OIDC mit Entra

Einleitung

OpenID Connect OIDC ist ein Identitätsprotokoll, das auf OAuth 2.0 aufbaut und eine sichere Authentifizierung sowie Autorisierung für Web- und Mobile-Anwendungen ermöglicht. Es erlaubt Nutzer:innen, sich sicher bei verschiedenen Diensten anzumelden, während Dienstanbieter gleichzeitig auf verifizierte Identitätsinformationen zugreifen können. In diesem Artikel wird die Konfiguration von OIDC in Relution Schritt für Schritt am Beispiel von Microsoft Azure erklärt.

Einstellungen in Relution

OpenID Connect OIDC kann im Relution-Portal unter Einstellungen → OpenID Connect konfiguriert werden. Die folgenden Screenshots zeigen eine funktionierende Konfiguration mit Microsoft Azure.

OIDC Konfiguration in Relution Einstellungen öffnen

Details zur Konfiguration

Name des Anbieters: Wird auf dem Login Button im Relution-Portal angezeigt. Unbekannte Benutzer in Relution anlegen: Aktiviert die automatische Erstellung neuer, unbekannter Benutzer beim ersten Login in Relution.

Erfolgt ein Login mit einem unbekanntem Benutzer auf der Store Organisation mit aktivierter OIDC-Konfiguration, wird dieser automatisch in der Store Organisation angelegt. Bei mehreren Mandanten mit OIDC Konfiguration muss der Login über die Organisations-URL erfolgen, damit der unbekannte Benutzer in der entsprechenden Organisation angelegt wird. Diese URL wird im Portal bei den OIDC Verbindungen angezeigt.

Client-Details

ClientID Entspricht in Azure der Anwendungs-ID Client Secret Entspricht in Azure dem geheimen Clientschlüssel zur Anwendungs-ID.

Server URIs

Discovery-Endpunkt verwenden Wenn vom Provider unterstützt, erfolgt eine automatische Konfiguration der benötigten URIs Manuelle Konfiguration der Endpunkte Notwendig, sobald das automatische Discovery nicht funktioniert.

Bei Verwendung von Microsoft Azure müssen die Endpunkte manuell eingetragen werden.

OIDC Endpunkte für Microsoft Azure in Relution manuell konfigurieren

  • Authorization URI
    https://login.microsoftonline.com/$-Ihre-Mandanten-ID/oauth2/v2.0/authorize

  • JWK Set URI
    https://login.microsoftonline.com/$-Ihre-Mandanten-ID/discovery/v2.0/keys

  • Token URI
    https://login.microsoftonline.com/$-Ihre-Mandanten-ID/oauth2/v2.0/token

  • User Info URI
    https://graph.microsoft.com/oidc/userinfo

Erweiterte Konfiguration

Username attribute from OIDC Provider Das Username Attribute vom OIDC Provider enthält den eindeutigen Benutzernamen des authentifizierten Nutzers.

Username attribute from Relution Das Username Attribute in Relution enthält den eindeutigen Benutzernamen des authentifizierten Nutzers.

Authorization Grant Type: Legt fest, über welchen OAuth-Mechanismus die Anwendung Zugriff erhält.

Scope: Bestimmt, welche Informationen oder Ressourcen von Relution über OIDC angefordert werden dürfen.

Einstellungen in Azure

Neue App-Registrierung anlegen

  1. Anmeldung im Azure Portal, weiter auf Azure Active Directory Azure Active Directory im Azure Portal aufrufen
  2. Neue App-Registrierung → Neue Registrierung für OIDC anlegen Neue App-Registrierung für OIDC in Azure Active Directory anlegen
  3. Anwendung benennen, Kontotyp Nur Konten in diesem Organisationsverzeichnis wählen und registrieren OIDC App in Azure benennen und Kontotyp für Organisationsverzeichnis festlegen

Geheimen Clientschlüssel (Client Secret) unter Zertifikate & Geheimnisse hinzufügen

  1. Das benötigte Client Secret wird unter Ein Zertifikat oder Geheimnis hinzufügen erstellt Client Secret unter Zertifikate und Geheimnisse in Azure erstellen
  2. Über Neuer geheimer Clientschlüssel kann die Beschreibung und Gültigkeitsdauer Gültig bis festgelegt werden Beschreibung und Gültigkeitsdauer des geheimen Clientschlüssels in Azure festlegen
  3. Der Client Schlüssel kann direkt kopiert werden Generierten geheimen Clientschlüssel in Azure kopieren

Wichtig: Der Clientschlüssel wird nur einmalig angezeigt! Nach Ablauf der Gültigkeit besteht keine Verbindung mehr und Relution kann nicht mit Azure kommunizieren. In diesem Fall muss ein neuer Geheimer Clientschlüssel für die Anwendung in Azure erzeugt und erneut in Relution übertragen werden.

API-Berechtigungen konfigurieren

  1. Klicken Sie unter API-Berechtigungen → Konfigurierte Berechtigungen auf Berechtigung hinzufügen
  2. Unter Microsoft-APIs den Microsoft Graph unter im Dialogfenster API-Berechtigungen anfordern auswählen

Microsoft Graph API-Berechtigung in Azure für OIDC hinzufügen

  1. Anwendungsberechtigungen auswählen
  2. Berechtigung User.Read.All für User aktivieren

Anwendungsberechtigung User.Read.All für Microsoft Graph in Azure aktivieren

Bei den neu hinzugefügten API-Berechtigungen wird als Status initial ein Ausrufezeichen angezeigt. Administrator:innen müssen hier einmal zustimmen, damit Microsoft Graph die Berechtigungen erhält. Anschließend wird der Status mit Grünem Häkchen für Gewährt dargestellt und die Berechtigungen sind erteilt.

API-Berechtigungen in Azure nach Administrator-Zustimmung als erteilt anzeigen

Umleitungs-URI hinzufügen

Die Umleitungs-URI wird im Relution-Portal angezeigt sobald die Verbindung konfiguriert und gespeichert wurde.

Authentifizierungsbereich in Azure App-Registrierung für Umleitungs-URI öffnen

Relution Umleitungs-URI als Redirect-URI in Azure App-Registrierung hinterlegen

Hinweise

Backchannel Logout

Relution unterstützt den Backchannel Logout ab Server Version 5.32.0

Beispiel-Szenario: Ein Benutzer ist gleichzeitig über SSO bei mehreren Anwendungen angemeldet. Beim Logout vom SSO-Dienst sorgt der Backchannel Logout dafür, dass die Sitzungen in allen anderen Anwendungen ebenfalls beendet werden, auch wenn diese im Hintergrund laufen.