×

Topal Solutions AG

SharePoint Profil

Moderne Microsoft Office-Anwendungen, darunter SharePoint, werden heute hauptsächlich über die Cloud-Plattform Microsoft Azure bereitgestellt.
Dies beeinflusst auch die Authentifizierungsmechanismen in Topal FA.
 
In Topal FA stehen verschiedene Authentifizierungsmechanismen zur Verfügung. Die ersten beiden Methoden gelten als veraltet (Legacy) und als nicht sicher.
Sie werden jedoch weiterhin unterstützt, da es noch bestehende Infrastrukturen gibt, die diese nutzen.
 
Um die neuen, sichereren Authentifizierungsmechanismen zu verwenden, ist eine App-Registrierung über Azure Entra ID erforderlich.
Eine detaillierte Beschreibung zur App-Registrierung in Azure Entra ID finden sie <hier>.
 
Authentifizierungsmechanismen:
 
 
Konfiguration Azure Portal - Topal FA - Zertifikat
Beispiel anhand einer Authentifizierung via Zertifikat.
Abbildung 1: Prozess Azure Portal - Topal FA - Zertifikat
 
User ID / Passwort (On-Premise)
Eine klassische Authentifizierungsmethode, bei der der Benutzer seine Unternehmens- oder Windows-Domänenanmeldeinformationen verwendet.
Wird oft in Azure Entra Umgebungen (Active-Directory) oder für Single Sign-On (SSO) innerhalb eines Unternehmens genutzt. Dieser Authentifizierungsmechanismus gilt
als veraltet (Legacy) und als nicht sicher. Dieser wird jedoch weiterhin für bestehende On-Premise Infrastrukturen unterstützt.
 
Funktionsweise:
1. Der Benutzer gibt seine Anmeldedaten (z. B. benutzer@firma.com + Domänenpasswort) ein.
2. Das System überprüft die Anmeldeinformationen gegen das Verzeichnisdienstsystem (z. B. Active Directory, LDAP).
3. Nach erfolgreicher Authentifizierung erhält der Benutzer Zugriff auf die entsprechenden Systeme.
 
Vorteile:
  • Ermöglicht zentrale Verwaltung und Zugriffskontrolle.
  • Unterstützt Sicherheitsrichtlinien (z. B. Passwortkomplexität, Ablaufzeiten, MFA).
 
Nachteile:
  • Anfällig für Phishing-Angriffe, wenn keine zusätzlichen Sicherheitsmassnahmen wie MFA genutzt werden.
  • Kann zu erhöhtem Administrationsaufwand führen, wenn viele Benutzer regelmässig ihr Passwort zurücksetzen müssen.
 
Abbildung 2: Profileinstellungen - User ID / Passwort (On-Premise)
 
User ID / Passwort (App Passwort)
Diese Methode wird genutzt, wenn eine Anwendung keine moderne Authentifizierung unterstützt (z. B. Legacy-Systeme). Der Mechanismus gilt
als veraltet (Legacy) und als nicht sicher. Statt des normalen Passworts wird ein speziell generiertes App-Passwort verwendet. Dieser wird jedoch
weiterhin für bestehende Infrastrukturen unterstützt.
 
Funktionsweise:
1. Der Benutzer generiert in seinem Azure Portal ein App-spezifisches Passwort.
2. Dieses Passwort wird in der Anwendung hinterlegt und dient zur Authentifizierung.
3. Das App-Passwort kann nicht zurückgesetzt werden – es muss neu generiert werden, falls es verloren geht.
 

Abbildung 3: Profileinstellungen - User ID / Passwort (App Passwort)
 
User ID / Passwort (Domain PW ohne 2FA)
Wird die Verwendung einer User ID / Passwort Authentifizierung mit dem Domain Password gewünscht, wird diese per Default mit einer Zwei-Faktor-Authentisierung (2FA) angeboten.
 
In Topal FA kann dieser Mechanismus nur verwendet werden, wenn die Zwei-Faktor-Authentisierung (2FA) ausgeschaltet wird.
Eine Zwei-Faktor-Authentisierung im DMS Kontext macht nur bedingt Sinn, da bei jedem Verbindungsaufbau ein Bestätigung via "MS Auhtenticator" notwendig wäre.
Entsprechend gelten die Vor- und Nachteile des Authentifizierungsmechanismus User ID / Passwort (On-Premise).
 
Abbildung 4: Profileinstellungen - User ID / Passwort (Domain PW ohne 2FA)
 
Authentifizierung via Device Code
Der Device Code Prozess ist ein Authentifizierungsverfahren für Geräte ohne eine komfortable Eingabemöglichkeit,
wie Smart-TVs, IoT-Geräte oder Terminals. Der Benutzer startet die Authentifizierung, indem das Gerät eine eindeutige Zeichenfolge (Device Code) anzeigt.
Bei diesem Verfahren wird ein Token erstellt. Dieser wird gespeichert und mit jeder Verwendung wieder refreshed. Ist während 90 Tagen keine
Interaktion zu verzeichnen, läuft der Token ab und eine neue Authentifizierung ist nötig.
 
Vorteil:
  • Ermöglicht eine sichere Authentifizierung, auch wenn das Gerät selbst keine komfortable Eingabemöglichkeit hat.
 
Weitere Infos:
Microsoft-Dokumentation zum Device Code Flow
 
Abbildung 5: Profileinstellungen - Authentifizierung via Device Code
 
Bei der Verwendung dieser Authentifizierungsart, werden Sie im folgenden aufgefordert den Verifizierungscode zu kopieren und diesen, durch öffnen des unten stehenden Link, in den "Windows" Anforderungsdialog einzufügen.



Abbildung 6: Profileinstellungen - Device Code login
 
 
Interaktive Authentifizierung (Interaktiver Prozess)
Der Interaktive Prozess wird für Benutzeranmeldungen verwendet, bei denen eine direkte Interaktion mit einem Login-Fenster möglich ist.
Bei diesem Verfahren authentifiziert sich der User einmal und erhält einen Token. Dieser wird gespeichert und mit jeder Verwendung wieder refreshed. Ist während 90 Tagen keine
Interaktion zu verzeichnen, läuft der Token ab und eine neue Authentifizierung ist nötig. Dieser Mechanismus wird empfohlen.
 
Vorteile:
  • Unterstützung für moderne Authentifizierungsmethoden (z. B. OAuth, OpenID Connect).
  • Integration von Sicherheitsmechanismen wie MFA oder Single Sign-On (SSO).
  • Kann über Redirect-URLs oder Popups erfolgen.
 
Weitere Infos:
Microsoft-Dokumentation zum Interaktiven Flow
 
Abbildung 7: Profileinstellungen - Interaktive Authentifizierung
 
Bei der Verwendung dieser Authentifizierungsart werden Sie durch einen "Windows" Anforderungsdialog aufgefordert, Ihr Profil zu wählen. 
 
Authentifizierung via Zertifikat (Client Credential Flow mit Zertifikaten)
Der Zertifikats Prozess (auch Client Credentials Flow mit Zertifikaten) wird für serverseitige Anwendungen und Dienste verwendet, die ohne Benutzereingabe
authentifiziert werden müssen. Wird häufig für Dienstkonten, Maschinen-zu-Maschinen-Kommunikation oder API-Zugriffe ohne Benutzerinteraktion genutzt.
Dieser Mechanismus gilt als sehr sicher, bedingt aber einen Mehraufwand für die Zertifikatsverteilung. 
 
Funktionsweise:
1. Das Client-Gerät sendet eine Anfrage mit dem Zertifikat an den Authentifizierungsserver.
2. Der Server überprüft die Gültigkeit und Authentizität des Zertifikats.
3. Bei erfolgreicher Überprüfung wird ein Zugriffstoken ausgegeben.
 
Vorteile:
  • Erhöhte Sicherheit, da keine Passwörter gespeichert oder übermittelt werden.
  • Automatisierte Authentifizierung ohne Benutzereingriff möglich.
 
Nachteile:
  • Zertifikatsverwaltung ist komplex (z. B. Erneuerung, Widerruf, Schutz vor Diebstahl).
 
Weitere Infos:
Microsoft-Dokumentation zum Client Credentials Flow
 
Abbildung 8: Profileinstellungen - Authentifizierung via Zertifikat