Microsoft Entra ID mit Relution verknüpfen

Einleitung

Mit der Verknüpfung von Microsoft Entra ID und Relution schaffen Sie die Grundlage für Microsoft-basierte Integrationen in Ihrer Organisation. Dazu zählen beispielsweise die Anbindung von Windows-Geräten sowie die Nutzung weiterer Microsoft-Dienste in Verbindung mit Relution.

Somit können Benutzer:innen und Gruppen aus Microsoft Entra ID mit Relution synchronisiert werden. Dadurch lassen sich Benutzerkonten zentral in Microsoft verwalten und automatisch in Relution bereitstellen.

Damit sich synchronisierte Benutzer:innen anschließend über Relution anmelden können, muss zusätzlich die OIDC-Authentifizierung eingerichtet werden. Sollen Zugriffe über Conditional Access abgesichert werden, sind sowohl die Verknüpfung von Microsoft Entra ID als auch die Einrichtung von OIDC erforderlich.

Die dafür notwendigen Einstellungen werden teilweise in Relution und teilweise im Microsoft-Entra-Admincenter vorgenommen.

Voraussetzungen

Für die Verknüpfung von Microsoft Entra ID mit Relution müssen folgende Voraussetzungen erfüllt sein, wenn ausschließlich Benutzer:innen aus Microsoft Entra ID mit Relution synchronisiert werden sollen:

  • eine bestehende Microsoft Entra ID-Umgebung
  • ausreichende Berechtigungen in Microsoft Entra, in der Regel die Rolle Globaler Administrator
  • ein erreichbarer Relution Server
  • eine App-Registrierung in Microsoft Entra

Falls zusätzlich Windows Autopilot oder Entra Join verwendet werden soll, sind außerdem folgende Voraussetzungen erforderlich:

  • die Server-URL des Relution Servers, die später in Microsoft Entra hinterlegt wird
  • eine angelegte MDM-Anwendung

Verknüpfung in Relution aufrufen

Im Relution-Portal finden Sie den Bereich für die Einrichtung unter Einstellungen > Benutzerverwaltung > Entra ID.

Dort unterstützt Sie eine Anleitung bei der Konfiguration und Verknüpfung mit Microsoft Entra.

Entra ID Verknüpfung in Relution Einstellungen unter Benutzerverwaltung öffnen

Falls Sie ausschließlich Benutzer:innen und Gruppen aus Microsoft Entra mit Relution synchronisieren möchten, reicht eine normale App-Registrierung aus. Diese können Sie über den folgenden Link erstellen: Neue App-Registrierung in Entra

Vornehmen der MDM-Anwendungseinstellungen

Nachdem die neue MDM-Anwendung erstellt wurde, können die lokalen MDM-Anwendungseinstellungen in Microsoft Entra vorgenommen werden. Dabei ist es erforderlich, folgende Angaben aus Microsoft Entra in die Relution-Anleitung zu übertragen:

  1. Anwendungs-ID (Client)
  2. Verzeichnis-ID (Mandant)
  3. den Wert des Geheimen Clientschlüssels

Anwendungs-ID und Verzeichnis-ID der Microsoft Entra MDM-Anwendung für Relution kopieren

Klicken Sie anschließend in den lokalen MDM-Anwendungseinstellungen zum Bearbeiten auf Anwendungs-ID-URI.

Anwendungs-ID-URI der Microsoft Entra MDM-Anwendung bearbeiten

Tragen Sie in der nachfolgenden Ansicht als Anwendungs-ID-URI die entsprechende Server-URL ein.

Server-URL als Anwendungs-ID-URI in Microsoft Entra MDM-Anwendung eintragen

Als Nächstes fügen Sie unter Zertifikate & Geheimnisse einen Geheimen Clientschlüssel hinzu:

  1. Klicken Sie im Tab Geheime Clientschlüssel auf Neuer geheimer Clientschlüssel.
  2. Geben Sie im Dialogfenster Geheimen Clientschlüssel hinzufügen eine Beschreibung und die Gültigkeitsdauer an.
  3. Klicken Sie auf Hinzufügen.

Wenn der Gültigkeitszeitraum abgelaufen ist, besteht keine Verbindung mehr und Relution kann nicht mehr mit Microsoft Entra kommunizieren. In diesem Fall muss ein neuer Geheimer Clientschlüssel für die Anwendung in Microsoft Entra erstellt und erneut in Relution hinterlegt werden.

Geheimen Clientschlüssel unter Zertifikate und Geheimnisse in Microsoft Entra hinzufügen

Anschließend wird in der Übersicht im Tab Geheime Clientschlüssel der neue Eintrag angezeigt.

Der zugehörige Wert wird nur einmalig angezeigt und muss daher direkt kopiert und in Relution übertragen werden.

Konfigurieren der API-Berechtigungen

Im nächsten Schritt werden die API-Berechtigungen konfiguriert:

API-Berechtigungen für Microsoft Entra Autopilot MDM-Anwendung in Relution konfigurieren

Je nach künftig verwendeten Microsoft-Funktionen kann es erforderlich sein, zu einem späteren Zeitpunkt weitere Berechtigungen hinzuzufügen.

Folgende Einstellungen müssen in Microsoft Entra durchgeführt werden:

  1. Klicken Sie unter API-Berechtigungen > Konfigurierte Berechtigungen auf Berechtigung hinzufügen.
  2. Wählen Sie im Dialogfenster API-Berechtigungen anfordern unter Microsoft-APIs den Eintrag Microsoft Graph aus.

Microsoft Graph unter Microsoft-APIs für API-Berechtigungen in Microsoft Entra auswählen

  1. Wählen Sie im nächsten Schritt die Kachel Anwendungsberechtigungen aus.

Anwendungsberechtigungen für Microsoft Graph in Microsoft Entra auswählen

  1. Wählen Sie für User die Berechtigung User.Read.All aus.

User.Read.All Berechtigung für Microsoft Graph in Microsoft Entra aktivieren

  1. Wählen Sie für Group die Berechtigung Group.Read.All aus.

Group.Read.All Berechtigung für Microsoft Graph in Microsoft Entra aktivieren

  1. Wählen Sie für Device die Berechtigung Device.ReadWrite.All aus und bestätigen Sie die Auswahl mit Berechtigungen hinzufügen.

Device.ReadWrite.All Berechtigung für Microsoft Graph in Microsoft Entra hinzufügen

Bei den neu hinzugefügten API-Berechtigungen wird zunächst ein Ausrufezeichen als Status angezeigt. Administrator:innen müssen die Berechtigungen einmal bestätigen, damit Microsoft Graph diese tatsächlich erhält. Anschließend wird der Status mit einem grünen Häkchen als Gewährt dargestellt.

API-Berechtigungen in Microsoft Entra nach Administrator-Zustimmung als erteilt anzeigen

Definieren der Umleitungs-URI

In der Relution-Anleitung wird anschließend die Umleitungs-URI in Microsoft Entra konfiguriert:

Authentifizierungsplattform für Umleitungs-URI in Microsoft Entra hinzufügen

  1. Klicken Sie unter Authentifizierung auf Plattform hinzufügen.
  2. Wählen Sie im Dialogfenster Plattform konfigurieren die Kachel Web aus.

Web als Plattformtyp für Umleitungs-URI in Microsoft Entra App-Registrierung auswählen

  1. Tragen Sie im Bereich Web unter Umleitungs-URI hinzufügen die Server-URL ein.
  2. Deaktivieren Sie die Checkbox ID-Tokens.
  3. Klicken Sie auf Speichern.

Server-URL als Umleitungs-URI in Microsoft Entra hinterlegen und ID-Tokens deaktivieren

Damit ist die Einrichtung in Microsoft Entra abgeschlossen.

Wählen der Relution Serviceoptionen und Abschließen der Einrichtung

In der Relution-Anleitung kann optional festgelegt werden, ob Microsoft Entra ID-Benutzer:innen und Microsoft Entra ID-Gruppen mit Relution synchronisiert werden sollen.

Microsoft Entra ID Benutzer und Gruppen mit Relution synchronisieren aktivieren

Mit Klick auf Speichern ist die Einrichtung und Verknüpfung von Microsoft Entra ID in Relution abgeschlossen.

Zusammenfassung

Nach Abschluss dieser Schritte ist Microsoft Entra ID mit Relution verknüpft. Damit können Benutzer:innen und Gruppen aus Microsoft Entra ID mit Relution synchronisiert sowie weitere Microsoft-bezogene Funktionen genutzt werden.

Für die Anmeldung synchronisierter Benutzer:innen an Relution muss zusätzlich die OIDC-Authentifizierung eingerichtet werden. Dies gilt ebenfalls für die Nutzung von Conditional Access.