HELP! Authentifizierung gegen Azure

[zlex650]

Moin,

Ich habe die Zeiterfassung mit Portainer konfiguriert und die application.properties Einstellungen als Variable mitgegeben.
Die Datenbank wurde an den lokalen Postgres Server auf dem System angebunden, was auch funktioniert.
Applikation startet soweit auch, nur die Anmeldung gegen Azure AD will einfach nicht.
So langsam weiß ich nicht mehr an welchen Schrauben ich noch drehen soll.

Hier meine Settings zur Authentifizierung:
SPRING_SECURITY_OAUTH2_CLIENT_PROVIDER_DEFAULT_ISSUER-URI=https://sts.windows.net/********-****-****-****-************/
SPRING_SECURITY_OAUTH2_CLIENT_REGISTRATION_DEFAULT_AUTHORIZATION-GRANT-TYPE=authorization_code
SPRING_SECURITY_OAUTH2_CLIENT_REGISTRATION_DEFAULT_CLIENT-ID=########-####-####-####-############
SPRING_SECURITY_OAUTH2_CLIENT_REGISTRATION_DEFAULT_CLIENT-NAME=Zeiterfassung
SPRING_SECURITY_OAUTH2_CLIENT_REGISTRATION_DEFAULT_CLIENT-SECRET=$$$$$$$$$$$$$$$$$$$$$$$$$-$$$$$$$$$$$$
SPRING_SECURITY_OAUTH2_CLIENT_REGISTRATION_DEFAULT_PROVIDER=default
SPRING_SECURITY_OAUTH2_CLIENT_REGISTRATION_DEFAULT_REDIRECT-URI=https://zeiterfassung.mycompany.local/login/oauth2/code/oidc
SPRING_SECURITY_OAUTH2_CLIENT_REGISTRATION_DEFAULT_SCOPE=openid,profile,email,roles
ZEITERFASSUNG_SECURITY_OIDC_LOGIN-FORM-URL=https://login.microsoftonline.com/********-****-****-****-************/oauth2/v2.0/authorize?client_id=########-####-####-####-############&response_type=code&redirect_uri=https://zeiterfassung.mycompany.local/login/oauth2/code/oidc&response_mode=query&scope=openid,profile,email,roles

[Hinweis, Die App wird hinter einem Apache 2 Proxy mit ssl geöffnet, weshalb in der Redirekt_URI kein port 8080 angegeben ist]

2 Dinge sind seltsam:

1. SPRING_SECURITY_OAUTH2_CLIENT_PROVIDER_DEFAULT_ISSUER-URI wird mir unter Azure als https://login.microsoftonline.com/....usw. angezeigt wenn ich das aber setze, meckert die Applikation beim starten und startet nicht.
2. Seltsamer weise musste ich Parameter, ZEITERFASSUNG_SECURITY_OIDC_LOGIN-FORM-URL oben gesetzte Parameter aber in der URL nochmals aufnehmen, da sonst gleich der Fehler kam das client_id, redirect_uri und scope erforderliche Parameter sind.

Die Umleitung zu Azure funktioniert, aber dann versucht er über mehrere SSO SessionIDs mich zu Authentifizieren was dann in der Fehlermeldung:

endet.

Ich mache nun seit Tagen rum, die Zeiterfassung zum laufen zu bringen jedoch ohne Erfolg. Auch ChatGPT hilft da nicht mehr weiter :-)

Hat jemand noch eine Idee wass ich falsch mache? Oder fehlt noch was?

Danke im Voraus
Zlex

[grafjo]

Hi @zlex650,

die Authentifizierung an sich gegenüber Azure AD funktioniert an sich, jedoch hat dein Token vermutlich aktuell kein groups-claim konfiguriert und das triggert diese Exception und du wirst zurück zu Azure AD geleitet und landest in einem Redirect Loop.

Die Zeiterfassung benötigt einen groups-claim, welcher eine Liste an Gruppen des Users beinhaltet. Diese Gruppen müssen den Werten entsprechen, welche in https://github.com/urlaubsverwaltung/zeiterfassung/blob/main/src/main/java/de/focusshift/zeiterfassung/security/SecurityRole.java definiert sind.

Habe auf die Schnelle keinen Weg gefunden, wie man den Token so konfigurieren kann, dass anstatt der Object-Ids der Groups, der DisplayName verwendet wird.

Wenn man App-Roles konfiguriert, wird der claim roles in den Token geschrieben und auch entsprechend der Namen als Liste geschrieben, jedoch kann die Zeiterfassung Stand jetzt kein roles sondern erwartet groups.