Microsoft Entra ID OIDC federation Anleitung

Zuletzt aktualisiert am 29. Juni 2026

Richten Sie eine OpenID Connect (OIDC)-Federation mit Microsoft Entra ID (ehemals Azure Active Directory) ein. Der STACKIT IdP agiert als Relying Party (RP) und Ihr Microsoft Entra ID Tenant als Identitätsanbieter (IdP).

Verhalten bei der Erstellung von Benutzerkonten

OIDC-Federationen in STACKIT können so konfiguriert werden, dass Benutzer beim ersten erfolgreichen Login automatisch erstellt werden (auch bekannt als JIT-Benutzererstellung), abhängig von Ihren Onboarding-Anforderungen.

Automatische Erstellung aktiviert: Benutzer werden beim ersten erfolgreichen OIDC-Login erstellt, sofern sie nicht bereits existieren.
Automatische Erstellung deaktiviert: Benutzer müssen bereits existieren (beispielsweise durch SCIM-Provisionierung oder manuelle Einrichtung), bevor sie sich anmelden können.

Legen Sie Ihren bevorzugten Modus während des Onboardings fest, damit die Federation entsprechend konfiguriert werden kann.

Schritt 0: Erstellen einer Anwendung

Um diese Federation mit Entra ID zu konfigurieren, müssen die folgenden Schritte von Ihrer Seite aus abgeschlossen werden:

Microsoft-Anwendung erstellen: Sie müssen die Anwendung bei Microsoft erstellen, um die erforderlichen Zugangsdaten für die Einrichtung der Federation zu erhalten.
```
https://learn.microsoft.com/de-de/entra/identity-platform/quickstart-register-app
```
Beim Erstellen des Clients lautet die Weiterleitungs-URL:
```
https://accounts.stackit.cloud/ui/login/login/externalidp/callback
```
Token-Claims: Die Anwendung muss das Token in der “Token-Konfiguration” mit den folgenden Claims konfigurieren:
- Token-Typ: ID
- Ausgewählte Claims:
  - email
  - family_name
  - given_name
  - preferred_username
Berechtigungen: Um Benutzerinformationen abzurufen, benötigen wir die folgenden Berechtigungen aus dem Bereich “API-Berechtigungen”:
- email
- profile
- User.Read
- openid (normalerweise unter “Andere Berechtigungen, die für …” zu finden)

Schritt 1: Eröffnen eines Support-Tickets

Eröffnen Sie ein Support-Ticket mit den folgenden Informationen:

Allgemeine Informationen

Federationstyp: OpenID Connect (OIDC)
Grund für die Integration: Kurze Erklärung (zum Beispiel “SSO über Entra ID ermöglichen”)
Email-Domänen: Alle primären und sekundären Email-Domänen, die Ihre Mitarbeitenden über Entra ID verwenden (zum Beispiel @example.org und @foobar.com)
Modus für die Erstellung von Benutzerkonten: Automatische Erstellung aktiviert oder Automatische Erstellung deaktiviert

OIDC-spezifische Informationen

Pflichtfeld	Beschreibung	Beispieleingabe
Client ID	ID, die dem STACKIT-Service in Ihrer Entra ID-Anwendungsregistrierung in Schritt 0 zugewiesen wurde	Anwendungs-(Client-)ID
Client-Secret	Geheimer Schlüssel, der für die Client ID generiert wurde	Sicher bereitstellen
Scopes	Erforderliche Berechtigungen (mindestens `openid` erforderlich)	`openid email profile`
Anzeigename (optional)	Interner Name für diese Federation (verwenden Sie `snake_case`)	`entra_id_acme_corp`
Tenant-ID	Eindeutige GUID für den spezifischen Tenant Ihrer Organisation	`123e4567-e89b-12d...`.

Schritt 2: Überprüfung

Bestätigen Sie, dass die Federation funktioniert, und melden Sie sich bei uns, falls Probleme auftreten.

Optionaler nächster Schritt: Provisionierung aktivieren

Wenn Sie auch eine automatisierte Synchronisierung von Benutzer- und Gruppen aus Microsoft Entra ID wünschen, fahren Sie mit dem Microsoft Entra ID-Leitfaden für benutzerdefinierte SCIM-Provisionierung fort.

Ändern des Federationstyps

Wenn Sie eine bestehende Federation haben, die ein anderes Protokoll verwendet, und zu OIDC über Microsoft Entra ID wechseln, ist der Übergang nahtlos. Solange die Email-Adressen gleich bleiben, verlieren Benutzer weder Zugriff noch Daten. Benutzerkonten sind an Email-Adressen gebunden, nicht an Federationsmethoden.