshalb Risiko und Nutzen dieses Szenarios sorgfältig gegeneinander abgewogen werden sollten.