Gruppen-Synchronisation (OIDC)
Diese Seite erklärt fachlich, was in intraOnline passiert, wenn Sie in Microsoft Entra Gruppen einem Benutzer zuweisen oder entziehen.
Voraussetzungen
SSO mit Microsoft Entra (oder einem anderen OIDC-Provider) ist aktiviert.
Damit intraOnline Gruppen automatisch zuordnen kann, muss in intraOnline unter Einstellungen → Single Sign-On (SSO) → Automatische Gruppen-Zuordnung mindestens eine Zuordnung gepflegt sein:
- IntraOnline-Gruppe auswählen
- Externe Gruppen-IDs hinterlegen (empfohlen: die Entra Group Object IDs)
- Zugriff festlegen (Lesend oder Bearbeitend)
Beim Login liefert Entra die Gruppen-IDs (Claim groups), damit intraOnline sie zuordnen kann.
Wann wird synchronisiert?
Die Auswertung passiert ausschließlich beim SSO-Login. Es gibt keinen Hintergrundabgleich – Änderungen in Entra greifen erst, wenn sich der betroffene Benutzer erneut per SSO anmeldet.
Was passiert bei Änderungen in Entra?
| Aktion | Quelle | Effekt in intraOnline | Zeitpunkt |
|---|---|---|---|
| SSO-Login | Entra liefert die Gruppen-IDs | Automatische Zuordnung/Entfernung der federated Gruppen | Beim jeweiligen SSO-Login |
| Gruppe in Entra zugewiesen | Entra | Gruppe wird als federated hinzugefügt (Zugriff gemäß Zuordnung) | Beim nächsten SSO-Login des Nutzers |
| Gruppe in Entra entzogen | Entra | Federated-Zuordnung wird entfernt | Beim nächsten SSO-Login des Nutzers |
| Gruppe in Entra gelöscht oder ID geändert | Entra | Wirkt wie entzogen; neue ID greift erst, wenn sie in der Gruppen-Zuordnung gepflegt ist | Beim nächsten SSO-Login nach Anpassung |
| Entra liefert keine Gruppen | Entra / Token | Keine Neuzuordnung möglich; bestehende federated Gruppen werden entfernt | Beim jeweiligen SSO-Login |
Welche Gruppen bleiben unberührt?
Manuell vergebene Gruppen in intraOnline werden nicht verändert.
Wenn ein Benutzer bereits manuell Mitglied einer IntraOnline‑Gruppe ist, überschreibt die automatische Zuordnung diese Gruppe nicht.
Empfehlungen
Liefern Sie nur die Gruppen, die in intraOnline tatsächlich benötigt werden, und pflegen Sie dafür stabile, eindeutige Gruppen-IDs (ideal: die Entra Group Object IDs). Nach Änderungen in Entra sollten sich betroffene Nutzer einmal neu per SSO anmelden, damit die Synchronisation wirksam wird.
Weitere Details zur Einrichtung der OIDC/Entra-SSO finden Sie unter Verwaltung → SSO (OIDC) → Microsoft Entra ID.