SSO-Integration: EntraID/Azure-AD mit dem MB connect line Portal

Startseite > Produktspezifische Hilfe > RSP Remote Service Portal > SSO-Integration: EntraID/Azure-AD mit dem MB connect line Portal

SSO-Integration: EntraID/Azure-AD mit dem MB connect line Portal

Dieser Artikel dokumentiert die Schritte zur Registrierung einer App in Microsoft Entra ID (ehemals Azure Active Directory) für die OIDC-basierte Single Sign-On (SSO) Anbindung des RSP-Portals. Die Konfiguration ermöglicht es Benutzern, sich mit ihrem Microsoft-Konto am Portal anzumelden.

Offizielle Microsoft-Dokumentation: Schnellstart: App registrieren – Microsoft Entra

Gilt für: • RSP • RSP.virtual
Voraussetzungen:

  • Zugang zum Microsoft Entra Admin Center oder Azure Portal mit ausreichenden Berechtigungen

  • Bekannte Redirect-URL des RSP-Portals

  • Kontakt zur technischen Ansprechperson für die spätere Portal-Konfiguration

Schritt-für Schritt-Anleitung

Schritt 1 - Portal öffnen

Melden Sie sich im Microsoft Entra Admin Center oder im Azure Portal an:

 

Schritt 2 - App-Registrierung anlegen

Navigieren Sie zu Identität > Anwendungen > App-Registrierungen und klicken Sie anschließend auf "Neue Registrierung".

 

Schritt 3 - Grunddaten eingeben

Feld Wert
Name Vergeben Sie einen aussagekräftigen Namen (z. B. "RSP-Portal OIDC")
Unterstützte Kontotypen Nur Konten in diesem Organisationsverzeichnis (Single Tenant) - für einen einzelnen Kunden
Konten in einem beliebigen Organisationsverzeichnis (Multi-Tenant) - für mehrere Kunden
Umleitungs-URI (Redirect-URI) Typ: Web (oder Single-Page-Application, je nach Tech-Stack)
URL eintragen: https://<DNS-Name-desRSP-Portals>/portal/index.php?option=com_sso

 

Schritt 4 - Authentifizierung konfigurieren

Navigieren Sie in der App zum Menüpunkt "Authentication".

  • Implizite Gewährung und Hybrid-Flows:

  • Setzen Sie den Haken bei access_token.

  • id_token ist standardmäßig aktiviert - nur access_token muss manuell gesetzt werden.

Hinweis zu Implicit Flow:Für moderne OIDC-Implementierungen mit Authorization Code Flow + PKCE sind diese Checkboxen nicht zwingend erforderlich. Sie wurden jedoch für Testzwecke und zur Kompatibilität aktiviert.

 

Schritt 5 - Client Secret erstellen

Navigieren Sie zu "Zertifikate & Geheimnisse".

  1. Klicken Sie auf "Neuer geheimer Schlüssel".

  2. Vergeben Sie eine aussagekräftige Beschreibung und wählen Sie die gewünschte Gültigkeitsdauer aus.

  3. Wichtig: Kopieren Sie den angezeigten Schlüsselwert sofort - er wird nach dem Verlassen der Seite nicht mehr angezeigt!

Sicherheitshinweis:Das Client Secret sicher verwahren, z. B. im Passwort-Manager. Niemals im Klartext in Tickets oder E-Mails kommunizieren.

 

Schritt 6 - OIDC-Endpunkte finden

Navigieren Sie auf die Übersichtsseite der App und klicken Sie dort auf den Button "Endpunkte". Dort ist das OpenID-Connect-Metadaten-Dokument zu finden:

https://login.microsoftonline.com/<tenant-id>/v2.0/.well-known/openid-configuration

Hinterlegen Sie diese in der Anwendung, damit alle erforderlichen Schlüssel und URLs automatisch geladen werden können.

 

Schritt 7 - Daten an technische Ansprechperson übergeben

Die folgenden Werte entstehen bei der Registrierung und werden für die Konfiguration des RSP-Portals benötigt. Sie sind kundenspezifisch (pro Tenant).

Information Wert Anmerkungen
Client ID/Application ID Entsteht automatisch bei der Registrierung GUID-Format
Client Secret Wird nur während der Erstellung angezeigt Einmalig angezeigt - sofort sichern!
Tenant-ID ID des Microsoft-Entra-Verzeichnisses GUID-Format
Redirect-URL https://<DNS-Name-des-RSP-Portals>/portal/index.php?option=com_sso  
Domain-/Issuer-URL https://login.microsoftonline.com/<Tenant-ID>/v2.0  
Authorization-Endpoint https://login.microsoftonline.com/<Tenant-ID>/oauth2/v2.0/authorize  
Secure-Token-Endpoint https://login.microsoftonline.com/<Tenant-ID>/oauth2/v2.0/token  
Refresh-Token-Endpoint https://login.microsoftonline.com/<Tenant-ID>/oauth2/v2.0/token Identisch mit Token-Endpoint

 

Übergabe an RSP mbCONNECT24

Übermitteln Sie nach abgeschlossener Registrierung folgende Werte an RSP für die Portal-Konfiguration:

  • Client ID/Application ID

  • Client Secret

  • Tenant ID

  • Alle Endpunkt-URLs (Domain, Authorization, Token, Refresh Token)

 

Bekannte Probleme & Fehlerbehebung

Token-Probleme beim Login

  • Symptom: Login schlägt fehl, kein Token wird zurückgegeben.

  • Lösung: Unter Authentication prüfen, ob access_token und id_token unter Implicit Grant aktiviert sind.

 

Redirect URI Mismatch

  • Symptom: Fehlermeldung "AADSTS50011: The redirect URI specified in the request does not match..."

  • Lösung: Redirect URI in der App-Registrierung (Authentication) exakt mit der konfigurierten URL im Portal abgleichen, inkl. Query-Parameter.

 

Referenzen

 

Aktualisiert:

Anderer Artikel