Zum Inhalt

Single Sign-on mit Microsoft

Single Sign-on (SSO) ermöglicht Ihrer Organisation eine sichere und effiziente Verwaltung von Zugriffen auf Librario über Ihre bestehende Microsoft-Infrastruktur.

Durch die Integration mit Microsoft Entra ID (ehemals Azure Active Directory) profitieren Sie von mehreren Vorteilen:

  • Automatische Benutzerverwaltung: Neue Mitarbeitende können sich sofort mit ihrem Microsoft-Account anmelden. Es ist keine manuelle Anlage von Benutzerkonten durch Administratoren erforderlich.
  • Zentrale Zugriffskontrolle: Die Authentifizierung erfolgt über Ihre Microsoft-Infrastruktur. Wenn Mitarbeitende das Unternehmen verlassen und ihr Microsoft-Account deaktiviert wird, erlischt automatisch auch der Zugriff auf Librario.
  • Vereinfachtes Onboarding: Neue Teammitglieder können direkt loslegen - sie verwenden einfach ihre gewohnten Microsoft-Zugangsdaten.
  • Erhöhte Sicherheit: Die Zugriffsrechte werden zentral über Microsoft Entra ID verwaltet und folgen automatisch Ihren fUnternehmensrichtlinien.

Librario unterstützt hierzu Microsoft Entra ID, die Identitätsplattform von Microsoft 365.

Diese Anleitung erläutert die Voraussetzungen und zeigt Schritt für Schritt, wie man den Entra ID sowie Librario konfigurieren muss.

Voraussetzungen

Um Single Sign-on über Entra ID zu ermöglichen müssen folgende Voraussetzungen erfüllt sein:

  • Ein Microsoft Entra ID muss vorhanden sein
  • Die eigene Domain sollte auch bei Entra ID als primäre Domain hinterlegt sein. (Siehe Anleitung Quickstart: Add a custom domain name to Microsoft Entra ID)
  • Die eigene Entra ID Edition muss noch eine freie App im Kontingent der Apps für das Einmalige Anmelden enthalten. (Siehe Übersicht der Microsoft Entra Editionen)
  • Sie müssen in einem Librario Konzern-Tarif sein um Single Sign-on (SSO) nutzen zu können.

Schritt 1: Entra ID tenant ID ermitteln

Im ersten Schritt muss die ID des Entra ID ermittelt werden.

  1. Besuchen Sie das Microsoft Entra Admin Center https://entra.microsoft.com und melden Sie sich an
  2. Wählen Sie "Identity" im linken Menü
  3. Ihre Tenant ID finden Sie unter "Übersicht" im Bereich "Tenant information"

Notieren Sie diese Entra ID tenant ID für später.

Schritt 2: App registration erstellen

Erstellen Sie eine App registration im Microsoft Entra Admin Center:

  1. Navigieren Sie zu "Identity" > "Applications" > "App registrations"
  2. Klicken Sie auf "New registration"

  3. Konfigurieren Sie folgende wichtige Parameter:

    • Name: Librario
    • Supported account types: Wählen Sie "Accounts in this organizational directory only - Single tenant"
    • Platform configuration: Wählen Sie "Web"
    • Redirect URI: https://<ihre-firma>.mylibrar.io/users/auth/azure_oauth2/callback
    • Branding:
      • Homepage URL: https://<ihre-firma>.mylibrar.io
      • Terms of service URL: https://www.librario.de/terms/nutzungsbedingungen/
      • Privacy statement URL: https://www.librario.de/terms/datenschutzerklaerung/

Single tenant wichtig

Die Option "Accounts in this organizational directory only" ist sehr wichtig - andernfalls könnte sich jeder mit einem beliebigen Microsoft-Account in Ihre Bibliothek einloggen!

Schritt 3: API-Berechtigungen einrichten

Der Applikation müssen die notwendigen API-Berechtigungen eingeräumt werden:

  1. Wählen Sie in den App-Einstellungen "API permissions"
  2. Klicken Sie auf "Add a permission"
  3. Wählen Sie "Microsoft Graph"
  4. Wählen Sie "Delegated permissions"
  5. Fügen Sie folgende Berechtigungen hinzu:
  6. User.Read (erlaubt Basic Sign-in)
  7. User.ReadBasic.All (erlaubt Lesen von Basis-Profildaten)
  8. Klicken Sie auf "Add permissions"
  9. Klicken Sie auf "Grant admin consent" und bestätigen Sie

Schritt 4: Client Secret erstellen

  1. Navigieren Sie in den App-Einstellungen zu "Certificates & secrets"
  2. Wählen Sie "Client secrets" und klicken Sie auf "New client secret"
  3. Vergeben Sie eine Beschreibung und wählen Sie eine Gültigkeitsdauer
  4. Notieren Sie sich den generierten Secret-Wert sofort - er wird nur einmal angezeigt!

Secret-Ablauf im Kalender vormerken!

Das Client Secret wird nach der gewählten Zeit ablaufen!

Wichtig: Tragen Sie sich einen Termin in Ihren Kalender ein, um das Secret rechtzeitig vor Ablauf zu erneuern. Andernfalls wird die SSO-Anmeldung nicht mehr funktionieren.

Tipp: Setzen Sie die Erinnerung etwa 1-2 Monate vor dem tatsächlichen Ablaufdatum, um genügend Zeit für die Rotation zu haben.

Schritt 5: Librario konfigurieren

Tragen Sie die Daten in den Konto-Einstellungen ein:

  1. Klicken Sie oben rechts auf das Benutzersymbol
  2. Wählen Sie "Unser Konto"
  3. Klicken Sie auf "Einstellungen"
  4. Scrollen Sie nach unten zu "Single Sign-on mit Microsoft"

Screenshot der Microsoft SSO-Konfiguration in Librario. Das Formular zeigt Eingabefelder für Application ID, Secret Key, Entra ID tenant ID und Standard-Domain. Unten gibt es Optionen zur Konfiguration der Anmeldemethoden.

Konfigurationsformular für Single Sign-on mit Microsoft in den Librario Konto-Einstellungen

Tragen Sie folgende Werte ein:

  • Application ID: Die Application (client) ID aus der App-Übersicht
  • Secret Key: Der in Schritt 4 generierte Secret-Wert
  • Entra ID tenant ID: Die in Schritt 1 ermittelte ID
  • Standard Domain: Die primäre E-Mail-Domain Ihrer Organisation (z.B. example.com)

Klicken Sie im Anschluss auf "Speichern" um die Daten zu speichern.

Schritt 6: Testen

Im nächsten Schritt sollten Sie den Login-Mechanismus testen:

  1. Melden Sie sich von Librario ab
  2. Klicken Sie auf der Login-Seite auf "Anmelden mit Microsoft"
  3. Sie sollten zum Microsoft Login weitergeleitet werden
  4. Nach erfolgreicher Anmeldung bei Microsoft sollten Sie wieder bei Librario eingeloggt sein

Schritt 7: Betrieb langfristig sicherstellen

Planen Sie folgende Aspekte für den langfristigen Betrieb:

  • Dokumentieren Sie die Konfiguration für Ihr IT-Team
  • Klären Sie den 1st und ggf. 2nd-Level-Support, inkl. Urlaubsvertretung
  • Planen Sie die regelmäßige Überprüfung und Erneuerung des Client Secrets

Häufige Fragen bzw. Probleme

Die SSO-Anmeldung funktioniert grundsätzlich, aber ein neuer Mitarbeiter kann sich nicht anmelden

Überprüfen Sie folgendes:

  • Hat der Benutzer die richtigen Zugangsdaten bei Microsoft verwendet und war der Anmelde-Vorgang bei Microsoft erfolgreich?
  • Es können sich maximal so viele Benutzer anmelden, wie durch dem gewählten Tarif vereinbart. Überprüfen Sie die Anzahl der Benutzer über die Statistik-Seite https://<meine-firma>.mylibrar.io/account/statistics.
  • Funktioniert der SSO-Mechanismus überhaupt noch? Testen Sie es mit einem anderen Benutzerkonto.
  • Überprüfen Sie, ob nicht die Entra ID Applikation aus ihrem Directory gelöscht wurde.
  • Überpfüfen Sie ob der Client Secret (s.o.) nicht abgelaufen ist.

Librario erhält "komische" E-Mail-Adressen bei der Anmeldung eines Benutzers

Komisch könnte zum Beispiel john.doe@foobar.onmicrosoft.com sein.

Sprechen Sie mit zum zuständigen Administrator um die primäre domain Ihres Entra ID zu aktualisieren.

Ich sehe die Einstellungen zu Single Sign-on (SSO) nicht in den Konto-Einstellungen

Nicht jeder Tarif bietet das Feature Single Sign-on (SSO). Erwägen Sie den Wechsel in einen passenden Tarif.

SSO funktioniert "plötzlich" nicht mehr

SSO hat lange Jahre funktioniert und auf einmal geht es nicht mehr? In diesem Fall ist sehr wahrscheinlich das Client Secret abgelaufen. Generieren Sie ein neues Secret in der Microsoft Entra Admin Console und tragen Sie es in Librario ein.