Einrichtung fur Administratoren

Diese Anleitung richtet sich an IT-Administratoren, die KlarKonform fur ihre Organisation einrichten mochten.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie:

• Administrator-Rechte in Microsoft 365 haben (Globaler Administrator oder Anwendungsadministrator)
• Eine Microsoft 365 Business oder Enterprise Lizenz besitzen
• Zugang zum Microsoft Entra Admin Center haben

Schritt 1: App-Registrierung erstellen

1. Offnen Sie das Microsoft Entra Admin Center

2. Navigieren Sie zu Applications → App registrations

3. Klicken Sie auf New registration

4. Fullen Sie die Felder aus:

   • Name: KlarKonform
   • Supported account types: Wahlen Sie "Accounts in any organizational directory" fur Multi-Tenant-Unterstutzung
   • Redirect URI: Wahlen Sie "Web" und geben Sie die Callback-URL ein (z.B. https://ihre-domain.de/auth/callback)

5. Klicken Sie auf Register

Schritt 2: Client Secret erstellen

1. Offnen Sie Ihre neu erstellte App-Registrierung
2. Navigieren Sie zu Certificates & secrets
3. Klicken Sie auf New client secret
4. Geben Sie eine Beschreibung ein (z.B. "KlarKonform Production")
5. Wahlen Sie eine Gültigkeitsdauer (empfohlen: 12-24 Monate)
6. Klicken Sie auf Add

Schritt 3: Berechtigungen konfigurieren

1. Navigieren Sie zu API permissions

2. Klicken Sie auf Add a permission → Microsoft Graph

3. Wahlen Sie Delegated permissions und aktivieren Sie:

   • openid
   • profile
   • email
   • offline_access
   • User.Read

4. Fur erweiterte Funktionen (Benutzerverwaltung, Gruppensynchronisation) fugen Sie Application permissions hinzu:

   • User.Read.All
   • Group.Read.All

5. Klicken Sie auf Grant admin consent um die Berechtigungen fur Ihre Organisation zu genehmigen

Schritt 4: Sicherheitsgruppen erstellen

KlarKonform verwendet Microsoft 365 Sicherheitsgruppen fur die Rollenverwaltung.

Gruppen anlegen

1. Im Entra Admin Center, navigieren Sie zu Groups → All groups
2. Klicken Sie auf New group
3. Erstellen Sie Gruppen nach folgendem Schema:

Benutzer zu Gruppen hinzufugen

1. Offnen Sie die gewunschte Gruppe
2. Klicken Sie auf Members → Add members
3. Wahlen Sie die Benutzer aus, die diese Rolle erhalten sollen

Schritt 5: Token-Konfiguration (optional)

Fur erweiterte Funktionen konnen Sie zusatzliche Informationen im Token aktivieren:

1. Navigieren Sie zu Token configuration

2. Klicken Sie auf Add optional claim

3. Wahlen Sie ID und aktivieren Sie:

   • email
   • family_name
   • given_name

4. Fur Gruppenmitgliedschaften: Klicken Sie auf Add groups claim und wahlen Sie Security groups

Admin Consent erteilen

Nachdem die Konfiguration abgeschlossen ist:

1. Melden Sie sich als Administrator in KlarKonform an
2. Navigieren Sie zu Einstellungen → Admin Consent
3. Klicken Sie auf "Berechtigungen erteilen"
4. Bestatigen Sie im Microsoft-Dialog

Haufige Probleme

Fehler "AADSTS65001"

Ursache: Admin Consent wurde noch nicht erteilt.

Losung: Ein Globaler Administrator muss die Berechtigungen genehmigen (siehe Schritt 5).

Fehler "AADSTS50011"

Ursache: Die Redirect URI stimmt nicht mit der Konfiguration uberein.

Losung: Prufen Sie in der App-Registrierung, ob die Redirect URI exakt mit der KlarKonform-URL ubereinstimmt (inklusive https:// und korrektem Pfad).

Fehler "AADSTS7000215"

Ursache: Das Client Secret ist abgelaufen oder ungultig.

Losung: Erstellen Sie ein neues Client Secret und aktualisieren Sie die KlarKonform-Konfiguration.

Wartung

Client Secret erneuern

Client Secrets haben ein Ablaufdatum. Erneuern Sie diese rechtzeitig:

1. Erstellen Sie 30 Tage vor Ablauf ein neues Secret
2. Aktualisieren Sie die KlarKonform-Konfiguration
3. Testen Sie die Anmeldung
4. Loschen Sie erst dann das alte Secret

Gruppenmitgliedschaften andern

Wenn Mitarbeiter neue Rollen erhalten sollen:

1. Fugen Sie sie zur entsprechenden Sicherheitsgruppe hinzu
2. Die Benutzer mussen sich ab- und wieder anmelden
3. Alternativ: Die Rolle wird beim nachsten automatischen Token-Refresh aktualisiert (innerhalb einer Stunde)