Zum Inhalt springen

Anleitung zur Föderation mit Microsoft Entra ID

Richten Sie eine OpenID Connect (OIDC)-Föderation mit Microsoft Entra ID (ehemals Azure Active Directory) ein. Der STACKIT IdP agiert als Relying Party (RP) und Ihr Microsoft Entra ID Tenant als Identitätsanbieter (IdP).

Um diese Föderation mit Entra ID zu konfigurieren, müssen die folgenden Schritte von Ihrer Seite aus abgeschlossen werden:

  1. Microsoft-Anwendung erstellen: Sie müssen die Anwendung bei Microsoft erstellen, um die erforderlichen Zugangsdaten für die Einrichtung der Föderation zu erhalten.
    https://learn.microsoft.com/de-de/entra/identity-platform/quickstart-register-app
    Beim Erstellen des Clients lautet die Weiterleitungs-URL:
    https://accounts.stackit.cloud/ui/login/login/externalidp/callback
  2. Token-Claims: Die Anwendung muss das Token in der “Token-Konfiguration” mit den folgenden Claims konfigurieren:
    • Token-Typ: ID
    • Ausgewählte Claims:
      • email
      • family_name
      • given_name
      • preferred_username
  3. Berechtigungen: Um Benutzerinformationen abzurufen, benötigen wir die folgenden Berechtigungen aus dem Bereich “API-Berechtigungen”:
    • email
    • profile
    • User.Read
    • openid (normalerweise unter “Andere Berechtigungen, die für …” zu finden)

Eröffnen Sie ein Support-Ticket mit den folgenden Informationen:

Allgemeine Informationen

  • Föderationstyp: OpenID Connect (OIDC)
  • Grund für die Integration: Kurze Erklärung (zum Beispiel “SSO über Entra ID ermöglichen”)
  • E-Mail-Domänen: Alle primären und sekundären E-Mail-Domänen, die Ihre Mitarbeitenden über Entra ID verwenden (zum Beispiel @example.org und @foobar.com)

OIDC-spezifische Informationen

Geben Sie an, welcher Benutzertyp sich authentifizieren soll. Dies bestimmt den korrekten Aussteller-Endpunkt (Issuer Endpoint):

Bestätigen Sie, dass die Föderation funktioniert, und melden Sie sich bei uns, falls Probleme auftreten.

Wenn Sie eine bestehende Föderation haben, die ein anderes Protokoll verwendet, und zu OIDC über Microsoft Entra ID wechseln, ist der Übergang nahtlos. Solange die E-Mail-Adressen gleich bleiben, verlieren Benutzer weder Zugriff noch Daten. Benutzerkonten sind an E-Mail-Adressen gebunden, nicht an Föderationsmethoden.