Zum Hauptinhalt springen

BauGPT SSO mit Microsoft Azure einrichten

Diese Anleitung richtet sich an IT-Administratoren, die Single Sign-On (SSO) für BauGPT mit Microsoft Azure AD (Entra ID) konfigurieren möchten. Nach der Einrichtung können sich Deine Nutzer mit ihren Unternehmensanmeldedaten bei BauGPT anmelden.

Was Du brauchst

Stelle vor dem Start sicher, dass Du Folgendes hast:

  • ✅ Administratorzugriff auf Dein Azure AD / Entra ID-Portal
  • ✅ Berechtigung zum Erstellen von App-Registrierungen in Deinem Azure-Tenant
  • ✅ Befugnis zur Erteilung der Administrator-Zustimmung für Deine Organisation
  • ✅ Zugriff zur Konfiguration von Unternehmensanwendungen

Schritt-für-Schritt-Konfiguration

Schritt 1: App-Registrierung in Azure erstellen

  1. Melde Dich beim Azure Portal mit Deinem Administratorkonto an
  2. Navigiere zu Azure Active Directory → App-Registrierungen
  3. Klicke auf Neue Registrierung und fülle diese Details aus:
    • Name: BauGPT SSO
    • Unterstützte Kontotypen: Nur Konten in diesem Organisationsverzeichnis
    • Umleitungs-URI: Plattform Web, URI: https://api.baugpt.com/auth/microsoft/callback
  4. Klicke auf Registrieren
  5. Kopiere auf der Übersichtsseite:
    • Anwendungs-ID (Client) – eine GUID wie 12345678-1234-1234-1234-123456789abc
    • Verzeichnis-ID (Tenant) – die eindeutige Kennung Deines Tenants

Schritt 2: Geheimen Clientschlüssel erstellen

  1. Gehe in Deiner App-Registrierung zu Zertifikate & Geheimnisse
  2. Öffne den Tab Geheime Clientschlüssel und klicke auf Neuer geheimer Clientschlüssel:
    • Beschreibung: BauGPT SSO Secret
    • Ablaufzeit: laut Richtlinie Deiner Organisation (empfohlen: 24 Monate)
  3. Klicke auf Hinzufügen
Wichtig

Kopiere den Geheimniswert sofort – Du kannst ihn später nicht mehr abrufen!

Schritt 3: API-Berechtigungen konfigurieren

  1. Gehe zu API-Berechtigungen → Berechtigung hinzufügen → Microsoft Graph → Delegierte Berechtigungen
  2. Füge folgende Berechtigungen hinzu:
    • User.Read – Anmelden und Benutzerprofil lesen
    • email – E-Mail-Adresse der Benutzer anzeigen
    • openid – Benutzer anmelden
    • profile – Grundlegendes Benutzerprofil anzeigen
    • GroupMember.Read.All – Gruppenmitgliedschaften lesen
  3. Klicke auf Administratorzustimmung für [Deine Organisation] erteilen und bestätige
  4. Du siehst grüne Häkchen in der Spalte „Status"

Schritt 4: Authentifizierungseinstellungen konfigurieren

  1. Gehe in Deiner App-Registrierung zu Authentifizierung
  2. Unter Implizite Genehmigung und Hybridflows: aktiviere ID-Token
  3. Unter Erweiterte Einstellungen: setze Öffentliche Clientflows zulassen auf Ja
  4. Speichere alle Änderungen

Schritt 5: Optionale Token-Ansprüche (empfohlen)

  1. Gehe zu Token-Konfiguration → Optionalen Anspruch hinzufügen
  2. Tokentyp: ID – wähle diese Ansprüche:
    • email
    • family_name
    • given_name
    • preferred_username
  3. Klicke auf Hinzufügen

Schritt 6: Informationen an BauGPT übermitteln

Sende folgende Informationen an Deinen BauGPT-Ansprechpartner oder das Support-Team:

Organisationsname: [Dein Firmenname]
Primäre Domäne: [deine-domain.com]

Azure AD-Konfiguration:
- Tenant-ID: [Deine Verzeichnis-/Tenant-ID]
- Anwendungs-ID (Client): [Deine Anwendungs-ID]
- Client-Geheimnis: [Wert aus Schritt 2 – sicher übermitteln!]
Sicher übermitteln

Sende den geheimen Clientschlüssel über einen sicheren Kanal – z. B. verschlüsselte E-Mail, Passwort-Manager-Freigabe oder sichere Dateiübertragung.

SSO testen

Sobald BauGPT bestätigt, dass die Konfiguration abgeschlossen ist:

  1. Öffne die BauGPT-Anmeldung
  2. Klicke auf Mit Microsoft anmelden
  3. Melde Dich mit Deinen Unternehmensanmeldedaten an
  4. Überprüfe den erfolgreichen Zugriff

Lass anschließend einen Nicht-Administrator-Benutzer denselben Ablauf durchführen, um den Nutzer-Zugriff zu bestätigen.

Fragen?

Bei Problemen wende Dich an support@baugpt.com.