Konfigurieren Sie AWS Wickr mit Microsoft Entra (Azure AD) Single Sign-On - AWS Wickr

Dieses Handbuch dokumentiert die neue AWS Wickr-Verwaltungskonsole, die am 13. März 2025 veröffentlicht wurde. Die Dokumentation zur klassischen Version der AWS Wickr-Verwaltungskonsole finden Sie im Classic Administration Guide.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie AWS Wickr mit Microsoft Entra (Azure AD) Single Sign-On

AWS Wickr kann so konfiguriert werden, dass Microsoft Entra (Azure AD) als Identitätsanbieter verwendet wird. Führen Sie dazu die folgenden Verfahren sowohl in Microsoft Entra als auch in der AWS Wickr-Administrationskonsole durch.

Warnung

Nachdem SSO in einem Netzwerk aktiviert wurde, werden aktive Benutzer von Wickr abgemeldet und sie werden gezwungen, sich erneut über den SSO-Anbieter zu authentifizieren.

Gehen Sie wie folgt vor, um AWS Wickr als Anwendung in Microsoft Entra zu registrieren.

Anmerkung

Detaillierte Screenshots und Problemlösungen finden Sie in der Microsoft Entra-Dokumentation. Weitere Informationen finden Sie unter Registrieren einer Anwendung bei der Microsoft Identity Platform

  1. Wählen Sie im Navigationsbereich Anwendungen und dann App-Registrierungen aus.

  2. Wählen Sie auf der Seite App-Registrierungen die Option Anwendung registrieren aus und geben Sie dann einen Anwendungsnamen ein.

  3. Wählen Sie Nur Konten in diesem Organisationsverzeichnis aus (Nur Standardverzeichnis — Einzelmandant).

  4. Wählen Sie unter Umleitungs-URI die Option Web aus, und geben Sie dann die folgende Webadresse ein:https://messaging-pro-prod.wickr.com/deeplink/oidc.php.

    Anmerkung

    Die Umleitungs-URI kann auch aus den SSO-Konfigurationseinstellungen in der AWS Wickr Admin-Konsole kopiert werden.

  5. Wählen Sie Register aus.

  6. Kopieren/speichern Sie nach der Registrierung die generierte Anwendungs-ID (Client).

    ID-Bild der Client-Anwendung.

  7. Wählen Sie die Registerkarte Endpoints, um sich Folgendes zu notieren:

    1. OAuth 2.0-Autorisierungsendpunkt (v2): z. B.: https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/oauth2/v2.0/authorize

    2. Bearbeiten Sie diesen Wert, um „oauth2/“ und „authorize“ zu entfernen. Die feste URL sieht zum Beispiel so aus: https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/

    3. Dies wird als SSO-Herausgeber bezeichnet.

Gehen Sie wie folgt vor, um die Authentifizierung in Microsoft Entra einzurichten.

  1. Wählen Sie im Navigationsbereich Authentifizierung aus.

  2. Vergewissern Sie sich auf der Authentifizierungsseite, dass der Webumleitungs-URI derselbe ist, der zuvor eingegeben wurde (unter AWS Wickr als Anwendung registrieren).

    Bild für die Client-Authentifizierung.

  3. Wählen Sie Zugriffstoken aus, die für implizite Datenflüsse verwendet werden, und ID-Token, die für implizite und hybride Datenflüsse verwendet werden.

  4. Wählen Sie Save aus.

    Fordern Sie ein Zugriffstoken-Image an.

Gehen Sie wie folgt vor, um Zertifikate und Geheimnisse in Microsoft Entra einzurichten.

  1. Wählen Sie im Navigationsbereich Certificates & Secrets aus.

  2. Wählen Sie auf der Seite Certificates & Secrets die Registerkarte Client Secrets aus.

  3. Wählen Sie auf der Registerkarte Client-Geheimnisse die Option Neuer geheimer Client-Schlüssel aus.

  4. Geben Sie eine Beschreibung ein und wählen Sie einen Ablaufzeitraum für das Geheimnis aus.

  5. Wählen Sie Hinzufügen aus.

    Fügen Sie ein geheimes Client-Image hinzu.

  6. Kopieren Sie nach der Erstellung des Zertifikats den Wert für den geheimen Clientschlüssel.

    Ein Beispiel für einen geheimen Client-Wert.
    Anmerkung

    Der geheime Wert des Client (nicht Secret ID) wird für Ihren Client-Anwendungscode benötigt. Möglicherweise können Sie den geheimen Wert nicht anzeigen oder kopieren, nachdem Sie diese Seite verlassen haben. Wenn Sie ihn jetzt nicht kopieren, müssen Sie zurückgehen, um einen neuen geheimen Clientschlüssel zu erstellen.

Gehen Sie wie folgt vor, um die Tokenkonfiguration in Microsoft Entra einzurichten.

  1. Wählen Sie im Navigationsbereich Tokenkonfiguration aus.

  2. Wählen Sie auf der Seite Token-Konfiguration die Option Optionalen Anspruch hinzufügen aus.

  3. Wählen Sie unter Optionale Ansprüche den Token-Typ als ID aus.

  4. Nachdem Sie ID ausgewählt haben, wählen Sie unter Anspruch die Option E-Mail und UPN aus.

  5. Wählen Sie Hinzufügen aus.

    Bild vom Token-Typ.

Gehen Sie wie folgt vor, um API-Berechtigungen in Microsoft Entra einzurichten.

  1. Wählen Sie im Navigationsbereich API permissions (API-Berechtigungen) aus.

  2. Wählen Sie auf der Seite mit den API-Berechtigungen die Option Berechtigung hinzufügen aus.

    Fügen Sie ein Berechtigungsbild hinzu.

  3. Wählen Sie Microsoft Graph und dann Delegierte Berechtigungen aus.

  4. Aktivieren Sie das Kontrollkästchen für E-Mail, Offline_Access, OpenID und Profil.

  5. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

Gehen Sie wie folgt vor, um eine API für jeden der 4 Bereiche in Microsoft Entra verfügbar zu machen.

  1. Wählen Sie im Navigationsbereich die Option Expose an API aus.

  2. Wählen Sie auf der Seite Eine API verfügbar machen die Option Bereich hinzufügen aus.

    Machen Sie ein API-Bild verfügbar.

    Die Anwendungs-ID-URI sollte auto aufgefüllt werden, und die ID, die auf den URI folgt, sollte mit der Anwendungs-ID übereinstimmen (erstellt in AWS Wickr als Anwendung registrieren).

    Fügen Sie ein Scope-Bild hinzu.

  3. Wählen Sie Save and continue aus.

  4. Wählen Sie das Tag Admins and users aus und geben Sie dann den Bereichsnamen als offline_access ein.

  5. Wählen Sie Status und dann Aktivieren aus.

  6. Wählen Sie Bereich hinzufügen aus.

  7. Wiederholen Sie die Schritte 1—6 dieses Abschnitts, um die folgenden Bereiche hinzuzufügen: E-Mail, OpenID und Profil.

    Fügen Sie das Bereichsbild hinzu.

  8. Wählen Sie unter Autorisierte Clientanwendungen die Option Clientanwendung hinzufügen aus.

  9. Wählen Sie alle vier Bereiche aus, die im vorherigen Schritt erstellt wurden.

  10. Geben Sie die Anwendungs-ID (Client) ein oder überprüfen Sie sie.

  11. Wählen Sie Anwendung hinzufügen.

Führen Sie das folgende Konfigurationsverfahren in der AWS Wickr-Konsole durch.

  1. Öffnen Sie das AWS Management Console für Wickr unter. https://console.aws.amazon.com/wickr/

  2. Wählen Sie auf der Seite Netzwerke den Netzwerknamen aus, um zu diesem Netzwerk zu navigieren.

  3. Wählen Sie im Navigationsbereich Benutzerverwaltung und dann SSO konfigurieren aus.

  4. Stellen Sie unter Netzwerkendpunkt sicher, dass die Umleitungs-URI mit der folgenden Webadresse übereinstimmt (hinzugefügt in Schritt 4 unter AWS Wickr als Anwendung registrieren).

    https://messaging-pro-prod.wickr.com/deeplink/oidc.php.

  5. Geben Sie die folgenden Details ein:

    • Emittent — Dies ist der Endpunkt, der zuvor geändert wurde (z. B.https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/).

    • Client-ID — Dies ist die Anwendungs-ID (Client) aus dem Übersichtsbereich.

    • Geheimer Client-Schlüssel (optional) — Dies ist der geheime Client-Schlüssel aus dem Bereich Certificates & Secrets.

    • Bereiche — Dies sind die Bereichsnamen, die im Bereich „Eine API verfügbar machen“ angezeigt werden. Geben Sie email, profile, offline_access und openid ein.

    • Gültigkeitsbereich des benutzerdefinierten Benutzernamens (optional) — Geben Sie upn ein.

    • Unternehmens-ID — Dies kann ein eindeutiger Textwert sein, der alphanumerische Zeichen und Unterstriche enthält. Dieser Satz wird von Ihren Benutzern eingegeben, wenn sie sich auf neuen Geräten registrieren.

    Andere Felder sind optional.

  6. Wählen Sie Weiter aus.

  7. Überprüfen Sie die Details auf der Seite Überprüfen und speichern und wählen Sie dann Änderungen speichern aus.

Die SSO-Konfiguration ist abgeschlossen. Zur Überprüfung können Sie der Anwendung in Microsoft Entra jetzt einen Benutzer hinzufügen und sich mit dem Benutzer über SSO und Unternehmens-ID anmelden.

Weitere Informationen zum Einladen und Onboarding von Benutzern finden Sie unter Benutzer erstellen und einladen.

Im Folgenden finden Sie häufig auftretende Probleme und Vorschläge zu deren Lösung.

  • Der SSO-Verbindungstest schlägt fehl oder reagiert nicht:

    • Stellen Sie sicher, dass der SSO-Aussteller wie erwartet konfiguriert ist.

    • Stellen Sie sicher, dass die erforderlichen Felder in der SSO-Konfiguration wie erwartet festgelegt sind.

  • Der Verbindungstest ist erfolgreich, aber der Benutzer kann sich nicht anmelden:

    • Stellen Sie sicher, dass der Benutzer zu der Wickr-Anwendung hinzugefügt wurde, die Sie in Microsoft Entra registriert haben.

    • Stellen Sie sicher, dass der Benutzer die richtige Unternehmens-ID einschließlich des Präfixes verwendet. Z. B. UE1 - DemoNetwork W_drqtVA.

    • Das Client Secret ist in der AWS Wickr SSO-Konfiguration möglicherweise nicht korrekt festgelegt. Setzen Sie es zurück, indem Sie ein anderes Client-Geheimnis in Microsoft Entra erstellen und das neue Client-Geheimnis in der Wickr SSO-Konfiguration festlegen.