Anmeldeauthentifizierung für Microsoft Azure¶
Die Anmeldeauthentifizierung für Microsoft Azure OAuth ist eine nützliche Funktion, die es Odoo-Benutzern ermöglicht, sich mit ihrem Microsoft-Azure-Konto in ihrer Datenbank anzumelden.
Das ist besonders hilfreich für Organisationen, die Azure Workspace nutzen und Mitarbeiter innerhalb der Organisation unter Verwendung ihrer Microsoft-Konten mit Odoo verbinden möchten.
Warnung
Datenbanken, die auf Odoo.com gehostet werden, sollten keine OAuth-Anmeldung für den Eigentümer oder Administrator der Datenbank verwenden, da dies die Datenbank von ihrem Odoo.com-Konto entkoppeln würde. Wenn OAuth für diesen Benutzer eingerichtet ist, kann die Datenbank nicht mehr dupliziert, umbenannt oder anderweitig über das Odoo.com Portal verwaltet werden.
Konfiguration¶
Die Integration der Microsoft-Anmeldefunktion erfordert Konfiguration in Microsoft und in Odoo.
Odoo-Systemparameter¶
Aktivieren Sie zunächst den Entwicklermodus gehen Sie zu .
Klicken Sie auf Neu und fügen Sie in der angezeigten leeren Zeile den folgenden Systemparameter auth_oauth.authorization_header im Feld Schlüssel hinzu und setzen Sie den Wert auf 1. Klicken Sie dann auf Speichern, um den Vorgang abzuschließen.
Microsoft-Azure-Dashboard¶
Eine neue Anwendung erstellen¶
Nun, da die Systemparameter in Odoo eingerichtet sind, ist es an der Zeit, eine entsprechende Anwendung in Microsoft Azure zu erstellen. Um mit der Erstellung der neuen Anwendung zu beginnen, gehen Sie zu Microsofts Azure-Portal. Melden Sie sich mit dem Konto von Microsoft Outlook Office 365 an, wenn es eines gibt, ansonsten melden Sie sich mit einem persönlichen Microsoft-Konto an.
Wichtig
Ein Benutzer mit administrativem Zugriff auf die Azure-Einstellungen muss eine Verbindung herstellen und die folgenden Konfigurationsschritte durchführen.
Navigieren Sie als Nächstes zum Bereich Microsoft Entra ID verwalten (früher Azure Active Directory). Dieser Link befindet sich normalerweise in der Mitte der Seite.
Klicken Sie nun auf das Symbol Hinzufügen (+) im oberen Menü und wählen Sie dann App-Registrierung aus dem Drop-down-Menü. Auf dem Bildschirm Eine App registrieren benennen Sie das Feld Name in Odoo-Anmelde-OAuth oder einen ähnlich erkennbaren Titel um. Wählen Sie im Abschnitt Unterstützte Kontotypen die Option für Nur Konten in diesem Organisationsverzeichnis (nur Standardverzeichnis - Einzelmandant).
Warnung
Die Unterstützten Kontotypen können je nach Microsoft-Kontotyp und Endverwendung von OAuth variieren. Zum Beispiel: Ist die Anmeldung für interne Benutzer innerhalb einer Organisation oder für den Zugang zum Kundenportal gedacht? Die obige Konfiguration wird für interne Benutzer in einer Organisation verwendet.
Wählen Sie Nur persönliche Microsoft-Konten, wenn die Zielgruppe Portalbenutzer sein soll. Wählen Sie Nur Konten in diesem Organisationsverzeichnis (nur Standardverzeichnis - Einzelmandant), wenn die Zielgruppe Unternehmensbenutzer sind.
Wählen Sie im Abschnitt Redirect URL die Plattform Web und geben Sie dann in das Feld URL die Adresse https:///auth_oauth/signin ein. Die Odoo-Basis URL ist die kanonische Domain, unter der Ihre Odoo-Instanz erreicht werden kann (z. B. mydatabase.odoo.com, wenn Sie auf Odoo.com gehostet werden) im Feld URL. Klicken Sie dann auf Register, und die Anwendung wird erstellt.
Authentifizierung¶
Bearbeiten Sie die Authentifizierung der neuen Anwendung, indem Sie auf den Menüpunkt Authentication im linken Menü klicken, nachdem Sie im vorherigen Schritt zu den Einstellungen der Anwendung weitergeleitet wurden.
Als nächstes wird die Art der Tokens ausgewählt, die für die OAuth-Authentifizierung benötigt werden. Dabei handelt es sich nicht um Währungstoken, sondern um Authentifizierungstoken, die zwischen Microsoft und Odoo ausgetauscht werden. Daher fallen für diese Token keine Kosten an; sie dienen lediglich der Authentifizierung zwischen zwei APIs. Wählen Sie die Token aus, die vom Autorisierungsendpunkt ausgegeben werden sollen, indem Sie auf dem Bildschirm nach unten scrollen und die Kästchen Zugriffstoken (für implizite Datenflüsse) und ID-Token (für implizite und hybride Datenflüsse) ankreuzen.
Klicken Sie auf Speichern, damit diese Einstellungen gespeichert werden.
Zugangsdaten sammeln¶
Nachdem die Anwendung erstellt und in der Microsoft-Azure-Konsole authentifiziert wurde, werden als nächstes die Anmeldedaten erfasst. Klicken Sie dazu auf den Menüpunkt Übersicht in der linken Spalte. Wählen und kopieren Sie die Anwendungs-(Client-)ID in dem erscheinenden Fenster. Fügen Sie diese Anmeldedaten in eine Zwischenablage / ein Notepad ein, da diese Anmeldedaten später in der Odoo-Konfiguration verwendet werden.
Nachdem Sie diesen Schritt abgeschlossen haben, klicken Sie im oberen Menü auf Endpunkte und klicken Sie auf das Kopiersymbol neben dem Feld OAuth-2.0 Authentifizierungsendpunkt (v2). Fügen Sie diesen Wert in die Zwischenablage / das Notepad ein.
API-Berechtigungen¶
Odoo benötigt die Berechtigung, während des OAuth-Ablaufs die Profilinformationen des angemeldeten Benutzers aus Microsoft Graph zu lesen. Stellen Sie mindestens sicher, dass die delegierte Berechtigung User.Read für die Azure-App-Registrierung erteilt wurde. Andernfalls kann der Anmeldevorgang fehlschlagen oder das Microsoft-Konto nicht korrekt mit dem Odoo-Benutzer verknüpfen.
Bemerkung
User.Read wird für neue App-Registrierungen oft standardmäßig hinzugefügt, sollte hier aber explizit überprüft werden.
Um dies zu konfigurieren, klicken Sie auf den Menüpunkt Verwalten in der linken Spalte und:
Klicken Sie auf API-Berechtigungen im linken Menü.
Klicken Sie auf (+) Berechtigung hinzufügen.
Wählen Sie Microsoft Graph unter Häufig verwendete Microsoft-APIs aus.
Wählen Sie Delegierte Berechtigungen aus.
Suchen Sie nach User.Read, wählen Sie es aus und klicken Sie auf Berechtigungen hinzufügen.
Odoo-Einrichtung¶
Der letzte Schritt bei der Konfiguration von Microsoft Azure OAuth besteht darin, die Einrichtung in Odoo abzuschließen. Navigieren Sie zu und aktivieren Sie das Kontrollkästchen für OAuth-Authentifizierung. Klicken Sie auf Speichern, um die Änderungen zu speichern, und aktualisieren Sie die Seite. Scrollen Sie zum Abschnitt und klicken Sie auf OAuth-Anbieter. Klicken Sie dann auf Neu.
Geben Sie als Anbietername Azure ein. Fügen Sie die Anwendungs-ID (Client) aus dem vorherigen Abschnitt in das Feld Client-ID ein. Fügen Sie anschließend den neuen Wert OAuth 2.0-Autorisierungsendpunkt (v2) in das Feld Autorisierungs-URL ein.
Fügen Sie in das Feld Benutzerinfo-URL die folgende URL ein: https://graph.microsoft.com/oidc/userinfo
Fügen Sie in das Feld Bereich den folgenden Wert ein: openid profile email. Als nächstes kann das Windows-Logo als CSS-Klasse auf dem Anmeldebildschirm verwendet werden, indem Sie den folgenden Wert in das Feld CSS-Klasse eingeben: fa fa-fw fa-windows.
Aktivieren Sie das Kästchen neben dem Feld Erlaubt, um den OAuth-Anbieter zu aktivieren. Fügen Sie schließlich Microsoft Azure in das Feld Bezeichnung der Anmeldeschaltfläche ein. Dieser Text wird neben dem Windows-Logo auf der Anmeldeseite erscheinen.
Speichern Sie die Änderungen, um die Einrichtung der OAuth-Authentifizierung in Odoo abzuschließen.
Benutzererlebnisablauf¶
Damit sich ein Benutzer über Microsoft Azure bei Odoo anmelden kann, muss er sich auf der Seite befinden. Nur so ist Odoo in der Lage, das Microsoft-Azure-Konto zu verknüpfen und dem Benutzer zu erlauben, sich anzumelden.
Bemerkung
Bestehende Benutzer müssen ihr Passwort zurücksetzen, um auf die zuzugreifen. Neue Odoo-Benutzer müssen auf den Link zur Einladung eines neuen Benutzers klicken, der per E-Mail verschickt wurde, und dann auf Microsoft Azure klicken. Benutzer sollten kein neues Passwort festlegen.
Um sich zum ersten Mal über den Microsoft-Azure-OAuth-Anbieter bei Odoo anzumelden, navigieren Sie zur Seite (über den Link zur Einladung eines neuen Benutzers). Es sollte eine Seite zum Zurücksetzen des Passworts erscheinen. Klicken Sie dann auf die Option mit der Bezeichnung Microsoft Azure. Die Seite leitet Sie auf die Microsoft-Anmeldeseite weiter.
Geben Sie die Microsoft-E-Mail-Adresse ein und klicken Sie auf Weiter. Folgen Sie dem Prozess, um sich bei dem Konto anzumelden. Sollte 2FA aktiviert sein, kann ein zusätzlicher Schritt erforderlich sein.
Nachdem Sie sich bei dem Konto angemeldet haben, wird die Seite zu einer Berechtigungsseite weitergeleitet, auf der der Benutzer aufgefordert wird, die Bedingungen für den Zugriff der Odoo-Anwendung auf seine Microsoft-Daten zu akzeptieren.