Floke/Brancheneinstufung2
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
28d1cf0bf05afd4e3b7d6dc0b3037950b2a8a57e
Brancheneinstufung2/docs/ANFORDERUNGEN_IT_OAUTH.md

3.0 KiB
Raw Blame History

Anforderungen für Microsoft Entra ID (Azure AD) App-Registrierung [31388f42]

1. Projektübersicht

Um den Zugriff auf die interne Gemini Business Suite (KI-gestützte Tools für Marketing, Sales und Datenanalyse) abzusichern, soll eine Authentifizierung über Microsoft OAuth2 (Entra ID) implementiert werden. Dies ermöglicht den Mitarbeitern einen sicheren Single-Sign-On (SSO) mit ihren bestehenden Unternehmenskonten.

Verantwortliches Administratorkonto: info@robo-planet.de

2. Technische Anforderungen an die App-Registrierung

Bitte registrieren Sie eine neue Anwendung im Microsoft Entra ID (Azure AD) Portal mit den folgenden Parametern:

2.1 Grundkonfiguration

  • Name der Anwendung: Gemini Business Suite (oder nach IT-Vorgabe)
  • Anwendungstyp: Webanwendung
  • Unterstützte Kontotypen: Nur Konten in diesem Organisationsverzeichnis (Single Tenant)

2.2 Redirect-URIs (WICHTIG)

Die Anwendung benötigt die folgenden Redirect-URIs für den Authentifizierungsprozess. Da die Produktionsumgebung rein intern läuft, sind hier interne Hostnames zulässig.

  • Entwicklung (Aktuell): http://floke-ai.duckdns.org:8090/auth/callback
  • Produktion (Intern): http://<INTERNE-IP-ODER-HOSTNAME>:8090/auth/callback (Bitte den internen Hostnamen/IP des Linux-Servers eintragen, sobald verfügbar)
  • Lokal (Fallback): http://localhost:8090/auth/callback

2.3 API-Berechtigungen (Scopes)

Die Anwendung benötigt lediglich Lesezugriff auf das Basisprofil des Benutzers, um die Identität zu verifizieren:

  • Microsoft Graph -> Delegierte Berechtigungen -> User.Read
  • openid
  • profile
  • email

2.4 Authentifizierungsmethode

  • Client Secret: Es wird ein "Client Secret" für die sichere serverseitige Authentifizierung benötigt.
  • ID-Tokens: Bitte aktivieren Sie die Ausstellung von ID-Tokens für Hybrid-Flows (falls erforderlich).

3. Netzwerk & Firewall (Wichtig für Produktion)

Da der Produktionsserver isoliert im internen Netz läuft, beachten Sie bitte folgende Firewall-Regeln:

  1. Eingehend (Ingress):

    • Es ist KEIN Zugriff aus dem Internet auf den Server erforderlich.
    • Der Server muss lediglich für die internen Mitarbeiter (Client-Browser) erreichbar sein (Port 8090/HTTP).

  2. Ausgehend (Egress):

    • Der Server (Backend) benötigt ausgehenden Zugriff auf Port 443 (HTTPS) zu folgenden Microsoft-Diensten, um Token zu validieren:
      • login.microsoftonline.com
      • graph.microsoft.com

4. Benötigte Informationen von der IT

Nach der erfolgreichen Registrierung benötigen wir die folgenden Informationen, um die Anwendung zu konfigurieren:

  1. Anwendungs-ID (Client ID): ______________________________________
  2. Verzeichnis-ID (Tenant ID): ______________________________________
  3. Client-Geheimnis (Client Secret): ______________________________________ (Bitte sicher übermitteln)

Erstellt am: 26. Februar 2026 Task-ID: [31388f42]

Reference in New Issue View Git Blame Copy Permalink