ELO Docs
 ELO Sync

# ELO Sync in Azure

Dieses Kapitel beschreibt die Registrierung von ELO Sync bei Azure. Diese Aktionen sind für die Authentifizierung mit Microsoft Entra und den Zugriff auf Microsoft 365-Ressourcen erforderlich.

In unserer Anleitung ist ELO Sync unter der URL https://elo-sync.local/ zu erreichen und wird als ELOSyncApp registriert, ersetzen Sie diese nach Bedarf.

  1. Erstellen Sie eine neue App-Registrierung im Azure Management Portal.

    Navigieren Sie zu App registrations (opens new window), und klicken Sie dann auf New registration.

    Menu band for app registrations

  2. Geben Sie die erforderlichen Informationen über die neue Anwendung ein.

    1. Geben Sie den Name EloSyncApp als Namen für die Anwendung ein (oder wählen Sie einen eigenen Namen).
    2. Bei den supported account types müssen Sie in der Regel Accounts in this organizational directory only (Single tenant) auswählen, je nach Struktur Ihrer Organisation könnte es auch die zweite Option Multitenant sein.
    3. Wählen Sie unter Redirect URI die Plattform Web und geben Sie https://elo-sync.local/signin-oidc-custom ein.

      Information

      Der Pfad /signin-oidc-customkann in der Datei appsettings.json geändert werden. Siehe Konfiguration für weitere Informationen.

    4. Bestätigen Sie die Informationen und erstellen Sie die App-Registrierung.

  3. Wenn Sie gerade die Datei appsettings.json bearbeiten, gehen Sie zu Overview der Anwendung und kopieren Sie die Informationen ClientId und TenantId hinein.

  4. Öffnen Sie die neu erstellte Anwendung ELOSyncApp und wählen Sie dann den Menüpunkt Authentication.

    Hier müssen Sie die Einstellungen unter Implicit grant and hybrid flows ändern und sowohl Access tokens als auch ID tokens aktivieren.

    Screenshot of required Authentication settings

    Nachdem Sie die Einstellungen geändert haben, klicken Sie auf Save.

  5. Ein neues App Secret erstellen

    1. Wählen Sie den Menüpunkt Certificates & secrets.

    2. Aktivieren Sie den Tab Client secrets.

    3. Klicken Sie auf New client secret.

    4. Wählen Sie eine sinnvolle Beschreibung und die Dauer des neuen Secrets und bestätigen Sie mit Add.

    5. WICHTIG: Nach der Erstellung des Geheimnisses ist es nur jetzt möglich, das erstellte Secret zu kopieren. Wenn Sie die Datei appsettings.json bearbeiten, dann kopieren Sie diesen Wert jetzt nach ClientSecret, andernfalls kopieren Sie ihn an einen temporären, sicheren Ort, an dem Sie ihn abrufen können.

      Screenshot for copying the client secret

  6. Fügen Sie die erforderlichen Berechtigungen für ELO Sync hinzu.

    ELO Sync selbst benötigt Berechtigungen für den Zugriff auf Daten über die Microsoft Graph API, entweder für sich selbst oder im Namen von Benutzern.

    1. Wählen Sie den Menüeintrag API permissions aus.

    2. Klicken Sie auf Add a permission für folgende:

      Key Ort Benötigt für
      openid Microsoft Graph / Delegated / openid Anmelden von Benutzern
      offline_access Microsoft Graph / Delegated / offline_access Behalten Sie den Zugriff auf die Daten, auf die Sie ELO Sync Zugriff gegeben haben.
      User.Read Microsoft Graph / Delegated / User.Read Anmelden und Benutzerprofil lesen.

      Beachten Sie

      WICHTIG: Dies sind die einzigen grundlegenden Berechtigungen; je nach Anwendungsfall sind zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie im Artikel Berechtigungen.

      Screenshot for added permissions without admin consent

    3. Falls gewünscht, können Sie jetzt die Zustimmung des Administrators für alle konfigurierten Berechtigungen erteilen, so dass die Benutzer den Zugriff auf ihre Daten nicht einzeln freigeben müssen.

  7. Überprüfen Sie, ob alle Berechtigungen korrekt sind. Im folgenden Screenshot sehen Sie ein Beispiel für die Verwendung der Administratorzustimmung:

    Screenshot for permissions with admin consent

  8. Stellen Sie sicher, dass in der AAD Graph App Manifest der korrekte Wert für accessTokenAcceptedVersion gesetzt ist. Dieser muss accessTokenAcceptedVersion: 2 sein. Ist dieser nicht gesetzt, so funktioniert die Anmeldung über die REST-API nicht, und Anfragen werden mit dem Fehlercode IDX10214: Audience validation failed abgebrochen.

    Alternativ kann auch "requestedAccessTokenVersion": 2 im Microsoft Graph App Manifest gesetzt werden.

# Verwendung des Azure Application Proxy

Wird für ELO Sync ein Azure Application Proxy verwendet, dann muss in der Einstellung des Proxies die Eigenschaft 'Translate Urls in headers' deaktiviert werden:

Azure App Proxy Settings

Wenn diese Einstellung nicht deaktiviert wird, dann funktioniert die Anmeldung nicht korrekt und bricht mit "Correlation failed" ab.

Der Grund dafür ist, dass bei aktivierter Option ELO Sync nicht mitgeteilt wird, dass ein Proxy sich davor befindet. Damit wird bei der Anmeldung der redirect_uri Parameter fälschlicherweise auf die interne URL gesetzt und nicht die korrekte AppProxy-URL.

ELO Sync ist darauf ausgelegt mit Proxies zusammenzuarbeiten, die Forwarded-* Header setzen, was vom Azure AppProxy unterstützt wird.

Edit this page (opens new window)
Zuletzt aktualisiert: 11. Juli 2025 um 06:58

Erforderliche Berechtigungen für jeden Anwendungsfall →