59 lines
3.0 KiB
Markdown
59 lines
3.0 KiB
Markdown
# Anforderungen für Microsoft Entra ID (Azure AD) App-Registrierung [31388f42]
|
|
|
|
## 1. Projektübersicht
|
|
Um den Zugriff auf die interne **Gemini Business Suite** (KI-gestützte Tools für Marketing, Sales und Datenanalyse) abzusichern, soll eine Authentifizierung über Microsoft OAuth2 (Entra ID) implementiert werden. Dies ermöglicht den Mitarbeitern einen sicheren Single-Sign-On (SSO) mit ihren bestehenden Unternehmenskonten.
|
|
|
|
**Verantwortliches Administratorkonto:** `info@robo-planet.de`
|
|
|
|
## 2. Technische Anforderungen an die App-Registrierung
|
|
|
|
Bitte registrieren Sie eine neue Anwendung im Microsoft Entra ID (Azure AD) Portal mit den folgenden Parametern:
|
|
|
|
### 2.1 Grundkonfiguration
|
|
* **Name der Anwendung:** Gemini Business Suite (oder nach IT-Vorgabe)
|
|
* **Anwendungstyp:** Webanwendung
|
|
* **Unterstützte Kontotypen:** Nur Konten in diesem Organisationsverzeichnis (Single Tenant)
|
|
|
|
### 2.2 Redirect-URIs (WICHTIG)
|
|
Die Anwendung benötigt die folgenden Redirect-URIs für den Authentifizierungsprozess. Da die Produktionsumgebung rein intern läuft, sind hier interne Hostnames zulässig.
|
|
|
|
* **Entwicklung (Aktuell):** `http://floke-ai.duckdns.org:8090/auth/callback`
|
|
* **Produktion (Intern):** `http://<INTERNE-IP-ODER-HOSTNAME>:8090/auth/callback`
|
|
*(Bitte den internen Hostnamen/IP des Linux-Servers eintragen, sobald verfügbar)*
|
|
* **Lokal (Fallback):** `http://localhost:8090/auth/callback`
|
|
|
|
### 2.3 API-Berechtigungen (Scopes)
|
|
Die Anwendung benötigt lediglich Lesezugriff auf das Basisprofil des Benutzers, um die Identität zu verifizieren:
|
|
* `Microsoft Graph` -> `Delegierte Berechtigungen` -> `User.Read`
|
|
* `openid`
|
|
* `profile`
|
|
* `email`
|
|
|
|
### 2.4 Authentifizierungsmethode
|
|
* **Client Secret:** Es wird ein "Client Secret" für die sichere serverseitige Authentifizierung benötigt.
|
|
* **ID-Tokens:** Bitte aktivieren Sie die Ausstellung von ID-Tokens für Hybrid-Flows (falls erforderlich).
|
|
|
|
## 3. Netzwerk & Firewall (Wichtig für Produktion)
|
|
|
|
Da der Produktionsserver isoliert im internen Netz läuft, beachten Sie bitte folgende Firewall-Regeln:
|
|
|
|
1. **Eingehend (Ingress):**
|
|
* Es ist **KEIN** Zugriff aus dem Internet auf den Server erforderlich.
|
|
* Der Server muss lediglich für die internen Mitarbeiter (Client-Browser) erreichbar sein (Port 8090/HTTP).
|
|
|
|
2. **Ausgehend (Egress):**
|
|
* Der Server (Backend) benötigt ausgehenden Zugriff auf **Port 443 (HTTPS)** zu folgenden Microsoft-Diensten, um Token zu validieren:
|
|
* `login.microsoftonline.com`
|
|
* `graph.microsoft.com`
|
|
|
|
## 4. Benötigte Informationen von der IT
|
|
Nach der erfolgreichen Registrierung benötigen wir die folgenden Informationen, um die Anwendung zu konfigurieren:
|
|
|
|
1. **Anwendungs-ID (Client ID):** `______________________________________`
|
|
2. **Verzeichnis-ID (Tenant ID):** `______________________________________`
|
|
3. **Client-Geheimnis (Client Secret):** `______________________________________` (Bitte sicher übermitteln)
|
|
|
|
---
|
|
*Erstellt am: 26. Februar 2026*
|
|
*Task-ID: [31388f42]*
|