# Single Sign On (SSO)

Neben dem einfachen Passwortschutz für den Chatbot ist es möglich, den Chatbot durch Single Sign-On (SSO) abzusichern. Hierbei loggen sich Endnutzer*innen mit ihren Credentials für einen anderen Identity-Provider (z. B. Microsoft) ein. So stellen Sie sicher, dass nur berechtigte Nutzer Zugriff auf den Chatbot erhalten. Das aiStudio unterstützt aktuell die Integration mit Azure über ADFS und OAuth. Sprechen Sie uns gerne auf weitere Identity Provider an.

Vorteile

• Der Chatbot ist nach Aktivierung von SSO nur für authentifizierte Nutzer erreichbar.
• Die Benutzerverwaltung erfolgt zentral über Azure oder ADFS.
• Änderungen an Benutzerrechten oder Gruppen wirken sich sofort auf den Chatbot-Zugang aus.

1. App-Registrierung erstellen
   • Öffnen Sie das Microsoft Entra admin center.
   • Navigieren Sie zu „App-Registrierungen“.
   • Wählen Sie „Neue Registrierung“.
   • Geben Sie einen Namen für die Anwendung ein, z. B. "Kauz.ai-Chatbot"
   • Wählen Sie als Zugangstyp "Single Tenant"
   • Legen Sie die Redirect-URI fest (URL Ihres Chatbots). Per Default ist diese Ihre Chat-Base-URL ohne Parameter, z. B. https://your-url/chat/main/. Beachten Sie jedoch auch die Abweichung bei anderen Domains.
   • Nach der Registrierung sehen Sie in der App-Übersicht die Client (Application) ID und unter Endpoints die Authority URL. Kopieren Sie diese.

2. Client-Secret generieren
   • Navigieren Sie in der App-Registrierung Ihrer App zu „Zertifikate & Geheimnisse“.
   • Erstellen Sie ein neues Geheimnis. Legen Sie die Laufzeit entsprechend der Laufzeit Ihres Chatbots fest.
   • Kopieren Sie unmittelbar den Wert (Client-Secret). Bitte beachten Sie: Kopieren Sie diesen unmittelbar. Dieser kann nachträglich nicht mehr eingesehen werden.

3. Benutzer und Gruppen zuweisen Optional: Beschränken Sie den Zugriff auf bestimmte Benutzer oder Gruppen.

4. Einrichtung im aiStudio Richten Sie anschließend mit dem Key SSO im Chatbot ein: Einrichtung im aiStudio .

1. Client (Frontend-App) in ADFS registrieren

   • Öffnen Sie das Azure Portal bzw. Ihre ADFS-Verwaltung.
   • Registrieren Sie Ihre Client-Anwendung.
   • Client-Typ: Public
   • Grant Type: Authorization Code
   • Client Secret: Nicht erforderlich (für Public Clients)
   • PKCE-Unterstützung aktivieren
     • Aktivieren Sie PKCE (Proof Key for Code Exchange).
     • Code Challenge Method: S256 (SHA-256) erzwingen.
   • Redirect URI(s) registrieren
     • Legen Sie die Redirect-URI fest (URL Ihres Chatbots). Per Default ist diese Ihre Chat-Base-URL ohne Parameter, z. B. https://your-url/chat/main/. Beachten Sie jedoch auch die Abweichung bei anderen Domains.
   • Scopes erlauben
     • Mindestens: openid
     • Optional: profile, email, allatclaims (je nach Bedarf der Client-App)
   • CORS aktivieren
     • Fügen Sie die Origin der Client-App zu CORSTrustedOrigins hinzu, z. B. https://your-url.managed-kauz.net
   • Zugriff auf Discovery-Dokument sicherstellen
     • Beispiel: https://customer-adfs-domain/adfs/.well-known/openid-configuration
     • Dies ermöglicht der Client-App eine automatische Konfiguration.
   • Optional: Claims Issuance konfigurieren
     • Passen Sie die Token-Claims (z. B. E-Mail, Gruppen) nach Bedarf an.

2. Einrichtung im aiStudio Richten Sie anschließend mit dem Key SSO im Chatbot ein: Einrichtung im aiStudio .

1. Navigieren Sie im aiStudio in den Bereich Bereich Konfiguration > Chatbot > Einbindung
2. Wählen Sie unter Authentifizierung „Chatbot mit OAuth schützen“ und „Azure OAuth“ bzw. "ADFS" als Typ.
3. Kopieren Sie die Weiterleitungs-URI für Ihren Chatbot und fügen Sie diese im Azure-Portal ein (s.o.)
4. Tragen Sie die folgenden Daten aus dem Azure Portal ein:
   • Issuer-URL (Autorisierungsserver)
   • Client-ID (Application-ID)
   • Bei OAuth: Client Secret

Die Einstellungen werden automatisch gespeichert.

Wenn der Chatbot in eine Website oder ein Intranet mit einer von der Chatbot-URL abweichenden (Sub-)Domain eingebettet werden soll, sind zusätzliche technische Schritte zu beachten:

1. Anlegen und Absichern der neuen Subdomain

• Legen Sie für den Chatbot eine zusätzliche Subdomain (z. B. kauz.intranet-ihrefirma.de) im eigenen DNS an.
• Ist diese Subdomain nicht öffentlich erreichbar, müssen Sie zusätzlich ein gültiges TLS-Zertifikat für diese Domain bereitstellen. Andernfalls erscheinen HTTPS-Warnungen beim Zugriff.
• Schicken Sie Kauz.ai die Subdomain und das TLS-Zertifikat. Wir richten anschließend hierfür eine Ingress-Konfiguration ein und binden dabei das Zertifikat für die neue Domain ein.

2. Anpassungen im Microsoft Azure Portal / ADFS-Portal Fügen Sie im Azure- bzw. ADFS-Portal zusätzlich die neue Domain als Redirect-URI in Ihrer Anwendung hinzu, z.B. https://kauz.intranet-ihrefirma.de/chat/main/

3. Einstellungen im aiStudio

• Aktivieren Sie für den Chatbot den OAuth-Schutz wie im Standardprozess beschrieben.
• Alle erforderlichen OAuth-Werte (wie Client-ID etc.) können wie gewohnt eingetragen werden.
• Im Bereich "Einbettende Website" müssen jetzt beide Domains eingetragen werden:
  • Die Domain, auf der der Chatbot eingebettet wird (z. B. https://intranet-ihrefirma.de)
  • Die neue Subdomain des Chatbots, unter der dieser erreichbar ist (z. B. https://kauz.intranet-ihrefirma.de)

4. Anpassung des Einbettungs-Skripts

Ersetzen Sie im Einbettungs-Skript für den Chatbot die ursprüngliche Domain durch die neue Subdomain:

Vorher:

<script src="https://chatbot.kauz.ai/chat/main/placeholder/placeholder.production?group={group}"></script>

Nachher:

<script src="https://kauz.intranet-ihrefirma.de/chat/main/placeholder/placeholder.production?group={group}"></script>

Nach erfolgreicher Einrichtung können sich Nutzer mit ihren Zugangsdaten des konfigurierten Identitätsanbieters (z. B. Microsoft) anmelden.

• Öffnen Sie den Chatbot im Browser.
• Sie werden automatisch zur Azure- bzw. ADFS-Anmeldeseite weitergeleitet.
• Nach erfolgreicher Anmeldung erhalten Sie Zugriff auf den Chatbot.