ConnectCLOUDDocs

Appearance

Allgemeine Konfiguration

Microsoft Entra ID für authentik einrichten

Mit dieser Anleitung richten Sie in Microsoft Entra ID eine App-Registrierung ein, damit wir Ihre Anmeldung an authentik anbinden können.

Bitte senden Sie uns nach Abschluss der Einrichtung die folgenden Werte:

  • Application (client) ID
  • Directory (tenant) ID
  • Client Secret

Diese Angaben benötigen wir für die Einrichtung auf unserer Seite.

Voraussetzungen

Für die Einrichtung benötigen Sie:

  • Zugriff auf das Onboarding, um die technischen Werte für Ihre Anmeldung zu erzeugen
  • einen Namen für die App-Registrierung, zum Beispiel authentik-musterfirma
  • den im Onboarding generierten technischen Source-Namen, zum Beispiel entra-musterfirma-7k4p2q
  • die dazugehörige im Onboarding generierte Redirect-URI, zum Beispiel https://auth.mbcom.cloud/source/oauth/callback/entra-musterfirma-7k4p2q/

Wichtig: Die Redirect-URI muss exakt zu dem im Onboarding erzeugten Source-Namen passen.

Schritt 1: Technische Werte im Onboarding erzeugen

Tragen Sie zuerst im Onboarding Ihren Kunden- oder Firmennamen ein und erzeugen Sie daraus die technischen Werte für die Entra-App.

Dabei erhalten Sie:

  • einen vorgeschlagenen App-Namen, zum Beispiel authentik-musterfirma
  • einen festen technischen Source-Namen, zum Beispiel entra-musterfirma-7k4p2q
  • die passende Redirect-URI, zum Beispiel https://auth.mbcom.cloud/source/oauth/callback/entra-musterfirma-7k4p2q/

Übernehmen Sie den Source-Namen und die Redirect-URI anschließend unverändert in Microsoft Entra ID.

Schritt 2: Neue App Registration anlegen

Melden Sie sich im Microsoft Entra Admin Center an und öffnen Sie:

  • Microsoft Entra ID > App registrations > New registration

Schritt 3: Basisdaten eintragen

Tragen Sie in der neuen App-Registrierung die folgenden Werte ein:

  • Name: authentik-musterfirma
  • Supported account types: Accounts in this organizational directory only (Single tenant)
  • Redirect URI:
    • Plattform: Web
    • URI: https://auth.mbcom.cloud/source/oauth/callback/entra-musterfirma-7k4p2q/

Klicken Sie anschließend auf Register.

Schritt 4: Redirect URI nach der Erstellung prüfen

Öffnen Sie anschließend in der App den Bereich Authentication und prüfen Sie, ob dort genau diese Redirect-URI hinterlegt ist:

https://auth.mbcom.cloud/source/oauth/callback/entra-musterfirma-7k4p2q/

Wichtig ist, dass die URI exakt stimmt:

  • mit https
  • mit vollständigem Pfad
  • mit abschließendem Slash /

Schon kleine Abweichungen können dazu führen, dass die Anmeldung später nicht funktioniert.

Schritt 5: Client Secret erzeugen

Öffnen Sie den Bereich Certificates & secrets und klicken Sie auf New client secret.

Tragen Sie zum Beispiel folgende Beschreibung ein:

  • authentik-musterfirma-secret

Wählen Sie die gewünschte Laufzeit und speichern Sie den angezeigten Secret-Wert sofort an einem sicheren Ort.

Wichtig: Der Secret-Wert wird nach dem Verlassen der Ansicht nicht erneut vollständig angezeigt.

Schritt 6: Client ID und Tenant ID notieren

Notieren Sie sich auf der Übersichtsseite der App die folgenden Werte:

  • Application (client) ID
  • Directory (tenant) ID

Zusammen mit dem Client Secret sind dies die drei Angaben, die wir für die Einrichtung benötigen.

Der im Onboarding erzeugte Source-Name und die Redirect-URI bleiben zusätzlich Teil der technischen Referenz und werden bei der verschlüsselten Übergabe automatisch mitgeführt.

Schritt 7: Berechtigungen hinzufügen

Öffnen Sie:

  • API permissions > Add a permission > Microsoft Graph > Delegated permissions

Fügen Sie die folgenden Berechtigungen hinzu:

  • openid
  • profile
  • email

Diese Berechtigungen sind erforderlich, damit die Anmeldung funktioniert und die grundlegenden Benutzerinformationen übernommen werden können.

Klicken Sie anschließend im Bereich API permissions auf:

  • Grant admin consent

Damit vermeiden Sie, dass Benutzer beim ersten Login zusätzlich eine Berechtigungsabfrage bestätigen müssen.

Schritt 9: Ergebnis prüfen

Am Ende sollte Ihre App die folgenden Eigenschaften haben:

  • Die App Registration ist erstellt.
  • Single tenant ist ausgewählt.
  • Die Redirect-URI ist gesetzt auf die im Onboarding erzeugte URI, zum Beispiel https://auth.mbcom.cloud/source/oauth/callback/entra-musterfirma-7k4p2q/.
  • Ein Client Secret wurde erzeugt und sicher gespeichert.
  • Application (client) ID und Directory (tenant) ID wurden notiert.
  • Die Delegated Permissions openid, profile und email sind gesetzt.
  • Grant admin consent wurde ausgeführt.

Unterstützung durch MBCOM

Auf Wunsch kann die vollständige Einrichtung der ConnectCLOUD-Schnittstelle durch MBCOM übernommen werden.