Azure AD Registrierung

<< Zum Inhaltsverzeichnis >>

Navigation:  TreeSize verwenden >

Azure AD Registrierung

Erfordert eine SharePoint Online Seite eine Multi-Faktor-Authentifizierung, führt TreeSize die Authentifizierung Browser-gestützt durch (wie von anderen Azure AD Anwendung bekannt).

Damit TreeSize die Authentifizierung mit Ihrem Azure AD Tenant durchführen kann, müssen Sie die Anwendung zunächst in Ihrem Azure Portal registrieren und die Erlaubnis zum Zugriff auf Office 365 SharePoint Online gewähren:

TreeSize in Ihrem Azure Active Directory registrieren

Bitte beachten Sie, dass die folgenden Schritte außerhalb von TreeSize geschehen und sich durch Weiterentwicklungen seitens Microsoft im Detail verändern können.

1.Melden Sie sich im Azure Portal ein.

2.Wählen Sie in der linken Navigation Alle Dienste und navigieren Sie zu App-Registrierungen (Sie können das Suchfeld auf der Seite verwenden, um den Punkt leichter aufzufinden)

3.Klicken Sie auf Neue Registrierung und erstellen Sie diese wie folgt:
AzureADNewRegistration

Name: Geben Sie hier einen beliebigen Namen an, mit dem Sie die Registrierung im Azure AD identifizieren können, zum Beispiel TreeSize.

Umleitungs-URI: Meistens als RedirectURI, manchmal auch Reply URL angegeben. Wählen Sie hier bitte den Anwendungstypen 'Öffentlicher Client/nativ'.  Da TreeSize MSAL zur Authentifizierung nutzt, verwenden Sie bitte entweder die hierfür vorgegebene Redirect URI, oder definieren Sie Ihre eigene nach den Schema "Meine URI"://auth, z. B. treesize://auth

4.Nach Abschluss der Registrierung (Button 'Registrieren') weist AAD der Anwendung eine Anwendungs-ID zu. Kopieren oder merken Sie sich diesen Wert, er wird im weiteren Verlauf benötigt.

5.Wenn Sie eine benutzerbezogene Anmeldung verwenden, wählen Sie nun in der linken Navigationsliste den Punkt API-Berechtigungen und Sie klicken dort auf Berechtigung hinzufügen. Für die Authentifizierung mittels Zertifikat, siehe Punk 7.

Wählen Sie SharePoint aus.

Konfigurieren Sie die Zugriffsrechte unter Delegierte Berechtigungen und bestätigen Sie die Einstellungen mit einem Klick auf Fertig.

oWird eine Berechtigung hier nicht gewährt, kann ein Nutzer eine mit dieser Berechtigung verknüpfte Aktion mit TreeSize nicht durchführen, selbst wenn er dies in anderen Apps (z.B. dem SharePoint Web Interface) könnte.

oWird eine Berechtigung hier gewährt, die dem angemeldeten Nutzer selbst nicht gewährt ist, kann er Aktionen, die diese Berechtigung benötigen, weiterhin nicht ausführen.

oUm auf SharePoint Seiten zugreifen zu können, wird die Berechtigung allSites.Manage benötigt.

oSoll der Zurgiff nur auf Dokumentbibliotheken eingeschränkt sein, ist die Berechtigung AllSites.Read ausreichend.

oSoll es auch möglich sein alle verknüpften Site Collections zu scannen, wird die Berechtigung 'Run search queries as a user' benötigt.

oZum Schreiben bzw. Hochladen von Dateien, werden ggf. die Rechte 'Read and write user files' und 'Read and write items and lists in all site collections' benötigt.

Klicken Sie abschließend auf Berechtigungen hinzufügen, um die geänderten Berechtigungen auf Ihren Account anzuwenden.

Je nachdem, welche Berechtigungen sie gewählt haben, müssen diese durch einen Administrator bestätigt werden (Administratorzustimmung erteilen)

6.Um SSO für Windows Systeme die einer Domäne angehören (Windows Integrated Auth Flow) oder die über TreeSize eingegebenen Anmeldeinformationen verwenden zu können, muss die Option Öffentliche Clientflows zulassen unter Authentifizierung -> Erweiterte Einstellungen aktiviert sein. Alternativ kann auch direkt im Manifest der Wert von allowPublicCLient auf True gesetzt werden.

    Azure_Advanced_settings

7.Wenn Sie anstelle benutzerbezogene Anmeldeinformationen ein Zertifikat verwenden möchten, damit TreeSize sich gegenüber dem Authentifizierungsdienst identifizieren kann, müssen Sie zunächst ein selbstsigniertes Zertifikat erstellen. Eine Anleitung hierzu finden sie hier. Die dabei erzeugte *.cer Datei müssen Sie  zu Ihrer App-Registrierung unter Zertifikate & Geheimnisse hinzufügen. Anschließend können Sie die *.pfx Datei zur Anmeldung über TreeSize nutzen. Fügen Sie nun unter API-Berechtigungen > Berechtigung hinzufügen > SharePoint > Anwendungsberechtigungen die Berechtigung Sites.Selected hinzu. Die freigegebenen Site Collections müssen zuvor auf Ihrem SharePoint konfiguriert werden. Bitte wenden Sie sich hierzu an Ihren SharePoint Administrator.

Die Konfiguration in TreeSize bekannt machen

Damit TreeSize die erzeugte App-Registrierung nutzen kann, muss die zugewiesene Anwendungs-ID in TreeSize konfiguriert werden. Dies kann auf zwei Wegen erfolgen:

 

Wenn die Einstellungen nur für einen Anwender konfiguriert werden sollen, z.B. um die Einstellungen zu testen oder die Anwendung zu evaluieren, können Sie die Werte einfach über die folgenden Kommandozeilenparameter an TreeSize übergeben. TreeSize speichert diese Informationen, sodass dieser Schritt nur einmalig nötig ist.

o/AADApplicationID gefolgt von der Anwendungs-ID, die der Anwendung vom Azure Portal zugewiesen wurde, z.B. /AADApplicationID xxxxxxxx-yyyy-xxxx-yyyy-xxxxxxxxxxxx, und

o/AADRedirectURI gefolgt von der Umleitungs-URI, die während der Registrierung angegeben wurde, z.B. /AADRedirectURI TreeSize://auth

 

Möchten Sie die Einstellungen als Administrator für eine AD Gruppe in Ihrem Unternehmen bereitstellen, können Sie die Werte über die Windows Registry bzw. als Gruppenrichtlinie verteilen:

1.Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole und wählen Sie die Gruppenrichtlinie, die die Einstellungen enthalten soll.

2.Fügen Sie unter Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung zwei neue Einträge hinzu:

1.Für die Anwendungs-ID:

Struktur: Use HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER

Schlüsselpfad: SOFTWARE\JAM Software\TreeSize

Name: AADApplicationID

Werttyp: REG_SZ

Wertdaten: Geben Sie hier die Anwendungs-ID aus dem AAD ein.

2.Für die Umleitungs-URI:

Struktur: Use HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER

Schlüsselpfad: SOFTWARE\JAM Software\TreeSize

Name: AADRedirectURI

Werttyp: REG_SZ

Wertdaten: Geben Sie hier die Umleitungs-URI ein, wie Sie sie im AAD konfiguriert haben.

 

Benutzerberechtigungen und Berechtigungsstufen in SharePoint Server
Damit ein Anwender SharePoint-Seiten mittels  TreeSize scannen kann, müssen diesem hierzu in SharePoint bestimmte Berechtigungen gewährt werden.

Ein Nutzer benötigt auf den Seiten die er scannen darf eine Berechtigungsstufe, die die Websiteberechtigung "Verzeichnisse durchsuchen" enthält.

Sollen die Standardberechtigungsstufen verwendet werden, benötigt der Nutzer auf diesen Seiten mindestens die Berechtigungsstufe "Mitwirken".

Bitte beachten Sie, dass die Rolle "SharePoint-Administrator" einem Nutzer nicht automatisch Zugriff auf alle Webseiten gewährt. Soll ein SharePoint-Administrator  TreeSize  zum Scannen von SharePoint-Seiten nutzen können, überprüfen Sie bitte auch hier die zugewiesenen Berechtigungsstufen.

Probleme bei der Authentifizierung

Sollte sich ein Nutzer, trotz der vergebenen Berechtigungen, nicht über TreeSize  mit SharePoint verbinden können, überprüfen Sie bitte ob dieser Nutzer eine gültige Office 365 Lizenz besitzt.