US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

German
US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish
  • Log in
  • Home
  • Identitätsverwaltung und -administration ( IGA )
  • IGA Lösungsbibliothek
  • Anleitungen und uid
  • Kundenanweisungen

Secure Access – Kundenanleitung zur Entra ID -Konfiguration OpenID Connect ( OIDC )

So konfigurieren Sie Entra ID OpenID Connect für die Secure Access

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Serviceverwaltung
    Matrix42 Professional Lösung Matrix42 Core Enterprise-Servicemanagement Matrix42 Intelligenz
  • Identitätsverwaltung und -administration ( IGA )
    IGA Übersicht IGA Lösungsbibliothek
  • Plattform
    ESM ESS2 ESS Efecte Chat für Service Management Efecte Integrationen Add-ons
  • Versionshinweise für M42 Core & Pro , IGA , Conversational AI
    2025.3 2025.2 2025.1 2024.2 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Veröffentlichungsinformationen und Richtlinien
  • Sonstiges Material
    Bedingungen und uid Erklärungen zur Barrierefreiheit
  • Leistungen
+ More

    • Serviceverwaltung

    • Identitätsverwaltung und -administration ( IGA )

    • Plattform

    • Versionshinweise für M42 Core & Pro , IGA , Conversational AI

    • Sonstiges Material

    • Leistungen

Secure Access – Kundenanleitung zur Entra ID -Konfiguration OpenID Connect ( OIDC )

So konfigurieren Sie Entra ID OpenID Connect für die Secure Access

Dieser Artikel bietet Kunden Anweisungen zur Konfiguration von Microsoft Entra ID (ehemals Azure AD ) für Single Sign-On (SSO) mit OpenID Connect ( OIDC ) unter Verwendung von Matrix42 Pro and IGA Lösungen.

Diese Konfiguration wird üblicherweise vom Entra ID oder Authentifizierungsspezialisten des Kunden durchgeführt. Die Implementierung und das Testen sollten nicht länger als einen halben Tag dauern. Bitte beachten Sie, dass einige der Screenshots in der Entra ID des Kunden möglicherweise anders aussehen.

Diese Anweisungen gelten für alle Matrix42 Pro and IGA -Lösungen (z. B. ITSM, IGA , HR), die die Komponente Secure Access zur Authentifizierung verwenden.

Alle nachfolgenden Schritte sind erforderlich, sofern nicht gesondert als optional angegeben.

Notiz

Diese App-Registrierungsanwendung ist ausschließlich für die Verwendung mit Secure Access vorgesehen und dient der Authentifizierung von Benutzern bei Matrix42 Professional und IGA -Lösungen.

Wenn Sie OIDC auch mit Microsoft Graph API Native Connectors verwenden, empfiehlt es sich, dafür eine separate Anwendung zu erstellen. Weitere Informationen finden Sie in der Kundenanleitung für Entra ID unter „Native Connectors“.

So konfigurieren Sie Entra ID für OpenID Connect ( OIDC )

Anmeldung zur Anmeldung

Der Kunde muss seinen Entra Tenant so konfigurieren, dass Matrix42 Sicherheitszugriffskomponente Benutzerkonten- und Gruppeninformationen abrufen kann. Die Konfiguration erfolgt nach der Anmeldung an Entra ID Konsole (ehemals Azure AD ).

  1. Gehen Sie zu https://entra.microsoft.com und wählen Sie nach der Anmeldung App registrations aus (HINWEIS! Dies ist keine " Enterprise Application ", die über einen anderen Weg erstellt wird, könnte aber damit verwechselt werden).
  2. Wählen Sie New registration .
  3. Geben Sie einen Namen für die Bewerbung ein.
  4. Wählen Sie die passenden Supported Account Types je nach Anwendungsfall aus. Diese Auswahl ist sehr wichtig . Wenn Sie sich nicht sicher sind, welche Kontotypen Sie auswählen sollen, wenden Sie sich an jemanden mit mehr Erfahrung in dieser Konfiguration.
    1. Option 1 - in den meisten Fällen bevorzugt : Wenn Sie eine Basiskonfiguration erstellen, bei der alle Benutzer, die sich im Matrix42 -System anmelden sollen, zu Ihrem Mandanten gehören, wählen Sie Accounts in this organizational directory only (<this tenant> only - Single tenant)
    2. Option 2 : - In diesem Anwendungsfall möchten Sie, dass sich auch Benutzer anderer Mandanten bei Ihren Matrix42 Lösungen anmelden können (Sie haben beispielsweise einen Multi-Service-Provider (MSP)).
      Auswählen: Accounts in any organizational directory (Any Microsoft Entra ID tenant - Multitenant) .
      1. Beachten Sie, dass Azure bei Multi-Tenant-Apps Gruppen nicht als Namen, sondern immer nur als IDs sendet.
      2. Hinweis! Wenn Sie diese Mandantenfähigkeitsoption auswählen, muss Matrix42 alle zulässigen Mandanten im Feld „Aussteller“ des Identitätsanbieters als durch Kommas getrennte Liste konfigurieren.
  5. Wählen Sie unter Redirect URI Web als Plattform aus und geben Sie dann die Antwort-URL von Secure Access ein (diese kann später hinzugefügt werden, falls Matrix42 noch keine URI bereitgestellt hat).
  6. Wählen Sie Register .

So legen Sie die Umleitungs-URI nach der Erstellung der Anwendung fest

  1. Gehen Sie zu https://entra.microsoft.com und wählen Sie nach der Anmeldung App registrations aus.
  2. Suchen und öffnen Sie die von Ihnen erstellte Anwendung.
  3. Wählen Sie im linken Menü „Authentifizierung“ aus.
  4. Umleitungs-URI hinzufügen
    Plattformtyp: Web
    Redirect-URI: die URL, die Sie vom Matrix42 OpenID Connect v1.0 Identity providers Redirect URI -attribute erhalten haben.

Zertifikate & Geheimnisse

Secure Access unterstützt die sichere Verbindung mit Entra ID durch die Verwendung Client Secrets .

Geheime Anweisungen für den Kunden

  1. Im Microsoft Entra Admin Center wählen Sie unter App registrations Ihre Anwendung aus.
  2. Wählen Sie Certificates & secrets > Client secrets > New client secret .
  3. Fügen Sie eine Beschreibung für Ihr Client-Geheimnis hinzu.
  4. Wählen Sie ein Ablaufdatum für das Geheimnis oder geben Sie eine benutzerdefinierte Gültigkeitsdauer an.
    1. Die Gültigkeitsdauer des Clientgeheimnisses ist auf maximal 730 Tage / 24 Monate (zwei Jahre) begrenzt. Eine benutzerdefinierte Gültigkeitsdauer von mehr als 730 Tagen / 24 Monaten ist nicht möglich.
    2. Microsoft empfiehlt, ein Ablaufdatum festzulegen, das weniger als 365 Tage / 12 Monate in der Zukunft liegt.
  5. Wählen Sie Add .
  6. Notieren Sie den Wert des Geheimnisses zur Verwendung im Code Ihrer Clientanwendung.

    Dieser geheime Wert wird nach dem Verlassen dieser Seite nicht mehr angezeigt. Falls der geheime Wert verloren geht oder nicht gespeichert wird, kann er nur durch erneutes Konfigurieren wiederhergestellt werden.

Markieren Sie im Kalender und auf der Lösungsjahresuhr das Ablaufdatum Ihres Geheimnisses.

Dies dient dazu, dass Sie daran denken, ein neues Geheimnis hinzuzufügen und es in Secure Access zu verwenden, bevor das alte abläuft.

Planen Sie den Wechsel des geheimen Schlüssels im Voraus, denn sobald der geheime Schlüssel abgelaufen ist, können sich Benutzer von Matrix42 Pro and IGA -Lösungen NICHT mehr über SAML Authentifizierung im System anmelden .

Token-Konfiguration

Für die grundlegende Anmeldung OpenID Connect ( OIDC ) ist es nicht erforderlich, Optional claim hinzuzufügen.

E-Mail-Anspruch hinzufügen

Es wird jedoch dringend empfohlen, die E-Mail-Adresse des Benutzers auch von Entra an Secure Access zu senden. Von dort werden die E-Mail-Informationen des Benutzers an Matrix42 Pro and IGA Lösung weitergeleitet. Dies ist für die Chat-Funktion erforderlich.

Dazu müssen Sie die E-Mail-Behauptung hinzufügen:

  1. Gehen Sie zu Token configuration und klicken Sie auf Add optional claim um einen E-Mail-Anspruch hinzuzufügen.
  2. Token-Typ auswählen: ID and Claim: email

Gruppen-Token hinzufügen

Optional können Sie, wenn Sie auch die Gruppeninformationen der Benutzer von Entra an Secure Access senden möchten, einen Gruppenanspruch hinzufügen.

In Secure Access können Sie Gruppenanspruchsinformationen verwenden, um userLevel und esm Rollen zu berechnen:

  1. Gehen Sie zu Token configuration und klicken Sie auf Add groups claim .
  2. Wählen Sie die richtigen Gruppentypen aus, je nachdem, welche Art von Gruppen Sie an die Secure Access Komponente senden möchten.
    1. Normalerweise reichen Security groups aus, es kommt aber darauf an, wie Entra ID Gruppen der Kunden gestaltet wurden.
  3. Wählen Sie Customize token properties by type .
    1. Beachten Sie, dass standardmäßig die Group ID verwendet wird. Bei Matrix42 Professional und IGA Lösung ist jedoch sAMAccountName in der Regel die bessere Option, wenn Gruppen nicht direkt aus Entra erstellt werden.
    2. Wenn Sie Cloud-Gruppen im Anspruch als groupIDs senden möchten, wählen Sie einfach " group type " und anschließend IDs aus.

API Berechtigungen

API Berechtigungen werden als Mindestberechtigungssatz vergeben. Das bedeutet, dass der Secure Access Anwendung nur der notwendige Zugriff gewährt werden muss.

  1. Wählen Sie in der Seitenleiste „ API Berechtigungen“ aus.
  2. Wählen Sie auf dieser Seite „Berechtigung hinzufügen“.
    1. Microsoft Graph > User.Read sollte bereits hinzugefügt sein, Sie können dies so belassen.
  3. Wählen Sie „Microsoft Graph“ aus.
  4. Delegated permissions auswählen
  5. Scrollen Sie nach unten zu Directory und wählen Sie die benötigten Berechtigungen aus.
    1. Berechtigung: Benutzer.Lesen, Typ: Delegiert
    2. Berechtigung: E-Mail, Typ: Delegiert
      1. Dies ist nur erforderlich, wenn ein E-Mail-Anspruch konfiguriert wurde und erforderlich ist.
  6. Klicken Sie auf „ Add permissions “.
  7. Nun werden die konfigurierten Berechtigungen angezeigt.

Optional: Entra ID so konfigurieren, dass föderierte/Gast UPN in OIDC -ID-Tokens ausgegeben werden.

Diese Konfiguration wird empfohlen, wenn Sie Gastbenutzern die Anmeldung ermöglichen.

  1. Öffnen Sie Ihre App Registration .
  2. Wählen Sie Ihre erstellte App aus (im Screenshot: Riku M42 native connectors ).
  3. Gehen Sie zur Token configuration
  4. Wählen Sie Add optional claim .
  5. Wählen Sie als Token type ID und als Claim upn aus.
  6. Klicken Sie auf Add “, um dieses Token hinzuzufügen.
  7. Es erscheint ein Popup-Fenster. Aktivieren Sie das Kontrollkästchen und klicken Sie auf Add .
  8. Bearbeiten Sie den soeben konfigurierten Anspruch, indem Sie die Option Edit hinter den drei Punkten auswählen:
  9. Setzen Sie Externally authenticated auf Yes und Save .

Die Konfiguration für Verbund-/Gastbenutzer ist nun abgeschlossen.

Ihr upn wird im ID-Token in diesem Format angezeigt: < upn >_<homedomain>#EXT#@<resourcedomain> zum Beispiel: john_contoso.com#EXT#@contoso.onmicrosoft.com

Diese Einstellung hat keinen Einfluss auf upn Format interner Benutzer; es bleibt im normalen upn Format, zum Beispiel: john.doe@contoso.com

OIDC Troubleshooting for  Entra ID configuration

Troubleshooting

If you run across the issues described below, it is recommended to contact Matrix42 as some of the steps can only be done by at our end.

Username Shown in Weird Format on Portal

Example of this issue in portal, where username is a weird string and the circle has also number or weird character:

In ESS2 portal, missing/weird username mapper affecting UI is cannot be shown.

Cause: Username mapper missing or configured incorrectly.

Fix: Contact Matrix42.

 

Weird Username and/or Missing Email on Entra Authentication

After Entra authentication, you see screen like this, with weird username and/or email missing.

Cause: Username mapper missing or configured incorrectly.

Fix: Contact Matrix42 

Error Screen After Entra Authentication - Application with Identifier

After Entra authentication you see a screen like this, containing text Application with identifier [string] not found in the directory.

Cause: As you can see error message, identifier has extra R character on beginning of it, so it doesn’t match Entra applications Application ID.

Fix: : Contact Matrix42 and provide the Application ID value.

Redirect URI Error After Entra Login

After Entra login you see screen like this:
 

Cause: The error message states that Redirect URI  is not configured to application on Entra. It has not been configured at all, or there is a typo on that URI on Entra configuration.
(example in the screenshot: https://rikurestdemo20251.efectecloud-demo.com/auth/realms/rikurestdemo20251/broker/oidctest/endpoint)

Fix: 

  1. Contact Matrix42 and request for your Secure Access' OIDC Identity Provider's Redirect URI. 
  2. Go to your Entra.
  3. Go to “App registration”.
  4. From the list, select your application that you use for OIDC login configurations.
  5. Select Authentication.
  6. Under Redirect URIs remove the faulty Redirect URI.
  7. Click Add URI.
  8. Add the correct redirect URI (this was copied on step 1.). 
  9. Test again.

Login doesn't work and keycloak.log contains errors

If log contains error like this:

Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Then issue is that Secure Access doesn't trust Entra certificates. 

Follow this guidance https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa chapter "Add Microsoft related certificates to Secure Access" to install needed certificates to Secure Access and then try login again.

anleitung zugriffssicherheit

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Secure Access – Kundenanweisungen zur Entra ID Konfiguration SAML
  • Efecte Secure Access - Kundenanweisungen für User Federation ( AD )
  • Efecte Secure Access – Kundenanweisungen zur starken Authentifizierung
  • Efecte Secure Access - Kundenanweisungen zur Virtu-Authentifizierung

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand