Zum Inhalt springen
Knowledgebase

Authentifizierungsmethoden

maXzie bietet drei verschiedene Methoden zur Authentifizierung von Endanwendern an:

  1. Interne Authentifizierung mittels maXzie
  2. OpenID Connect / Microsoft Entra ID
  3. LDAPS / Active Directory

Interne Authentifizierung mittels maXzie

Abschnitt betitelt „Interne Authentifizierung mittels maXzie“

Die Authentifizierung der Endanwender erfolgt ausschließlich über Passwörter, die in den Stammdaten der jeweiligen Personen in maXzie eingegeben werden können.

OpenID Connect / Microsoft Entra ID

Abschnitt betitelt „OpenID Connect / Microsoft Entra ID“

Die Authentifizierung der Endanwender wird mittels eines OpenID Connect-kompatiblen Identity Providers durchgeführt. Sehr häufig kommt Microsoft Entra ID (ehemals Azure Active Directory / Azure AD) zum Einsatz.

Die Anbindung an maXzie ist einfach umsetzbar. Dazu muss der Kunde maXzie als Anwendung im Identity Provider registrieren. Das Verfahren wird hier beispielhaft mit Entra ID gezeigt.

Entra ID App Settings Step 1 Entra ID App Settings Step 2

Der Name kann frei gewählt werden. Als Supported account type sollte Single tenant ausgewählt werden. Für die App muss die RedirectUri https://<MAXZIE_URL>/app/auth-callback eingetragen werden. Dazu muss als Platform Single-page application (SPA) ausgewählt werden.

Entra ID App Settings Step 3

In der in Entra ID neu erstellen App-Registrierung empfehlen wir die Standardeinstellungen auf der Unterseite Authentication zu überprüfen. Inbesondere sollten im Abschnitt Implicit Grant die Häkchen bei Access tokens und ID tokens nicht gesetzt sein. Der Public client flow sollte ebensfall deaktiviert sein.

Entra ID App Settings Step 4

Danach muss auf der Unterseite Expose an API ein neuer Scope angelegt werden (z.B. api://<APPLICATION_ID>/maxzie). Dazu muss evtl. eine neue Application ID URI gesetzt werden (api://<APPLICATION_ID>).

Auf der Unterseite API permissions sind keine Einträge erforderlich.

Entra ID App Settings Step 5

Falls eine Einschränkung des Zugangs zu maXzie über Gruppen stattfinden soll, muss zusätzlich unter Token configuration ein groups-claim hinzugefügt werden.

Entra ID App Group Claim

Die News Innovativ GmbH muss in maXzie folgende Parameter hinterlegen

  • Application (client) ID: <APPLICATION_ID>
  • Authority: https://login.microsoftonline.com/<TENANT_ID>
  • Scope: api://<APPLICATION_ID>/maxzie
  • JwksUri: meistens https://login.microsoftonline.com/<TENANT_ID>/discovery/keys?appid=<APPLICATION_ID>
  • ggf: Namen der Gruppe(n), deren Mitglieder Zugriff zu maXzie haben

und fordert dafür die nötigen Informationen vom Kunden an.

Die JwksUri kann mit https://login.microsoftonline.com/<TENANT_ID>/.well-known/openid-configuration?appid=<APPLICATION_ID> abgefragt werden (Feld jwks_uri).

In maXzie selbst kann dann beim Anlegen eines Mitarbeiters ein Formularfeld Anmeldename ausgefüllt werden. Für Mitarbeiter, denen die Anmeldung in maXzie ermöglicht werden soll, ist hier der Entra ID Nutzername anzugeben.

Beim Anmeldeversuch eines Endanwenders prüft maXzie, ob der angegebene Anmeldename in maXzie bei einem Mitarbeiter konfiguriert ist und ob die Authentifizierung beim Entra ID erfolgreich war. Gegebenenfalls wird zusätzlich geprüft, ob der Mitarbeiter Mitglied in mindestens einer der freigegebenen AD-Gruppen ist. Bei erfolgreicher Anmeldung ist die Sitzung für alle Berechtigungsprüfungen mit dem Mitarbeiter verknüpft, in dessen Stammdaten der verwendete Anmeldename wie beschrieben eingetragen ist.

LDAPS / Active Directory

Abschnitt betitelt „LDAPS / Active Directory“

Die Authentifizierung der Endanwender wird mittels Windows Active Directory per LDAPS durchgeführt.

Der DNS-Name der Windows-Domäne ist AD_DNS, Netbios-Name ist AD_NETBIOS.

Beim Anlegen eines Mitarbeiters in maXzie kann ein Formularfeld Anmeldename ausgefüllt werden. Für Mitarbeiter, denen die Anmeldung in maXzie ermöglicht werden soll, ist hier der Windows Domänennutzername des Mitarbeitenden anzugeben.

Beim Anmeldeversuch eines Endanwenders prüft maXzie, ob der angegebene Anmeldename in maXzie bei einem Mitarbeiter konfiguriert ist und gibt die Anmeldedaten per LDAPS an die Active Directory Server weiter. Bei erfolgreicher Anmeldung ist die Sitzung für alle Berechtigungsprüfungen mit dem Mitarbeiter verknüpft, in dessen Stammdaten der verwendete Anmeldename wie beschrieben eingetragen ist.