# Single Sign On (SSO)

Neben dem einfachen Passwortschutz für den Chatbot ist es möglich, den Chatbot durch Single Sign-On (SSO) abzusichern. Hierbei loggen sich Endnutzer*innen mit ihren Credentials für einen anderen Identity-Provider (z. B. Microsoft) ein. So stellen Sie sicher, dass nur berechtigte Nutzer Zugriff auf den Chatbot erhalten. Das aiStudio unterstützt aktuell die Integration mit Azure über ADFS und OAuth. Sprechen Sie uns gerne auf weitere Identity Provider an.

Vorteile

• Der Chatbot ist nach Aktivierung von SSO nur für authentifizierte Nutzer erreichbar.
• Die Benutzerverwaltung erfolgt zentral über Azure.
• Änderungen an Benutzerrechten oder Gruppen wirken sich sofort auf den Chatbot-Zugang aus.

# Azure OAuth: Einrichtung im Azure Portal

1. App-Registrierung erstellen
   • Öffnen Sie das Microsoft Entra admin center.
   • Navigieren Sie zu „App-Registrierungen“.
   • Wählen Sie „Neue Registrierung“.
   • Geben Sie einen Namen für die Anwendung ein, z. B. "Kauz.ai-Chatbot"
   • Wählen Sie als Zugangstyp "Single Tenant"
   • Legen Sie die Redirect-URI fest (URL Ihres Chatbots). Die URL finden Sie im aiStudio unter Einrichtung (s.u. Einrichtung im aiStudio )
   • Nach der Registrierung sehen Sie in der App-Übersicht die Client (Application) ID und unter Endpoints die Authority URL. Kopieren Sie diese.

2. Client-Secret generieren
   • Navigieren Sie in der App-Registrierung Ihrer App zu „Zertifikate & Geheimnisse“.
   • Erstellen Sie ein neues Geheimnis. Legen Sie die Laufzeit entsprechend der Laufzeit Ihres Chatbots fest.
   • Kopieren Sie unmittelbar den Wert (Client-Secret). Bitte beachten Sie: Kopieren Sie diesen unmittelbar. Dieser kann nachträglich nicht mehr eingesehen werden.

3. Benutzer und Gruppen zuweisen Optional: Beschränken Sie den Zugriff auf bestimmte Benutzer oder Gruppen.

4. Einrichtung im aiStudio Richten Sie anschließend mit dem Key SSO im Chatbot ein: Einrichtung im aiStudio .

# ADFS: Einrichtung in ADFS-Verwaltung

1. Client (Frontend-App) in ADFS registrieren

   • Öffnen Sie das Azure Portal bzw. Ihre ADFS-Verwaltung.
   • Registrieren Sie Ihre Client-Anwendung.
   • Client-Typ: Public
   • Grant Type: Authorization Code
   • Client Secret: Nicht erforderlich (für Public Clients)
   • PKCE-Unterstützung aktivieren
     • Aktivieren Sie PKCE (Proof Key for Code Exchange).
     • Code Challenge Method: S256 (SHA-256) erzwingen.
   • Redirect URI(s) registrieren
     • Diese finden Sie im aiStudio (s.u.)
   • Scopes erlauben
     • Mindestens: openid
     • Optional: profile, email, allatclaims (je nach Bedarf der Client-App)
   • CORS aktivieren
     • Fügen Sie die Origin der Client-App zu CORSTrustedOrigins hinzu, z. B. https://your-url.managed-kauz.net
   • Zugriff auf Discovery-Dokument sicherstellen
     • Beispiel: https://customer-adfs-domain/adfs/.well-known/openid-configuration
     • Dies ermöglicht der Client-App eine automatische Konfiguration.
   • Optional: Claims Issuance konfigurieren
     • Passen Sie die Token-Claims (z. B. E-Mail, Gruppen) nach Bedarf an.

2. Einrichtung im aiStudio Richten Sie anschließend mit dem Key SSO im Chatbot ein: Einrichtung im aiStudio .

# Einrichtung in aiStudio

1. Navigieren Sie im aiStudio in den Bereich Bereich Konfiguration > Chatbot > Einbindung
2. Wählen Sie unter Authentifizierung „Chatbot mit OAuth schützen“ und „Azure OAuth“ bzw. "ADFS" als Typ.
3. Kopieren Sie die Weiterleitungs-URI für Ihren Chatbot und fügen Sie diese im Azure-Portal ein (s.o.)
4. Tragen Sie die folgenden Daten aus dem Azure Portal ein:
   • Issuer-URL (Autorisierungsserver)
   • Client-ID (Application-ID)
   • Bei OAuth: Client Secret

Die Einstellungen werden automatisch gespeichert.

# SSO testen

Nach erfolgreicher Einrichtung können sich Nutzer mit ihren Microsoft Zugangsdaten (Benutzername und Passwort) anmelden.

• Öffnen Sie den Chatbot im Browser.
• Sie werden automatisch zur Azure-Anmeldeseite weitergeleitet.
• Nach erfolgreicher Anmeldung erhalten Sie Zugriff auf den Chatbot.