Dieses Handbuch dokumentiert die neue AWS Wickr-Verwaltungskonsole, die am 13. März 2025 veröffentlicht wurde. Die Dokumentation zur klassischen Version der AWS Wickr-Verwaltungskonsole finden Sie im [Classic Administration Guide](https://docs.aws.amazon.com/wickr/latest/adminguide-classic/what-is-wickr.html).

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren Sie AWS Wickr mit Microsoft Entra (Azure AD) Single Sign-On
<a name="entra-ad-sso"></a>

AWS Wickr kann so konfiguriert werden, dass Microsoft Entra (Azure AD) als Identitätsanbieter verwendet wird. Führen Sie dazu die folgenden Verfahren sowohl in Microsoft Entra als auch in der AWS Wickr-Administrationskonsole durch.

**Warnung**  
Nachdem SSO in einem Netzwerk aktiviert wurde, werden aktive Benutzer von Wickr abgemeldet und sie werden gezwungen, sich erneut über den SSO-Anbieter zu authentifizieren.

## Schritt 1: Registrieren Sie AWS Wickr als Anwendung in Microsoft Entra
<a name="step-1-entra-wickr-application"></a>

Gehen Sie wie folgt vor, um AWS Wickr als Anwendung in Microsoft Entra zu registrieren.

**Anmerkung**  
Detaillierte Screenshots und Problemlösungen finden Sie in der Microsoft Entra-Dokumentation. Weitere Informationen finden Sie unter [Registrieren einer Anwendung bei der Microsoft Identity Platform](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app)

1. Wählen Sie im Navigationsbereich **Anwendungen** und dann **App-Registrierungen** aus.

1. Wählen Sie auf der Seite **App-Registrierungen** die **Option Anwendung registrieren** aus und geben Sie dann einen Anwendungsnamen ein.

1. Wählen Sie Nur **Konten in diesem Organisationsverzeichnis aus (Nur Standardverzeichnis — Einzelmandant)**.

1. Wählen Sie unter **Umleitungs-URI** die Option **Web** aus und geben Sie dann die Umleitungs-URI ein, die in den SSO-Konfigurationseinstellungen in der AWS Wickr Admin-Konsole verfügbar ist

1. Wählen Sie **Registrieren** aus.

1. Nach der Registrierung wurde copy/save die Anwendungs-ID (Client) generiert.  
![\[ID-Bild der Client-Anwendung.\]](http://docs.aws.amazon.com/de_de/wickr/latest/adminguide/images/application-client-id.png)

1. Wählen Sie die Registerkarte **Endpoints**, um sich Folgendes zu notieren:

   1. OAuth 2.0-Autorisierungsendpunkt (v2): z. B.: `https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/oauth2/v2.0/authorize` 

   1. Bearbeiten Sie diesen Wert, um „oauth2/“ und „authorize“ zu entfernen. Die feste URL sieht zum Beispiel so aus: `https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/`

   1. Dies wird als **SSO-Herausgeber** bezeichnet.

## Schritt 2: Authentifizierung einrichten
<a name="step-2-entra-setup-authentication"></a>

Gehen Sie wie folgt vor, um die Authentifizierung in Microsoft Entra einzurichten.

1. Wählen Sie im Navigationsbereich **Authentifizierung** aus.

1. Vergewissern Sie sich auf der **Authentifizierungsseite**, dass der **Webumleitungs-URI** derselbe ist, der zuvor eingegeben wurde (unter *AWS Wickr als Anwendung registrieren*).  
![\[Bild für die Client-Authentifizierung.\]](http://docs.aws.amazon.com/de_de/wickr/latest/adminguide/images/authentication.png)

1. Wählen Sie **Zugriffstoken aus, die für implizite Datenflüsse verwendet** werden, und **ID-Token, die für implizite und hybride Datenflüsse verwendet werden**.

1. Wählen Sie **Speichern**.  
![\[Fordern Sie ein Zugriffstoken-Image an.\]](http://docs.aws.amazon.com/de_de/wickr/latest/adminguide/images/access-tokens.png)

## Schritt 3: Zertifikate und Geheimnisse einrichten
<a name="step-3-entra-setup-certificates"></a>

Gehen Sie wie folgt vor, um Zertifikate und Geheimnisse in Microsoft Entra einzurichten.

1. Wählen Sie im Navigationsbereich **Certificates & Secrets** aus.

1. Wählen Sie auf der Seite **Certificates & Secrets** die Registerkarte **Client Secrets** aus.

1. Wählen Sie auf der Registerkarte **Client-Geheimnisse** die Option **Neuer geheimer Client-Schlüssel** aus.

1. Geben Sie eine Beschreibung ein und wählen Sie einen Ablaufzeitraum für das Geheimnis aus.

1. Wählen Sie **Hinzufügen** aus.  
![\[Fügen Sie ein geheimes Client-Image hinzu.\]](http://docs.aws.amazon.com/de_de/wickr/latest/adminguide/images/entra-create-client-secret.png)

1. Kopieren Sie nach der Erstellung des Zertifikats den **Wert für den geheimen Clientschlüssel**.  
![\[Ein Beispiel für einen geheimen Client-Wert.\]](http://docs.aws.amazon.com/de_de/wickr/latest/adminguide/images/entra-client-secret-value.png)
**Anmerkung**  
Der geheime Wert des Client (nicht Secret ID) wird für Ihren Client-Anwendungscode benötigt. Möglicherweise können Sie den geheimen Wert nicht anzeigen oder kopieren, nachdem Sie diese Seite verlassen haben. Wenn Sie ihn jetzt nicht kopieren, müssen Sie zurückgehen, um einen neuen geheimen Clientschlüssel zu erstellen.

## Schritt 4: Token-Konfiguration einrichten
<a name="step-4-entra-setup-token"></a>

Gehen Sie wie folgt vor, um die Tokenkonfiguration in Microsoft Entra einzurichten.

1. Wählen Sie im Navigationsbereich **Tokenkonfiguration** aus.

1. Wählen Sie auf der Seite **Token-Konfiguration** die Option **Optionalen Anspruch hinzufügen** aus.

1. Wählen Sie unter **Optionale Ansprüche** den **Token-Typ** als **ID** aus.

1. Nachdem Sie **ID** ausgewählt haben, wählen Sie unter **Anspruch** die Option **E-Mail** und **UPN** aus.

1. Wählen Sie **Hinzufügen** aus.  
![\[Bild vom Token-Typ.\]](http://docs.aws.amazon.com/de_de/wickr/latest/adminguide/images/entra-token-type.png)

## Schritt 5: API-Berechtigungen einrichten
<a name="step-5-entra-setup-api-permissions"></a>

Gehen Sie wie folgt vor, um API-Berechtigungen in Microsoft Entra einzurichten.

1. Wählen Sie im Navigationsbereich **API permissions** (API-Berechtigungen) aus.

1. Wählen Sie auf der Seite mit den **API-Berechtigungen** die Option **Berechtigung hinzufügen** aus.  
![\[Fügen Sie ein Berechtigungsbild hinzu.\]](http://docs.aws.amazon.com/de_de/wickr/latest/adminguide/images/entra-api-permissions.png)

1. Wählen Sie **Microsoft Graph** und dann **Delegierte Berechtigungen** aus.

1. ****Aktivieren Sie das Kontrollkästchen für **E-Mail**, **Offline\$1Access**, OpenID und Profil.****

1. Wählen Sie **Add permissions** (Berechtigungen hinzufügen) aus.

## Schritt 6: Machen Sie eine API verfügbar
<a name="step-6-entra-expose-api"></a>

Gehen Sie wie folgt vor, um eine API für jeden der 4 Bereiche in Microsoft Entra verfügbar zu machen.

1. Wählen Sie im Navigationsbereich die Option **Expose an API** aus.

1. Wählen Sie auf **der Seite Eine API** verfügbar machen die Option **Bereich hinzufügen** aus.  
![\[Machen Sie ein API-Bild verfügbar.\]](http://docs.aws.amazon.com/de_de/wickr/latest/adminguide/images/entra-expose-an-api.png)

   Die **Anwendungs-ID-URI** sollte auto aufgefüllt werden, und die ID, die auf den URI folgt, sollte mit der **Anwendungs-ID** übereinstimmen (erstellt in *AWS Wickr als Anwendung registrieren*).  
![\[Fügen Sie ein Scope-Bild hinzu.\]](http://docs.aws.amazon.com/de_de/wickr/latest/adminguide/images/entra-add-scope.png)

1. Wählen Sie **Save and continue** aus.

1. Wählen Sie das Tag **Admins and users** aus und geben Sie dann den Bereichsnamen als **offline\$1access** ein.

1. **Wählen Sie **Status** und dann Aktivieren aus.**

1. Wählen Sie **Bereich hinzufügen** aus.

1. **Wiederholen Sie die Schritte 1—6 dieses Abschnitts, um die folgenden Bereiche hinzuzufügen: **E-Mail**, **OpenID** und Profil.**  
![\[Fügen Sie das Bereichsbild hinzu.\]](http://docs.aws.amazon.com/de_de/wickr/latest/adminguide/images/entra-scopes-api.png)

1. Wählen Sie unter **Autorisierte Clientanwendungen** die Option **Clientanwendung hinzufügen** aus.

1. Wählen Sie alle vier Bereiche aus, die im vorherigen Schritt erstellt wurden.

1. Geben Sie die **Anwendungs-ID (Client)** ein oder überprüfen Sie sie.

1. Wählen Sie **Anwendung hinzufügen**.

## Schritt 7: AWS Wickr SSO-Konfiguration
<a name="step-7-wickr-sso-configuration"></a>

Führen Sie das folgende Konfigurationsverfahren in der AWS Wickr-Konsole durch.

1. Öffnen Sie das AWS-Managementkonsole für Wickr unter. [https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)

1. Wählen Sie auf der **Seite Netzwerke** den Netzwerknamen aus, um zu diesem Netzwerk zu navigieren. 

1. Wählen Sie im Navigationsbereich **Benutzerverwaltung** und dann **SSO konfigurieren** aus.

1. Geben Sie folgende Details ein:
   + **Aussteller** — Dies ist der Endpunkt, der zuvor geändert wurde (z. B.`https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/`).
   + **Client-ID** — Dies ist die **Anwendungs-ID (Client)** aus dem **Übersichtsbereich**.
   + **Geheimer Client-Schlüssel (optional)** — Dies ist der **geheime Client-Schlüssel** aus dem Bereich **Certificates & Secrets**.
   + **Bereiche — Dies sind die Bereichsnamen**, die im Bereich „**Eine API verfügbar machen**“ angezeigt werden. **Geben Sie **email**, **profile**, **offline\$1access** und openid ein.**
   + **Gültigkeitsbereich des benutzerdefinierten Benutzernamens (optional)** **— Geben Sie upn ein.**
   + **Unternehmens-ID** — Dies kann ein eindeutiger Textwert sein, der alphanumerische Zeichen und Unterstriche enthält. Dieser Satz wird von Ihren Benutzern eingegeben, wenn sie sich auf neuen Geräten registrieren.

   *Andere Felder sind optional.*

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Details auf der Seite **Überprüfen und speichern** und wählen Sie dann **Änderungen speichern** aus.

Die SSO-Konfiguration ist abgeschlossen. Zur Überprüfung können Sie der Anwendung in Microsoft Entra jetzt einen Benutzer hinzufügen und sich mit dem Benutzer über SSO und Unternehmens-ID anmelden.

Weitere Informationen zum Einladen und Onboarding von Benutzern finden Sie unter [Benutzer erstellen und einladen](https://docs.aws.amazon.com/wickr/latest/adminguide/getting-started.html#getting-started-step3).

## Fehlerbehebung
<a name="troubleshooting"></a>

Im Folgenden finden Sie häufig auftretende Probleme und Vorschläge zu deren Lösung.
+ Der SSO-Verbindungstest schlägt fehl oder reagiert nicht: 
  + Stellen Sie sicher, dass der **SSO-Aussteller** wie erwartet konfiguriert ist.
  + Stellen Sie sicher, dass die erforderlichen Felder in der **SSO-Konfiguration** wie erwartet festgelegt sind.
+ Der Verbindungstest ist erfolgreich, aber der Benutzer kann sich nicht anmelden: 
  + Stellen Sie sicher, dass der Benutzer zu der Wickr-Anwendung hinzugefügt wurde, die Sie in Microsoft Entra registriert haben.
  + Stellen Sie sicher, dass der Benutzer die richtige Unternehmens-ID einschließlich des Präfixes verwendet. *Z. B. UE1 - DemoNetwork W\$1drqtVA*.
  + Das **Client Secret** ist in der **AWS Wickr SSO-Konfiguration** möglicherweise nicht korrekt festgelegt. Setzen Sie es zurück, indem Sie ein anderes **Client-Geheimnis** in Microsoft Entra erstellen und das neue **Client-Geheimnis** in der **Wickr** SSO-Konfiguration festlegen.