Mit deskbird kannst du Single Sign-on (SSO) mit Microsoft Entra ID (früher Azure AD) integrieren. Das sorgt für eine sichere Authentifizierung und einen bequemen Zugang in deinem Unternehmen.
- SSO mit Entra ID einrichten
- Manuelle OIDC-Einrichtung (keine Enterprise-Anwendung nötig)
- Berechtigungen über Application Assignment einschränken
1. SSO mit Entra ID einrichten
Um SSO zu aktivieren, muss ein IT-Administrator die Microsoft Entra ID Enterprise-Anwendung installieren und die erforderlichen Berechtigungen erteilen.
👉 Klicke hier, um zu installieren und Zugriff zu gewähren:
https://login.microsoftonline.com/common/adminConsent?client_id=60e10e49-86e8-4755-ac34-2804c82237c6&redirect_uri=https://www.deskbird.com/single-sign-on-via-azure-ad
Die benötigten Berechtigungen sind:
- User.Read: Ermöglicht es Nutzern, sich bei deskbird anzumelden, und erlaubt deskbird, die Profile der angemeldeten Nutzer zu lesen. Hinweis: deskbird hat keinen Zugriff auf Profildaten von Nutzern, die sich noch nie angemeldet haben.
- Group.Read.All: Ermöglicht deskbird das Auslesen aller Nutzergruppen. Das wird zum Beispiel genutzt, um Nutzergruppen im Admin-Portal zu importieren oder Gruppen beim Login zu synchronisieren.
Es gibt zusätzliche Standardberechtigungen, die automatisch hinzugefügt werden und keine Admin-Zustimmung benötigen.
- offline_access: Ermöglicht deskbird, Refresh Tokens zu verwenden, um Daten über die Microsoft Graph API abzurufen.
- email, openid und profile: Automatisch hinzugefügte Berechtigungen, die deskbird ähnliche Rechte wie User.Read geben, aber mit weniger Profildaten.
Der Berechtigungstyp ist delegiert, das heißt, deskbird greift als angemeldeter Nutzer auf die Graph API zu, aber nur mit den ausgewählten Berechtigungen.
💡 Hinweis: Profilbilder von Nutzern werden beim ersten SSO-Login automatisch synchronisiert, falls vorhanden.
💡 Wenn SSO als einzige Login-Methode für deine Organisation eingerichtet ist, gilt diese Einschränkung nur für interne Nutzer. Externe Nutzer (z. B. Freelancer) können weiterhin zu deskbird hinzugefügt werden und sich mit E-Mail und Passwort anmelden, da sie nicht unter deinen Identitätsanbieter fallen.
2. Manuelle OIDC-Einrichtung (keine Enterprise-Anwendung nötig)
Falls deine Organisation die deskbird Enterprise-Anwendung aus der Microsoft App Gallery nicht installieren kann, kannst du SSO einrichten, indem du eine eigene App-Registrierung in Entra ID erstellst und die Zugangsdaten an deskbird weitergibst. Die Integration wird dann vom deskbird Support-Team eingerichtet.
Schritt 1: App-Registrierung erstellen
- Gehe zu Azure Portal > Microsoft Entra ID > App-Registrierungen > Neue Registrierung.
- Gib einen Namen ein, zum Beispiel
deskbird SSO. - Wähle unter Unterstützte Kontotypen die Option Konten nur in diesem Organisationsverzeichnis (Single Tenant).
- Klicke auf Registrieren.
Schritt 2: IDs notieren
- Kopiere auf der Übersichtsseite der App die Anwendungs-(Client-)ID und die Verzeichnis-(Mandanten-)ID.
Schritt 3: Client Secret erstellen
- Gehe zu Zertifikate & Geheimnisse > Clientgeheimnisse > Neues Clientgeheimnis.
- Gib eine Beschreibung ein, zum Beispiel
deskbird production, und wähle eine Ablaufdauer. - Klicke auf Hinzufügen und kopiere den Wert sofort – er wird später nicht mehr angezeigt.
Schritt 4: API-Berechtigungen konfigurieren
- Gehe zu API-Berechtigungen > Berechtigung hinzufügen > Microsoft Graph > Delegierte Berechtigungen.
- Füge folgende Berechtigungen hinzu:
openid,profile,email,User.Read. - Klicke auf Admin-Zustimmung für [Organisation] erteilen.
Schritt 5: Zugangsdaten an deskbird weitergeben
Kontaktiere den deskbird Support und gib folgende drei Werte weiter:
- Verzeichnis-(Mandanten-)ID
- Anwendungs-(Client-)ID
- Client Secret Wert
Das deskbird Support-Team übernimmt die restliche Konfiguration für dich.
⚠️ Hinweis: Der Client Secret Wert ist sensibel. Teile ihn sicher und vermeide unverschlüsselte Kanäle.
3. Berechtigungen über Application Assignment einschränken
Du kannst festlegen, welche Nutzer oder Gruppen deskbird per SSO nutzen dürfen.
- Öffne im Entra Admin Center die deskbird Enterprise-App.
- Setze unter Eigenschaften die Option Zuweisung erforderlich auf "Ja".
- Füge unter Benutzer und Gruppen gezielt Nutzer oder Gruppen hinzu.
⚠️ Dadurch wird der Zugriff per Login eingeschränkt, aber keine Nutzer bereitgestellt. Für eine automatische Bereitstellung ist eine separate SCIM-Konfiguration nötig.
⚠️ AADSTS50105-Fehler: Dieser Fehler tritt auf, wenn jemand sich anmelden möchte, aber keiner Gruppe mit Zugriffsberechtigung zugewiesen ist. Bitte dein IT-Team, den Nutzer zur richtigen Zugriffsgruppe hinzuzufügen (oder die Berechtigungen zu aktualisieren) und versuche es dann erneut.