Anleitung zur Föderation mit Microsoft Entra ID
Richten Sie eine OpenID Connect (OIDC)-Föderation mit Microsoft Entra ID (ehemals Azure Active Directory) ein. Der STACKIT IdP agiert als Relying Party (RP) und Ihr Microsoft Entra ID Tenant als Identitätsanbieter (IdP).
Schritt 0: Erstellen einer Anwendung
Abschnitt betitelt „Schritt 0: Erstellen einer Anwendung“Um diese Föderation mit Entra ID zu konfigurieren, müssen die folgenden Schritte von Ihrer Seite aus abgeschlossen werden:
- Microsoft-Anwendung erstellen: Sie müssen die Anwendung bei Microsoft erstellen, um die erforderlichen Zugangsdaten für die Einrichtung der Föderation zu erhalten.
Beim Erstellen des Clients lautet die Weiterleitungs-URL:https://learn.microsoft.com/de-de/entra/identity-platform/quickstart-register-apphttps://accounts.stackit.cloud/ui/login/login/externalidp/callback
- Token-Claims: Die Anwendung muss das Token in der “Token-Konfiguration” mit den folgenden Claims konfigurieren:
- Token-Typ: ID
- Ausgewählte Claims:
- family_name
- given_name
- preferred_username
- Berechtigungen: Um Benutzerinformationen abzurufen, benötigen wir die folgenden Berechtigungen aus dem Bereich “API-Berechtigungen”:
- profile
- User.Read
- openid (normalerweise unter “Andere Berechtigungen, die für …” zu finden)
Schritt 1: Eröffnen eines Support-Tickets
Abschnitt betitelt „Schritt 1: Eröffnen eines Support-Tickets“Eröffnen Sie ein Support-Ticket mit den folgenden Informationen:
Allgemeine Informationen
- Föderationstyp: OpenID Connect (OIDC)
- Grund für die Integration: Kurze Erklärung (zum Beispiel “SSO über Entra ID ermöglichen”)
- E-Mail-Domänen: Alle primären und sekundären E-Mail-Domänen, die Ihre Mitarbeitenden über Entra ID verwenden (zum Beispiel
@example.orgund@foobar.com)
OIDC-spezifische Informationen
| Pflichtfeld | Beschreibung | Beispieleingabe |
|---|---|---|
| Client ID | ID, die dem STACKIT-Service in Ihrer Entra ID-Anwendungsregistrierung in Schritt 0 zugewiesen wurde | Anwendungs-(Client-)ID |
| Client-Secret | Geheimer Schlüssel, der für die Client ID generiert wurde | Sicher bereitstellen |
| Scopes | Erforderliche Berechtigungen (mindestens openid erforderlich) | openid email profile |
| Anzeigename (optional) | Interner Name für diese Föderation (verwenden Sie snake_case) | entra_id_acme_corp |
Mandantenkonfiguration
Abschnitt betitelt „Mandantenkonfiguration“Geben Sie an, welcher Benutzertyp sich authentifizieren soll. Dies bestimmt den korrekten Aussteller-Endpunkt (Issuer Endpoint):
| Mandantentyp | Ihre Eingabe | Hinweise |
|---|---|---|
| Mandanten-ID (bevorzugt) | Ihre Verzeichnis-(Mandanten-)ID | Eindeutige GUID für den spezifischen Mandanten Ihrer Organisation, mit der Sie die bevorzugte Richtlinie festlegen können.common: Erlaubt den Zugriff für jeden, der ein Microsoft-Konto hat.organizations: Nur für Personen mit Geschäftskonten, aber von jedem Unternehmen.consumers: Nur für persönliche Microsoft-Konten, von überall. |
Schritt 2: Überprüfung
Abschnitt betitelt „Schritt 2: Überprüfung“Bestätigen Sie, dass die Föderation funktioniert, und melden Sie sich bei uns, falls Probleme auftreten.
Ändern des Föderationstyps
Abschnitt betitelt „Ändern des Föderationstyps“Wenn Sie eine bestehende Föderation haben, die ein anderes Protokoll verwendet, und zu OIDC über Microsoft Entra ID wechseln, ist der Übergang nahtlos. Solange die E-Mail-Adressen gleich bleiben, verlieren Benutzer weder Zugriff noch Daten. Benutzerkonten sind an E-Mail-Adressen gebunden, nicht an Föderationsmethoden.