Manuelle OIDC‑Konfiguration
Diese Anleitung ist für Identity Provider, die nicht Microsoft Entra ID sind (z. B. Keycloak, Okta, Ping, Custom IdP).
Voraussetzungen
- OIDC‑fähiger Identity Provider
- Authorization Code Flow mit Client Secret
- Zugriff auf OIDC‑Metadata / Well‑Known Endpoint
Schritt 1: App/Client im IdP anlegen
- Flow: Authorization Code
- Redirect URI:
https://auth.<ihre-domain>/oauth2/idpresponse
- Scopes:
openid email profile
Schritt 2: Claims im ID‑Token
Mindestens diese Claims müssen im ID‑Token enthalten sein:
emailgiven_namefamily_name
Optional (Gruppen‑Sync):
groups
Schritt 3: Werte in intraOnline eintragen
In Einstellungen → Single Sign-On (SSO):
- Issuer URL: Basis‑URL des IdP (z. B.
https://idp.example.com/realms/<realm>) - OIDC Client ID
- Client Secret
Speichern → Preflight prüfen → Aktivieren.
Häufige Fehler
- Redirect‑URI mismatch: Redirect URI im IdP exakt eintragen
- Issuer mismatch: Issuer in Well‑Known muss zur eingegebenen Issuer URL passen
- Missing email:
emailClaim fehlt im ID‑Token