# Entra-ID-Integration

## 1. Azure AD-Konfiguration <a href="#azure-a-d-configuration" id="azure-a-d-configuration"></a>

Sie benötigen Zugriff auf einen Azure AD-Mandanten. Falls Sie noch keinen haben, folgen Sie [dieser Anleitung von Microsoft](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant) um kostenlos einen zu erstellen.

## 2. Einen neuen Client registrieren <a href="#register-a-new-client" id="register-a-new-client"></a>

1. Navigieren Sie zu den [Dialog zum Erstellen einer App-Registrierung](https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/CreateApplicationBlade/quickStartType~/null/isMSAApp~/false) um eine neue App zu erstellen.
2. Geben Sie der Anwendung einen Namen und wählen Sie aus, wer sich anmelden können soll (Single-Tenant, Multi-Tenant, Persönliche Konten usw.). Diese Einstellung hat auch Einfluss darauf, wie der Anbieter später in Blockbrain Auth konfiguriert wird.
3. Wählen Sie im Feld für die Redirect-URI „Web“ aus und fügen Sie die URL hinzu: `https://auth.theblockbrain.ai/ui/login/login/externalidp/callback`

<figure><img src="/files/d0d3f0ecad9e2a11a1732c7d06a3eb9737dc6d17" alt=""><figcaption><p>Azure-App-Registrierung</p></figcaption></figure>

4. Speichern Sie die **`Anwendungs-(Client-)ID`** und die **`Verzeichnis-(Mandanten-)ID`** von der Detailseite.

<figure><img src="/files/91228a999da56b9915c9183369c25b02e71ec92e" alt=""><figcaption><p>Azure Client-ID und Mandanten-ID</p></figcaption></figure>

## 3. Ein neues Client-Geheimnis generieren

1. Klicken Sie auf der Detailseite der Anwendung auf Client-Anmeldeinformationen oder verwenden Sie das Menü **`Zertifikate & Geheimnisse`**
2. Klicken Sie auf **`+ Neues Client-Geheimnis`** und geben Sie eine Beschreibung sowie ein Ablaufdatum ein, fügen Sie anschließend das Geheimnis hinzu
3. Kopieren Sie den **Wert des Geheimnisses** und bewahren Sie ihn an einem sicheren Ort (Passwort-Manager) für die spätere Verwendung auf.&#x20;

> Sie werden den Wert in Zukunft in Azure nicht erneut sehen können. \
> Wenn Sie Ihr Geheimnis verlieren oder das Geheimnis abläuft, müssen Sie ein neues Geheimnis erstellen.

<figure><img src="/files/a5fc9d492ff6ef617e7addb5154b7d139d3072fa" alt=""><figcaption><p>Azure Client-Geheimnis</p></figcaption></figure>

## 4. Das Auth-Token konfigurieren

1. Klicken Sie auf **`Token-Konfiguration`** im Seitenmenü
2. Klicken Sie auf **`+ Optionalen Anspruch hinzufügen`**
3. Hinzufügen **`E-Mail`**, **`Nachname`**, **`Vorname`** und **`Bevorzugter Benutzername`** zum **`ID`** Token

<figure><img src="/files/a014510525b44686d511bec7d4837a85b7cb59cf" alt=""><figcaption><p>Azure-Token-Konfiguration</p></figcaption></figure>

## 5. API-Berechtigungen festlegen

1. Gehen Sie zu **`API-Berechtigungen`** im Seitenmenü
2. Stellen Sie sicher, dass die Berechtigungen „Microsoft Graph“ enthalten: **`E-Mail`**, **`Profil`** und **`User.Read`**

<figure><img src="/files/489afd1f7bd28319d0b8fd7259de4e145ba3956c" alt=""><figcaption><p>Azure API-Berechtigungen Schritt 1</p></figcaption></figure>

## 6. Entra-ID in Blockbrain einrichten

1. Gehen Sie zum **`Integrations`** Bereich in den **`Admin`** Einstellungen.

<figure><img src="/files/c7773c58bc5f94130e365d308334b20c6222987e" alt="" width="119"><figcaption></figcaption></figure>

2. Klicken Sie auf den **`Verbinden`** Schaltfläche für EntraId mit den folgenden Einstellungen.

<figure><img src="/files/7843702dd78cdd2844e339f40b4c28332d1270fd" alt=""><figcaption></figcaption></figure>

## 7. Weitere gewährte Berechtigungen hinzufügen

OpenID-Autorisierung ist essenziell, um das OpenID-Connect-Protokoll zu aktivieren. Dieses Protokoll ist besonders wichtig für die Verwaltung von Benutzeranmeldungen und das Ausstellen von ID-Tokens in Anwendungen.

> Im Kontext der App-Registrierung beziehen sich „weitere Berechtigungen“ auf die spezifischen Zugriffsrechte oder „Scopes“, die von einer Anwendung benötigt werden. Diese Scopes bestimmen, auf welche Daten und Funktionen die Anwendung im Namen des Benutzers zugreifen kann.

1. Benutzerzustimmung: Bei der ersten Anmeldung des Benutzers werden diese aufgefordert, diese Berechtigungen zu erteilen. Dieser Schritt ist entscheidend, um die Zustimmung des Benutzers und die Sicherheitsanforderungen zu gewährleisten. \
   **Je nach Ihrer Organisationskonfiguration ist möglicherweise eine Administrationszustimmung erforderlich**.

<figure><img src="/files/fc7cb0281be916b6295bbc3b4bfe8ac3245c856b" alt=""><figcaption><p>Azure-Berechtigungszustimmungsbildschirm</p></figcaption></figure>

2. Nachdem die Zustimmung erteilt wurde, werden die Berechtigungen aktiv und in der App-Registrierung aufgeführt - die Anmeldung ist nun möglich, die Anwendung verfügt über die erforderlichen Zugriffsrechte.
   1. Unter „Andere gewährte Berechtigungen“ sollte „Microsoft Graph: **`openid`**"

<figure><img src="/files/771694475452a6a37da883d1eaf3fa7d466fb497" alt=""><figcaption><p>Azure API-Berechtigungen Schritt 2</p></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.en.theblockbrain.ai/de/fur-administratoren/klassische-microsoft-integrationen/entra-id-integration.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.