Du kannst pixx.io mit Microsoft Entra ID verknüpfen und dich per SSO einloggen
Kurz gesagt:
Mit der Anbindung von pixx.io an deine Microsoft Entra ID (ehemals Microsoft Azure Active Directory) kannst du bestehende Nutzer inklusive Rechtestruktur für den pixx.io-Login nutzen. Wir erläutern hier, wie die Anbindung und die Einrichtung funktionieren. Außerdem erklären wir die Einrichtung für den Single-Sign-On.
Wer kann diese Funktion nutzen:
Hier lernst du:
Wie wird pixx.io im Entra-Portal eingerichtet?
App registrieren
Logge dich zunächst unter https://entra.microsoft.com ein und wähle aus der Menüleiste links dann den Punkt Entra ID, um dir bestehende Nutzer und Gruppen anzusehen.
Unter Benutzer sollten nun alle User deiner Organisation aufgeführt werden. Alle hier gelisteten Nutzer können später mit pixx.io synchronisiert werden.
Unter Gruppen findest du alle angelegten Gruppen, die später mit den pixx.io-Rechtegruppen synchronisiert werden können.
Wähle nun den Punkt App-Registrierungen aus dem Menü und klicken Sie auf Neue Registrierung. Gib der App den gewünschten Namen (z.B.: pixx.io) und wähle Nur Konten in diesem Organisationsverzeichnis.
Beim Punkt Umleitungs-URI wählst du im Dropdown-Menü Web aus. Daneben gibst du die vollständige URL zu deinem pixx.io-System in das Formularfeld ein, z. B.: https://[subdomain].px.media/auth/redirect (Cloud) oder https://[hostname]/auth/redirect (eigene URL)
Nach der Erstellung gelangst du auf die App-Übersicht. Du kannst die tenantID und die clientID direkt kopieren, welche du für die Synchronisierung benötigst.
Clientschlüssel erstellen
Du kannst die eben erstellte App jetzt unter App-Registrierungen auswählen. Navigiere zu Zertifikate & Geheimnisse und klicke auf Neuer geheimer Clientschlüssel. Gib einen beliebigen Namen ein (z.B.: pixx.io) und wähle ein gewünschtes Ablaufdatum.
Hinweis: Kopiere den angezeigten Schlüssel und speichere die Datei zunächst ab. Sobald du das Fenster verlässt, ist der Schlüssel nicht mehr sichtbar. Du benötigst den Schlüssel für die Einrichtung von Microsoft Entra ID in pixx.io.
Die ClientID findest du in Entra in der App-Übersicht.
Berechtigung zum Synchronisieren
Klicke auf Berechtigungen hinzufügen. Du wirst im nächsten Schritt aufgefordert, die API auszuwählen: wähle im Tab Microsoft-APIs die API Microsoft Graph.
Anschließend wirst du aufgefordert, die Art der Berechtigung festzulegen: wähle Anwendungsberechtigungen.
Im letzten Schritt musst du die Berechtigungen festlegen:
-
Wähle in der Kategorie User die Berechtigung User.Read.All
-
Wähle in der Kategorie Group die Berechtigung Group.Read.All
-
Ist der Single-Sign-On aktiv, musst du zusätzlich noch in der Kategorie User die Berechtigung User.Read erteilen.
-
Klicke abschließend auf Berechtigungen hinzufügen
-
Um die Berechtigungen geltend zu machen, musst du als Administrator noch die Einwilligung erteilen, indem du auf den Button Administratorzustimmung für "…" erteilen klickst und mit Ja bestätigst.
Wie wird Entra ID in pixx.io eingerichtet?
Du findest die Einstellungen zu Entra ID in pixx.io unter Einstellungen > Authentifizierung > User Sync
Klicke zunächst auf Server hinzufügen. Wähle dann als Typ Entra ID und füge VerzeichnisID und AnwendungsID in die Felder ein. Kopiere nun den vorher abgespeicherten Clientschlüssel in das entsprechende Feld.
Ist der Test erfolgreich, kannst du im Reiter Gruppen jetzt die(Rechte-) Gruppen auswählen, die synchronisiert werden sollen.
Unter Synchronisieren und Zugriff kann eingestellt werden, wann bzw. wie oft die Synchronisierung stattfinden soll. Du kannst hier auch den Zugriff auf bestimmte IP-Adressen bzw. IP-Adressbereiche einschränken.
Weitere Einstellungen kannst du unter Löschverhalten hinterlegen, z. B. was passieren soll, wenn einzelne Benutzer oder ganze Gruppen entfernt wurden oder nicht mehr synchronisiert werden sollen.
Hinweis: Passwörter werden übrigens nicht mit pixx.io synchronisiert sondern bei Loginvorgängen immer direkt mit Entra abgeglichen. Passwortänderungen müssen daher auch nicht synchronisiert werden.
Optional kannst du noch zugriffsberechtigte IP-Adressbereiche definieren.
Klicke auf Speichern und anschließend unter User Sync auf Jetzt synchronisieren. Nun werden die Gruppen direkt mit pixx.io synchronisiert.
Nun werden dir die Gruppen unter Rechtegruppen angezeigt.
Hinweis: Bei MS Entra ID gibt es durch pixx.io keine rekursive Synchronisation der Benutzer. Sind also in einer Benutzergruppe im Active Directory weitere Untergruppen vorhanden, in denen sich wiederum weitere User befinden, werden diese Untergruppen nicht aufgelöst und deren User nicht übertragen.
Wie kann ich SSO über Entra ID in pixx.io einrichten?
Folgende Angaben benötigst du, um Single-Sign-On über Entra in pixx.io einzurichten:
-
ClientID
-
Clientschlüssel
-
Metadata URL
Die Metadata URL erhältst du in dem du in Entra zu App-Registrierungen navigierst und dann unter Übersicht den Reiter Endpunkte wählst. Es öffnet sich ein Fenster mit dem Endpunkt (URL) OpenID Connect-Metadatendokument. Den kopierst du.
Navigiere nun in pixx.io in die Einstellungen und wähle Allgemein > SSO / oAuth2
Um einen Eintrag hinzuzufügen, fülle die Felder entsprechend aus:
-
Wähle Entra unter Typ und trage die ClientID, Clientschlüssel und den Metadaten-Endpunkt (Metadata URL) ein
-
Gib dem Zugang einen Namen, z.B. Office 365
Aktiviere anschließend den Eintrag, indem du den Toggle oben auf aktiv schaltest und unter den Formularen auf Hinzufügen (Symbol mit Plus und Pfeil) klickst.
Auch hier musst du die Berechtigungen festlegen:
-
Wähle in der Kategorie User die Berechtigung User.Read.All
-
Wähle in der Kategorie Group die Berechtigung Group.Read.All
-
Ist der Single-Sign-On aktiv, musst du zusätzlich noch in der Kategorie User die Berechtigung User.Read erteilen."
Die neue Login-Maske sieht nun so aus:
Du kannst nun den Single-Sign-On verwenden, um dich in den Mediaspace einzuloggen.
Hinweis: Verwendest du eine SSO-Anbindung in Verbindung mit lokal angelegten pixx.io Benutzern (ohne Entra ID Anbindung), muss der Benutzername des Users seiner E-Mailadresse entsprechen, damit der Login via SSO funktioniert.