Microsoft Office 365 (OAuth2.0 SSO)

Erfahren Sie mehr über die Funktionen und Konfiguration von Microsoft SSO.

Voraussetzung
Sie müssen Unternehmensadmin bei Flexopus sein.

Anmerkung
Mit dem Microsoft OAuth SSO erlauben Sie grundsätzlich den Login für alle Benutzer auf der Welt, die über einen Microsoft O365 Account verfügen.

Wichtig!
Mit der zusätzliche Einstellungsmöglichkeit "Liste der zulässigen Domains für SSO"  können Sie den Login auf bestimmte E-Mail-Domains beschränken.
Fügen Sie beispielsweise flexopus.com hinzu, um nur ...@flexopus.com E-Mail-Adressen zu erlauben. Es werden nur E-Mail-Adressen und Name übermittelt und keine anderen Benutzerdetails.

Bitte prüfen Sie im Vorfeld, ob Sie diese einfache Konfigurationsvariante nutzen wollen. Wir empfehlen grundsätzlich die Anbindung an Microsoft Azure Active Directory mit SAML2: https://help.flexopus.com/de/integration-microsoft-active-directory

Wie funktioniert Microsoft SSO?

Wir haben eine global registrierte OAuth2-App bei Microsoft. Das bedeutet, dass wir eine eigene App-ID und App-Key haben (Secret). Diese werden genutzt, um Flexopus bei Microsoft zu authentifizieren. Beim ersten Login mit Flexopus muss ein Unternehmensadmin diese App für das Unternehmen freischalten. Dadurch können sich dann Nutzer des Unternehmens einloggen. Flexopus bekommt nach der erfolgreichen Authentifizierung eines Nutzers allerdings lediglich die Standarddaten, wie Name und E-Mail, wie es bei anderen SSO-Anbietern auch der Fall ist.

Wie wird SSO aktiviert?

Wir aktivieren im Rahmen des Setup-Prozesses die Schnittstelle für MS365 SSO bei Ihrer Cloud-Instanz und beschränken die Anmeldemöglichkeit auf E-Mail-Adresse mit der Domain @unternehmen.de. Danach sollten sich Ihre Mitarbeiter*Innen direkt mit ihren MS365-Zugangsdaten authentifizieren können. Bei erstmaliger Anmeldung legt Flexopus automatisch im Backend einen neuen Nutzer mit Name und E-Mail-Adresse an. Diesen können Sie im Nachgang dann noch mit speziellen Rechten (z. B. Office Manager, Admin) belegen oder Nutzergruppen zuordnen. Bei den Folgeanmeldungen findet jeweils eine Prüfung der Authentifizierung statt.

 

Tipp: Sie können den Anmeldeprozess via SSO bereits vorab mit unserer Demo-Instanz prüfen. Rufen Sie dazu die URL demo.flexopus.com auf und klicken Sie auf den Microsoft-Button. Loggen Sie sich anschließend mit Ihren persönlichen MS365-Zugangsdaten ein. Sollte das klappen, sind auch von Ihrer Seite bereits alle Einstellungen passend.

Schritt-für-Schritt-Anleitung

Schritt 1: Microsoft SSO aktivieren

Voraussetzung: Sie müssen Unternehmensadmin bei Flexopus sein.

  1. Als Unternehmensadmin können Sie im Flexopus Adminbereich unter Einstellungen > Single Sign On / Integrationen "Microsoft SSO (OAuth 2.0)" aktivieren.
  2. Mit der Zusatzoption "Use UPN as email" können Sie entscheiden, wie die Benutzerattribute verknüpft werden sollen:
  3. Legen Sie in "Liste der zulässigen Domänen für SSO" die erlaubten Domänen fest. E-Mail-Adressen von nicht eingetragenen Domänen werden danach automatisch von Flexopus abgelehnt.
  4. (optional) Legen Sie in "Vorhandene Nutzer zur Anmeldung auffordern" fest, dass sich Nutzer nur mit einem existierenden Account anmelden können. Nach Aktivierung wird der Anwendungszugriff auf bestehende Nutzerkonten beschränkt. Neue Nutzer müssen manuell hinzugefügt oder über SCIM synchronisiert werden.
  5. Speichern Sie anschließend Ihre Änderungen.
Aktivierung Microsoft SSO (OAuth 2.0)

Schritt 2: Mit Microsoft einloggen

  1. Klicken Sie auf den Microsoft-Button im Login-Bereich von Flexopus.
  2. Geben Sie, um sich erfolgreich einzuloggen, in dem sich darauf öffnenden Anmeldeformular Ihre Microsoft Anmeldedaten ein.
  3. Akzeptieren Sie die angeforderten Berechtigungen von Flexopus.
 
Microsoft-Button im Flexopus Login-Bereich

Microsoft-SSO-png
Anfrage Berechtigungen

R0014