Lucanet bei Verwendung der OIDC-Methode als App in MS Entra ID registrieren 

Zuletzt aktualisiert am 24.01.2025

Überblick

Wenn Sie Microsoft Entra ID als Identity Provider verwenden und die OIDC-Methode für die externe Authentifizierung der Lucanet CFO Solution Platform wählen, müssen Sie zunächst Lucanet als App in Microsoft Entra ID registrieren.

Nach erfolgreicher Registrierung und Konfiguration können Sie die Authentifizierungsparameter in Microsoft Entra ID kopieren und in die Lucanet CFO Solution Platform einfügen, um die Konfiguration der externen Authentifizierung abzuschließen.

App-Registrierung für Lucanet in MS Entra ID anlegen

Gehen Sie wie folgt vor, um eine App-Registrierung für Lucanet im MS Entra Admin Center anzulegen:

  1. Öffnen Sie das Microsoft Entra admin center unter https://entra.microsoft.com.
  2. Navigieren Sie zu Applications | App registrations.

    Arbeitsbereich 'App registrations' im Microsoft Entra admin center
  3. Klicken Sie auf New registration.

    Schaltfläche zur Registrierung einer neuen App

    Die Seite Register an application wird angezeigt.
  4. Geben Sie im Feld unter Name den Anzeigenamen der App an.

    Anzeigenamen der App angeben
  5. Wählen Sie unter Supported account types die Option Accounts in this organizational directory only (<Ihr Unternehmen> only - Single tenant).

    Auswahl des unterstützten Kontotyps
  6. Kopieren Sie im Arbeitsbereich Externe Authentifizierung in der Lucanet CFO Solution Platform die URI unter Sign-In Umleitungs-URL(s).

    Umleitungs-URL aus der Lucanet CFO Solution Platform kopieren

    Wählen Sie in MS Entra ID ggf. im Bereich Redirect URI (optional) aus der Dropdown-Liste Web und fügen Sie die URI in das Feld hinter Web ein.

    Konfiguration der Redirect-URI
  7. Klicken Sie auf Register.

    App-Registrierung abschließen
Lucanet in MS Entra ID konfigurieren

Navigieren Sie zu der neu erstellten App-Registrierung und führen Sie die folgenden Schritte aus, um Lucanet als App in MS Entra ID zu konfigurieren:

Aktivieren Sie die ID-Token für die App-Registrierung. Gehen Sie wie folgt vor:

  1. Navigieren Sie zu Manage | Authentication.

    Arbeitsbereich 'Authentication' in der Navigationsleiste
  2. Aktivieren Sie im Bereich Implicit grant and hybrid flows das Kontrollkästchen ID tokens (used for implicit and hybrid flows).

    'ID tokens' aktivieren

Legen Sie einen geheimen Client-Schlüssel (Client secret) für Lucanet an. Gehen Sie wie folgt vor:

  1. Navigieren Sie zu Manage | Certificates & secrets.

    Arbeitsbereich 'Certificates & secrets' in der Navigationsleiste
  2. Klicken Sie auf dem Reiter Client secrets auf die Schaltfläche :
  3. Geben Sie im Bereich Add a client secret im Feld Description einen Namen oder eine Beschreibung für das Secret an und wählen Sie ggf. aus der Dropdown-Liste Expires eine Gültigkeitsdauer für das Secret:

    Einstellungen im Bereich 'Add a client secret'
  4. Klicken Sie auf Add. Ein Client-Schlüssel wird generiert, der auf dem Reiter Client secrets in der Spalte Value angezeigt wird:

    Geheimen Client-Schlüssel aus MS Entra ID kopieren

Konfigurieren Sie optionale Ansprüche für Lucanet als App in MS Entra ID. Gehen Sie wie folgt vor:

  1. Navigieren Sie zu Manage | Token configuration.

    Arbeitsbereich 'Token configuration' in der Navigationsleiste
  2. Klicken Sie auf die Schaltfläche .
  3. Wählen Sie den Token-Typ ID und aktivieren Sie in der Spalte Claim das Kontrollkästchen email.

    Einstellung für den Token-Typ 'ID'
  4. Wählen Sie den Token-Typ Access und aktivieren Sie in der Spalte Claim das Kontrollkästchen email.

    Einstellung für den Token-Typ 'Access'
  5. Klicken Sie auf Save. Die optionalen Ansprüche werden hinzugefügt und z. B. wie folgt angezeigt:

    Optionale Ansprüche konfiguriert

Richten Sie die API-Berechtigungen ein. Gehen Sie wie folgt vor:

  1. Navigieren Sie zu Manage | API Permissions.

    Arbeitsbereich 'API permissions' in der Navigationsleiste
  2. Klicken Sie im Bereich Configured permissions auf die Schaltfläche .
  3. Klicken Sie auf dem Reiter Microsoft APIs auf Microsoft Graph.

    'Microsoft Graph' auf dem Reiter 'Microsoft APIs'
  4. Klicken Sie auf Delegated permissions.

    Option 'Delegated permissions'
  5. Aktivieren Sie im Bereich OpenId permissions die Kontrollkästchen email und openid.

    Einstellungen im Bereich 'OpenId permissions'
  6. Klicken Sie auf Add permissions.
  7. Klicken Sie im Bereich Configured permissions auf Grant Admin consent for <Ihr Unternehmen>.

    Schaltfläche für die Erteilung der Admin-Zustimmung
  8. Klicken Sie im daraufhin angezeigten Dialog Grant admin consent confirmation auf Yes.
  9. Die eingerichteten Berechtigungen werden z. B. wie folgt angezeigt:

    API-Berechtigungen in MS Entra ID

Weitere Informationen zur Konfiguration der App-Registrierung in MS Entra ID finden Sie in der Dokumentation von Microsoft.

Authentifizierungsparameter für die Lucanet CFO Solution Platform

Die Parameter, die für die Konfiguration der externen Authentifizierung in der Lucanet CFO Solution Platform erforderlich sind, finden Sie wie folgt im Entra ID Admin Center:

Option

Beschreibung

Client-ID

Die Client-ID finden Sie auf der Seite Overview im Bereich Essentials hinter Application (client) ID:

Zeigt den Bereich 'Essentials' in MS Entra ID an. Der Wert hinter 'Application (client) ID' wird kopiert. Client-ID aus MS Entra ID kopieren

Gehei­mer Client-Schlüssel

Den Geheimen Client-Schlüssel finden Sie auf der Seite Manage | Certificates & secrets auf dem Reiter Client secrets in der Spalte Value:

Die Spalte 'Value' in MS Entra ID wird rot umrandet angezeigt. Auf die Schaltfläche zum Kopieren des Wertes wurde geklickt und der Tooltip 'Copied' wird angezeigt. Geheimen Client-Schlüssel aus MS Entra ID kopieren

Mehr Informationen über das Anlegen eines Client-Schlüssels finden Sie unter Geheimen Client-Schlüssel (Client secret) anlegen.

Aussteller-URL

Die Aussteller-URL hat folgende Notation:

https://sts.windows.net/<Ih­re Tenant-ID in MS Entra ID>

Auf der Seite Overview im Bereich Endpoints unter Authority URL finden Sie Ihre Tenant-ID in der zweiten Hälfte der angezeigten URL:

Zeigt den Bereich 'Endpoints' auf der Seite 'Overview' in MS Entra ID an. Bereich 'Endpoints' auf der Seite 'Overview' in MS Entra ID

Beispiel:

Wenn Ihre Tenant-ID 123bfsd-as34-sd34-34fg-f35gh67h8 ist, lautet die Aussteller-URL https://sts.windows.net/­123bfsd-as34-sd34-34fg-f35gh67h8.

Weitere Informationen zur Verwendung der Parameter bei der Konfiguration der externen Authentifizierung für die Lucanet CFO Solution Platform mit der OIDC-Methode finden Sie im Abschnitt OIDC konfigurieren im Kapitel Externe Authentifizierung konfigurieren.

Achtung: Die E-Mail-Adresse eines Benutzers in der Lucanet CFO Solution Platform muss mit der E-Mail-Adresse in MS Entra ID identisch sein. Die Groß- und Kleinschreibung der E-Mail-Adressen muss genau übereinstimmen.