Single Sign-On mit Microsoft Entra ID via OIDC
Ziel
Diese Anleitung beschreibt die vollständige Einrichtung von Microsoft Entra ID als OIDC Identity Provider für intraOnline.
Nach Abschluss der Konfiguration ist Folgendes möglich:
- Anmeldung über Microsoft Entra ID
- Übergabe funktionaler Gruppenzuweisungen (z. B. Standort, Organisationseinheit)
- Zuordnung der Gruppen anhand von Group Object IDs
Voraussetzungen
- Zugriff auf das Microsoft Entra Admin Center
- Ein bestehender Entra ID Tenant (
login.microsoftonline.com) - Eine App Registration in Microsoft Entra
- Verwendung des OIDC Authorization Code Flow mit Client Secret
Hinweis: Für Entra External ID (CIAM) oder Azure AD B2C nutzen Sie bitte die manuelle OIDC-Konfiguration.
Berechtigungen
| Rolle | Erlaubt | Bemerkung |
|---|---|---|
| User | ❌ | |
| Editor | ❌ | |
| Admin | ✅ |
Benötigte Werte für intraOnline
| Feld in intraOnline | Quelle in Microsoft Entra |
|---|---|
| Directory (Tenant) ID | App → Overview |
| Application (Client) ID | App → Overview |
| Client Secret (Value) | App → Certificates & secrets |
| Redirect URL | App → Authentication |
| Gruppen (Group IDs) | Enterprise Application |
Schritt 1: App Registration erstellen
- Öffnen Sie das Microsoft Entra Admin Center
- Navigieren Sie zu Microsoft Entra ID → App registrations
- Klicken Sie auf New registration
- Vergeben Sie einen Namen, z. B.
intraOnline SSO - Wählen Sie Supported account types: Single tenant
- Lassen Sie die Redirect URI zunächst leer
- Klicken Sie auf Register
Notieren Sie anschließend:
- Application (client) ID
- Directory (tenant) ID
Hinweis: Zu jeder App Registration wird automatisch eine zugehörige Enterprise Application (Service Principal) im Tenant erstellt. Diese wird später für Gruppen-Zuweisungen verwendet.
Schritt 2: Client Secret erstellen
- Öffnen Sie die App Registration
- Navigieren Sie zu Certificates & secrets
- Klicken Sie auf New client secret
- Vergeben Sie eine Beschreibung
- Wählen Sie ein Ablaufdatum
- Kopieren Sie den Value unmittelbar nach dem Erstellen
Wichtig: In intraOnline wird ausschließlich der Value verwendet, nicht die Secret ID.
Schritt 3: Redirect URL konfigurieren
Navigieren Sie zu Authentication innerhalb der App Registration.
Fügen Sie unter Web folgende Redirect URI hinzu:
https://auth.intraonline.de/oauth2/idpresponse
Stellen Sie sicher:
- Plattform: Web
- Implicit Grant ist deaktiviert
- Authorization Code Flow wird verwendet
Schritt 4: Claims konfigurieren
Für die korrekte Benutzeranlage und -anzeige in intraOnline müssen neben den Gruppen auch personenbezogene Basisinformationen im ID-Token enthalten sein.
Navigieren Sie zu Token configuration.
Optionale Claims für Benutzerinformationen
- Klicken Sie auf Add optional claim
- Wählen Sie ID token
- Aktivieren Sie folgende Claims:
| Claim | Zweck |
|---|---|
email | E-Mail-Adresse des Benutzers |
given_name | Vorname |
family_name | Nachname |
Diese Claims werden von intraOnline für die Benutzeranzeige und -zuordnung verwendet.
Gruppen-Claims konfigurieren
Navigieren Sie zu Token configuration.
Gruppen-Claim aktivieren
- Klicken Sie auf Add group claims
- Wählen Sie ID token
- Empfohlene Einstellung: Groups assigned to the application
Diese Einstellung stellt sicher, dass nur explizit zugewiesene Gruppen im Token enthalten sind und das Token möglichst klein bleibt.
intraOnline verarbeitet Group Object IDs (GUIDs), nicht die Anzeigenamen der Gruppen.
Schritt 5: Gruppen in der Enterprise Application zuweisen
Damit Gruppen im ID-Token enthalten sind:
- Öffnen Sie Enterprise Applications
- Wählen Sie die zugehörige intraOnline-App
- Navigieren Sie zu Users and groups
- Weisen Sie die relevanten funktionalen Gruppen zu (z. B. Standort, Organisationseinheit)
Nur zugewiesene Gruppen werden im groups-Claim des Tokens ausgegeben.
Hinweis zur Gruppen-Zuordnung
Wie Gruppen aus Entra in intraOnline übernommen, aktualisiert oder entfernt werden, ist in der separaten Anleitung beschrieben: Gruppen-Synchronisation.
Schritt 6: Konfiguration in intraOnline
Öffnen Sie in intraOnline:
Einstellungen → Single Sign-On (SSO)
Tragen Sie die folgenden Werte ein:
- Provider: Microsoft Entra
- Directory (Tenant) ID
- Application (Client) ID
- Client Secret (Value)
Setzen Sie anschließend den Status auf Aktiv und speichern Sie die Konfiguration.
Optional: Automatische Gruppen-Zuordnung in intraOnline
Wenn Benutzer beim Login automatisch in IntraOnline‑Gruppen aufgenommen werden sollen:
- Öffnen Sie Einstellungen → Single Sign-On (SSO) → Automatische Gruppen-Zuordnung
- Klicken Sie auf Zuordnung hinzufügen
- Wählen Sie die gewünschte IntraOnline‑Gruppe
- Tragen Sie die externen Gruppen‑IDs ein (Entra Group Object IDs)
- Wählen Sie den gewünschten Zugriff (Lesend oder Bearbeitend)
- Speichern Sie die Zuordnungen
Die Zuordnungen werden beim nächsten SSO‑Login des Benutzers ausgewertet.
Token-Limits (Overage) – Wichtiger Hinweis
Microsoft Entra begrenzt die Anzahl der Gruppen, die direkt im ID-Token ausgegeben werden können.
- Bei einer hohen Anzahl von Gruppen kann statt der Gruppenliste ein sogenannter Overage Claim ausgegeben werden
- In diesem Fall enthält das Token keine Gruppen-IDs mehr
Wichtig: intraOnline lädt Gruppen nicht zusätzlich über Microsoft Graph nach. Wenn ein Overage-Claim auftritt, stehen in intraOnline keine Gruppenzuweisungen zur Verfügung.
Empfehlung:
- Verwenden Sie „Groups assigned to the application“
- Weisen Sie ausschließlich die benötigten funktionalen Gruppen zu
- Vermeiden Sie eine sehr hohe Anzahl paralleler Gruppenzugehörigkeiten pro Benutzer
Beispiel: ID-Token (Auszug)
{
"groups": [
"8f3a1c9e-1a2b-4c5d-9e7f-123456789abc",
"3c2b1a9e-7f6d-4c5b-8a9e-abcdef123456"
]
}
Hinweis
Änderungen an Client Secret, Redirect URL oder Gruppenzuweisungen erfordern in der Regel ein erneutes Speichern oder Aktivieren der SSO-Konfiguration in intraOnline.