OIDC

Einleitung

OpenID Connect (OIDC) ist ein Identitätsprotokoll, das auf OAuth 2.0 aufbaut und sicher Authentifizierung und Autorisierung ermöglicht. Es ermöglicht Nutzern, sich sicher bei verschiedenen Diensten anzumelden, während Dienstanbieter gleichzeitig auf verifizierte Identitätsinformationen zugreifen können. Im folgenden Artikel wird die Einrichtung von OpenID Connect (OIDC) in Relution mithilfe von Microsoft Azure beschrieben.

Einstellungen in Relution

OIDC kann im Relution-Portal unter Einstellungen > OpenID Connect konfiguriert werden. Folgende Screenshots beinhalten eine funktionierende Konfiguration mit Microsoft Azure.

AutoPilot01

Details zur Konfiguration

Name des Anbieters Wir auf dem Login Button im Rleution-Portal angezeigt
Unbekannte Benutzer in Relution anlegen Unbekannte Benutzer werden durch den Login in Relution angelegt

Client Details

ClientID Entspricht in Azure der Anwendungs-ID
Client Secret Entspricht in Azure dem geheimen Clientschlüssel zur Anwendungs-ID

Server URIs

Discovery-Endpunkt verwenden Wenn vom Provider unterstützt, erfolgt eine automatische Konfiguration der benötigten URIs
Manuelle Konfiguration der Endpunkte Notwendig sobald das automatische Discovery nicht funktioniert.

AutoPilot01

Authorization URI
https://login.microsoftonline.com/$-Ihre-Mandanten-ID/oauth2/v2.0/authorize

JWK Set URI
https://login.microsoftonline.com/$-Ihre-Mandanten-ID/discovery/v2.0/keys

Token URI
https://login.microsoftonline.com/$-Ihre-Mandanten-ID/oauth2/v2.0/token

User Info URI
https://graph.microsoft.com/oidc/userinfo

Erweiterte Konfiguration

Username attribute from OIDC Provider Das Username Attribute vom OIDC Provider enthält den eindeutigen Benutzernamen des authentifizierten Nutzers

Username attribute from Relution Das Username Attribute in Relution enthält den eindeutigen Benutzernamen des authentifizierten Nutzers

Authorization Grant Type Der Authorization Grant Type ist ein OAuth-Mechanismus im, der festlegt, wie eine Anwendung Zugriffsberechtigungen von einem Benutzer erhält

Scope Scopes definieren, welche Identitätsinformationen oder Ressourcen die Anwendung vom OIDC-Provider anfordern kann

Einstellungen in Azure

Anlegen einer neuen App-Registrierung

  1. Login im Azure Portal, weiter auf Azure Active Directory AutoPilot01
  2. Neue App-Registrierung > Neue Registrierung für OIDC anlegen AutoPilot01
  3. Anwendung benennen, Kontotyp Nur Konten in diesem Organisationsverzeichnis wählen und registrieren AutoPilot01

Geheimen Clientschlüssel (Client Secret) unter Zertifikate & Geheimnisse hinzufügen

  1. Das benötigte Client Secret wird unter Ein Zertifikat oder Geheimnis hinzufügen erstellt AutoPilot01
  2. Über Neuer geheimer Clientschlüssel kann die Beschreibung und Gültigkeitsdauer Gültig bis festgelegt werden AutoPilot01
  3. Der Client Schlüssel kann direkt kopiert werden AutoPilot01

Konfigurieren der API-Berechtigungen

  1. Klicken Sie unter API-Berechtigungen > Konfigurierte Berechtigungen auf Berechtigung hinzufügen
  2. Wählen Sie Microsoft Graph unter Microsoft-APIs im Dialogfenster API-Berechtigungen anfordern aus

AutoPilot01

  1. Im nächsten Schritt wählen Sie die Kachel Anwendungsberechtigungen aus
  2. Wählen Sie User.Read.All für User aus

AutoPilot01

AutoPilot17

Umleitungs URI hinzufügen

AutoPilot01

AutoPilot01