Skip to main content
Inhaltsverzeichnis

Verzeichnisdienste (AD, Entra ID / Azure) und Single Sign On

Allgemeines. Sie können ein MS Active Directory über LDAP verbinden, eine Verbindung mit einem Microsoft Azure Active Directory herstellen oder eine Authentifizierung per SAML einrichten.

Dennis Reichle
geändert von Dennis Reichle

Allgemeines

In diesem Bereich können verschiedene Profile für unterschiedliche Zwecke eingerichtet werden:

Anwendungszweck

Verfügbarkeit

Azure

Anbindung von MS Entra ID (Azure AD) und SSO

Bei SaaS (Cloud-Lösung) ist diese Funktion nach der Lizenzierung ab dem 01.02.2023 in der Basis-Lizenz enthalten. Bei On Premises ist das Zusatzmodul Azure / AD erforderlich.

SaaS & On Premises

Azure

Authentifizierung von Exchange-Profilen in den E-Mail Einstellungen

SaaS & On Premises

LDAP

Anbindung eines MS Active Directory

Hierfür ist das Zusatzmodul LDAP / AD erforderlich.

On Premises

SAML

Anbindung eines externen Identitätsanbieters für die Authentifizierung von SmartProcess-Benutzern (SSO)

SaaS & On Premises

Azure-Profil erstellen

Azure für die Verbindung zu SmartProcess vorbereiten

Um ein Microsoft Azure Profil verbinden zu können, muss SmartProcess als App im Entra ID registriert werden.

  1. Loggen Sie sich als Administrator in Ihrem Azure Portal ein.
  2. Navigieren Sie zu Ihrem Active Directory.
  3. Klicken Sie unter App-Registrierung auf den Button <Neue Registrierung>.
  4. Definieren Sie einen Namen und die Redirect URL zu Ihrer SmartProcess Instanz. (Z.b.: "https://companyname.smartprocess.com/smartprocess". und klicken Sie auf <Register>
  5. Erstellen Sie ein Passwort für die App indem Sie in das Menü Zertifikate & Geheimnisse wechseln und den Button <Neuer geheimer Clientschlüssel> klicken.
    1. Fügen Sie app_secret in das Beschreibungsfeld ein. Wählen Sie unter 'Gültig bis' ein für Sie geeignetes Ablaufdatum aus. Vor Erreichen des Ablaufdatums, erstellen Sie bitte einen neuen Schlüssel und tragen in unbedingt in ihr Azure-Profil im SmartProcess ein, damit der Dienst nicht deaktiviert wird.
    1. Kopieren Sie nun das generierte Password und speichern Sie es sich in einer Textdatei.
      Sie benötigen dieses Passwort später für die Einrichtung des Profils.

Azure-Profil für AD-Anbindung

Ein Azure Profil kann gleichzeitig für die Exchange Authentifizierung und die Benutzersynchronisation mit dem AD verwendet werden.

Zur erfolgreichen Anbindung müssen für die registrierte SmartProcess-App im Azure Portal API-Berechtigungen erteilt werden.

  1. Wechseln Sie im Azure Portal in das Menü API-Berechtigungen und wählen + Neue Berechtigung hinzufügen
  1. Wählen Sie Microsoft Graph
  1. Wählen Sie Anwendungsberechtigungen und anschließend die Berechtigungen Group.Read.All und User.Read.All. Bestätigen Sie die Auswahl per Berechtigungen hinzufügen.
  1. Wählen Sie in der anschließenden Übersicht Administratorzustimmung für "CWA GmbH" erteilen, um
CWA ist dabei der Registrierungsname, den Sie im Azure Portal vergeben haben.
  1. Als Ergebnis wird der gewährte Zugriff in der Übersicht der konfigurierten Berechtigungen bestätigt.
  1. Nun können Sie in den SmartProcess Einstellungen ein neues Entra ID (Azure) Profil erstellen.

Feld

Beschreibung

Typ

Typ des Verzeichnisses.

Bestimmt sich automatisch durch die vorherige Auswahl

Account Name

Frei zu wählender Name

Anwendungs-Id

Aus Azure Account zu übertragene Application (client) ID

Anwendungs-Secret

Aus Azure Account generiertes Passwort (Secret)

Ablaufdatum Anwendungs-Secret

Vier Wochen vor Erreichen des Datums wird eine Infomail an alle Personen versendet, die die Berechtigung haben, das Profil zu pflegen.

Domäne

Aus dem Azure Account

Authority URL

https://login.microsoftonline.com/

Dieser Eintrag kann unverändert bleiben

Nur Mitglieder folgender Gruppe (Objekt ID)

Falls man User nur aus bestimmter Entra ID-Gruppe erlauben will, können diese hier definiert werden.

Gruppe für Organigramm-synchronisation (Objekt ID)

Alle in dieser Entra ID-Gruppe enthaltenen Gruppen werden eingelesen, um daraus die Organigrammstruktur in SmartProcess abzubilden.

Org.-Einheiten werden nicht automatisch in SmartProcess gelöscht, wenn das Gegenstück im Entra ID nicht mehr enthalten ist.

Gruppe für Rollen-synchronisation (Objekt ID)

Alle in dieser Entra ID-Gruppe direkt enthaltenen Rollen werden eingelesen, in das Rollenverzeichnis von SmartProcess übernommen und die User entsprechend den Rollen zugeordnet.

Rollen werden nicht automatisch in SmartProcess gelöscht, wenn das Gegenstück im Entra ID nicht mehr enthalten ist.

SSO aktivieren

Wenn die Anmeldung über Azure aktiv ist, kann über diesen Button ein Single Sign-On aktiviert werden. Ein Benutzer muss bei der Anmeldung an SmartProcess seine Zugangsdaten nicht mehr erneut eingeben. Es wird ein Button angezeigt, über den man sich mit seinem Azure Account an SmartProcess anmelden kann.

Benutzer automatisch anmelden

Automatische Anmeldung über Windows. Diese Option funktioniert nur, wenn die Benutzer nur über Azure zugelassen werden, weil die normale Anmeldeseite nicht erscheint. Ansonsten erscheint die oben angezeigte Anmeldemaske.

Automatischer Import

Neue Benutzer werden automatisch nachts importiert. Ansonsten kann die Übernahme der Benutzer manuell über die Benutzerverwaltung erfolgen.

Für jeden neuen Benutzer wird eine neue Org.-Einheit in der festgelegten Hauptorganisationseinheit (s.u.) im Organigramm angelegt, zu der die Person zugeordnet wird.

Berechtigungsprofile

Standard Berechtigungsprofil für neue Benutzer (Sowohl bei automatischem Import als auch beim manuellen Hinzufügen über die Benutzerverwaltung).

Hauptorganisationseinheit

Hauptorganisationseinheit für automatisch importierte, neue Benutzer.

Zwingend erforderlich, wenn der automatische Import genutzt werden soll.

Berechtigungsprofile anhand der Gruppenzuordnung ermitteln

Bei der Synchronisation mit dem AD oder Entra ID, wird pro Benutzer geprüft in welchen AD-Gruppen er Mitglied ist.

Dabei wird für jeden Gruppen-Namen geprüft, ob es ein Berechtigungsprofil in SmartProcess gibt, das genauso heißt und wenn es der Fall ist wird das passende Berechtigungsprofile zugewiesen.

Beispiel:

Benutzer ist im AD folgenden Gruppen zugewiesen: Verkauf, Administration, Bearbeiter, Viewer, Standortleitung.

In SmartProcess gibt es folgende Berechtigungsprofile:
- Administrator
- Bearbeiter
- Prozessdesigner
- Viewer
- Dokumentenbearbeiter

Bei der Synchronisation würde der Bearbeiter folgende Berechtigungsprofile erhalten:
- Bearbeiter
- Viewer

Aktiv

Über diese Checkbox können Sie den Verzeichnisdienst aktiv oder inaktiv stellen

Azure-Profil für Exchange-Autorisierung

Zur erfolgreichen Anbindung müssen für die registrierte SmartProcess-App im Azure Portal API-Berechtigungen erteilt werden.

  1. Wechseln Sie im Azure Portal in das Menü API-Berechtigungen und wählen + Neue Berechtigung hinzufügen
  1. Wählen Sie Microsoft Graph
  1. Wählen Sie Anwendungsberechtigungen und durchsuchen die Berechtigungen anschließend nach dem Schlagwort Mail. Wählen Sie die Berechtigungen Mail.ReadWrite und Mail.Send und bestätigen die Auswahl per Berechtigungen hinzufügen.
Die API Berechtigungen lassen für die Anwendung den Zugriff auf alle Mailboxen des Mandanten zu. Wir empfehlen den Zugriff im Exchange über eine ApplicationAccessPolicy einzuschränken und nur für die in der Anwendung verwendeten Mail-Konten freizugegeben.

https://learn.microsoft.com/graph/auth-limit-mailbox-access
  1. Wählen Sie in der anschließenden Übersicht Administratorzustimmung für "CWA GmbH" erteilen.
"CWA GmbH" ist dabei der Registrierungsname, den Sie im Azure Portal vergeben haben.
  1. Als Ergebnis wird der gewährte Zugriff in der Übersicht der konfigurierten Berechtigungen bestätigt.
  1. Anschließend kann in SmartProcess das Azure-Profil angelegt werden. Ohne Zusatzmodul LDAP / AD werden folgende Daten verlangt.

Feld

Beschreibung

Typ

Typ des Verzeichnisses -> Bestimmt sich automatisch durch die vorherige Auswahl

Account Name

Frei zu wählender Name

Anwendungs-Id

Aus Azure Account zu übertragene Application (client) ID

Anwendungs-Secret

Aus Azure Account generiertes Passwort (Secret)

Domäne

Aus dem Azure Account

Authority URL

https://login.microsoftonline.com/

Dieser Eintrag kann unverändert bleiben

Das so konfigurierte Azure-Profil kann in SmartProcess nun beim Erstellen eines Exchange-Profils in den E-Mail Einstellungen zur Authentifizierung ausgewählt werden.

Allgemeines zur Active Directory Synchronisation

Sie können Benutzer synchronisieren und Organisationseinheiten mit dem MS Active Directory (AD) oder mit MS Entra ID übernehmen. Es ist die automatische Übernahme der Gruppen aus dem Entra ID sowohl als Rolle als auch als Organisationseinheiten inklusive vollständiger Hierarchie möglich.

In einem Active Directory werden Benutzer in einem Unternehmen zentral verwaltet.

  • Benutzer und Organisationseinheiten können aus dem AD oder Entra ID ins SmartProcess übernommen werden.
  • Benutzer aus dem AD und Entra ID werden einmal pro Nacht synchronisiert. Zu den synchronisierten Daten gehören neben dem Benutzernamen auch das Bild (nur AD), die Mobilfunknummer, der Titel sowie die Position des Benutzers.
  • Benutzer werden automatisch gelöscht, wenn sie nicht mehr im AD oder Entra ID sind. Dies betrifft auch Benutzer, die im AD oder Entra ID deaktiviert wurden.
    Wurde ein Benutzer in SmartProcess gelöscht, weil er im AD oder Entra ID deaktiviert wurde, wird er durch die Synchronisierung automatisch wiederhergestellt, wenn er im AD oder Entra ID wieder aktiviert wird.
  • Die Benutzer können mit Standard-Berechtigungen aus dem AD oder Entra ID übernommen werden oder man weist dem Benutzer manuell eine Berechtigung und Org.-Einheit zu. Wenn Org.-Einheiten im AD oder Entra ID vorhanden sind, die der Organisationsstruktur im SmartProcess entsprechen, können die Org.-Einheiten aus dem AD oder Entra ID ins SmartProcess übernommen werden.
  • SSO – Bei der Installation kann eingestellt werden, dass die Benutzer aus dem AD oder Entra ID über ein Single Sign On ohne separate Anmeldung das SmartProcess aufrufen können (bei Windows-Systemen).
Über die Buttons <Neues LDAP Profil erstellen> für AD, <Neues Azure Profil erstellen> und <Neues SAML Profil erstellen> können Sie die passenden Felder für die Profiltypen anzeigen.

LDAP-Profil erstellen

Parameter für die Einstellung (Neues LDAP Profil erstellen):

Account Name

Der Name des Accounts unter dem dieses Profil angezeigt wird

Server Name / IP

Der Host Name bzw. die IP Adresse des LDAP Servers

Server Port

Der Port auf dem der Server lauscht

Suchbasis

Zweig bzw. Verzeichnis in dem gesucht werden soll

Benutzer

Der Name, um sich beim LDAP Server anzumelden

Passwort

Das Passwort, um sich beim LDAP Server anzumelden

User Filter

Die LDAP Klasse für die Benutzerdaten

Group Filter

Die LDAP Klasse für die Daten der Organisationseinheiten / Gruppen

Userfeld für zusätzliche Gruppe

Mit diesem Feld kann SmartProcess automatisch Abteilungen in den Organisationseinheiten / Gruppen anlegen.

SAML-Profil erstellen

Mit der SAML 2.0 - Unterstützung (Security Assertion Markup Language) kann SmartProcess so konfiguriert werden, dass mithilfe von SAML 2.0 ein externer Identitätsanbieter (IdP) für die Authentifizierung (Single Sign On) von Benutzern verwendet wird.

Frei definierbarer Name für das Profil.

Daten zum Dienstanbieter (SmartProcess) zur Info und Konfiguration des Identiätsanbieters.

Daten, die vom Identitätsanbieter kommen:

  • ID und Anmelde-URL des Identitätsanbieters sollten aus der Konfigurationsoberfläche auszulesen sein und müssen dann hier eingetragen werden (Pflichtfelder).
  • Ebenso sollte sich dort der öffentliche Schlüssel als X.509-Datei herunterladen lassen (alternativ funktioniert auch Base64). Dieser muss dann hier hochgeladen werden (Pflichtfeld).

Bei automatischer Anmeldung wird die Anmeldeseite von SmartProcess übersprungen und User landen direkt auf der Startseite.

Das Profil muss aktiv sein, damit es von SmartProcess berücksichtigt wird.

Da es eine Vielzahl von Identitätsanbieter-Lösungen gibt, verweisen wir an dieser Stelle auf einige von deren eigenen Hilfeeinträgen:

Registrierung von SmartProcess als SAML Anwendung am Beispiel von Entra ID

  1. Melden Sie sich in Ihrem Azure Portal als Administrator an und öffnen Sie Ihr Active Directory / Unternehmensanwendung.
  2. Klicken Sie auf <Neue Anwendung> und dann <Eigene Anwendung erstellen>.
  3. Vergeben Sie einen Namen und wählen sie die unterste Option.
  4. Wählen Sie <Single Sign on einrichten> und als Methode "SAML".
  5. Bearbeiten Sie die Basis SAML Konfiguration und fügen Sie die Daten aus dem SmartProcess SAML Profil ein. (Falls noch nicht geschehen, sollten Sie jetzt in SmartProcess den Button <Neues SAML Profil erstellen> anklicken. Von dort können Sie nun die Daten aus den Feldern "ID Dienstanbieter" und "Antwort-URL Dienstanbieter" kopieren und übertragen.)
  6. Laden Sie das SAML Signaturzertifikat herunter und laden Sie es im SmartProcess SAML Profil im Feld "X.509-Zertifikatsdatei hochladen" hoch.
  7. Übertragen Sie nun noch die Azure-Daten aus den Feldern Login URL und Entra ID Identifier ins SmartProcess SAML Profil in die Felder "Login URL identity provider" und "ID identity provider".
  8. Nachdem Sie abschließend Benutzer bzw. Gruppen der Anwendung in Entra ID zugeordnet haben, können Sie die Funktion testen.

War der Artikel hilfreich?

Nichtverfügbarkeit für Vorgänge für Termine

Benutzer-Benachrichtigungen

Kontakt