US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

Finnish
US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish
  • Log in
  • Home
  • Identiteetin hallinta ja ylläpito ( IGA )
  • IGA ratkaisukirjasto
  • Ohjeet ja uid
  • Asiakkaan ohjeet

Secure Access - Asiakkaan ohjeet Entra ID määrittämiseen OpenID Connect ( OIDC ) -sovelluksella

Entra ID OpenID Connect määrittäminen Secure Access -todennusta varten

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Palvelunhallinta
    Matrix42 Professional -ratkaisu Matrix42 Core ydinratkaisu Yrityspalveluiden hallinta Matrix42 älykkyys
  • Identiteetin hallinta ja ylläpito ( IGA )
    IGA yleiskatsaus IGA ratkaisukirjasto
  • Alusta
    ESM ESS2 ESS Efecte Chat palvelunhallintaan Efecte-integraatiot Lisäosat
  • M42 Core & Pro julkaisutiedot, IGA , keskustelupohjainen tekoäly
    2025.3 2025.2 2025.1 2024.2 2024.1 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Julkaisutiedot ja käytännöt
  • Muu materiaali
    Käyttöehdot ja dokumentaatio- uid Saavutettavuusselosteet
  • Palvelut
+ More

    • Palvelunhallinta

    • Identiteetin hallinta ja ylläpito ( IGA )

    • Alusta

    • M42 Core & Pro julkaisutiedot, IGA , keskustelupohjainen tekoäly

    • Muu materiaali

    • Palvelut

Secure Access - Asiakkaan ohjeet Entra ID määrittämiseen OpenID Connect ( OIDC ) -sovelluksella

Entra ID OpenID Connect määrittäminen Secure Access -todennusta varten

Tässä artikkelissa on ohjeet asiakkaalle Microsoft Entra ID (aiemmin Azure AD ) määrittämiseen kertakirjautumista (SSO) varten OpenID Connect ( OIDC ) avulla Matrix42 Pro and IGA ratkaisujen avulla.

Yleensä tämän määrityksen suorittaa asiakkaan Entra ID tai todennusasiantuntija. Käyttöönoton ja testauksen pitäisi kestää enintään puoli päivää. Huomaa, että jotkin kuvakaappaukset saattavat näyttää erilaisilta asiakkaan Entra ID ssä.

Nämä ohjeet koskevat kaikkia Matrix42 Pro and IGA -ratkaisuja (esim. ITSM, IGA , HR), jotka käyttävät Secure Access -komponenttia todennukseen.

Kaikki alla olevat vaiheet ovat pakollisia, ellei niitä ole erikseen mainittu valinnaisina.

Huomautus

Tätä sovelluksen rekisteröintisovellusta on tarkoitus käyttää vain Secure Access kanssa käyttäjille, jotka todentavat itsensä Matrix42 Professional ja IGA ratkaisuihin.

Jos käytät myös OIDC Microsoft Graph API natiivien liittimien kanssa, on suositeltavaa luoda niille erillinen sovellus. Katso näissä tapauksissa Natiivit liittimet - Asiakkaan ohjeet Entra ID lle.

 

Entra ID määrittäminen OpenID Connect ( OIDC ) varten

Hakemuksen rekisteröinti

Asiakkaan on määritettävä Entra -vuokraajansa sallimaan Matrix42 Security Access -komponentin hakea käyttäjätilien ja ryhmien tietoja. Määritys tehdään Entra ID -konsoliin (aiemmin Azure AD ) kirjautumisen jälkeen.

  1. Siirry osoitteeseen https://entra.microsoft.com ja kirjaudu sisään valitsemalla App registrations (HUOM! Tämä ei ole " Enterprise Application ", joka luodaan toisen polun kautta, mutta se voidaan sekoittaa tähän). 
  2. Valitse New registration . 
  3. Anna sovellukselle nimi.
  4. Valitse oikeat Supported Account Types käyttötapauksesi mukaan. Tämä on erittäin tärkeä valinta , joten jos et ole varma, minkä valita, ota yhteyttä jonkun kokeneemman henkilön kanssa tästä määrityksestä.
    1. Vaihtoehto 1 – useimmissa tapauksissa suositeltava : Jos luot peruskonfiguraatiota, jossa kaikki Matrix42 järjestelmään kirjautuvat käyttäjät kuuluvat vuokraajaasi, valitse Accounts in this organizational directory only (<this tenant> only - Single tenant)
    2. Vaihtoehto 2 : - Tässä käyttötapauksessa olet varma, että haluat myös muiden vuokralaisten käyttäjien voivan kirjautua Matrix42 -ratkaisuihisi (sinulla on esimerkiksi useita palveluntarjoajia (MSP)).
      Valitse: Accounts in any organizational directory (Any Microsoft Entra ID tenant - Multitenant) .
      1. Huomaa, että usean vuokraajan sovellusta käytettäessä Azure ei lähetä ryhmiä niminä, vaan aina vain tunnuksina.
      2. Huomautus! Jos valitset tämän monivuokraaja-vaihtoehdon, Matrix42 on määritettävä kaikki sallitut vuokraajat Tunnistetietojen tarjoajien myöntäjä -kenttään pilkuilla erotettuna luettelona. 
  5. Valitse kohdassa Redirect URI alustaksi Web ja anna sitten Secure Access vastaus-URL-osoite (tämä voidaan lisätä myöhemmin, jos Matrix42 ei ole vielä antanut URI-osoitetta). 
  6. Valitse Register .

Uudelleenohjauksen URI:n asettaminen sovelluksen luomisen jälkeen

  1. Siirry osoitteeseen https://entra.microsoft.com ja kirjaudu sisään valitsemalla App registrations .
  2. Etsi ja avaa luomasi sovellus.
  3. Valitse vasemmanpuoleisesta valikosta Todennus. 
  4. Lisää uudelleenohjaus-URI
    Alustan tyyppi: Web
    Redirect URI: URL-osoite, jonka sait Matrix42 OpenID Connect v1.0:n identiteettipalveluntarjoajien Redirect URI -attribute . 

Sertifikaatit ja salaisuudet

Secure Access tukee suojattua yhteyttä Entra ID Client Secrets avulla.

Asiakkaan salaiset ohjeet

  1. Valitse sovelluksesi Microsoft Entra -hallintakeskuksessa App registrations . 
  2. Valitse Certificates & secrets > Client secrets > New client secret . 
  3. Lisää kuvaus asiakassalaisuudellesi.
  4. Valitse salaisuudelle vanhenemisaika tai määritä mukautettu käyttöikä.
    1. Asiakkaan salaisuuden vanhenemisaika on rajoitettu 730 päivään / 24 kuukauteen (kaksi vuotta) tai vähemmän. Et voi määrittää mukautettua vanhenemisaikaa, joka on yli 730 päivää / 24 kuukautta.
    2. Microsoft suosittelee, että asetat vanhenemispäivämäärän, joka on alle 365 päivän / 12 kuukauden päässä.
  5. Valitse Add . 
  6. Kirjaa salaisuuden arvo asiakassovelluskoodiasi varten.

    Tätä salaista arvoa ei enää koskaan näytetä tältä sivulta poistumisen jälkeen. Jos salainen arvo katoaa / sitä ei tallenneta, ainoa tapa saada uusi salainen arvo on määrittää jokin uudelleen.

     

Merkitse kalenteriin ja ratkaisun vuosikelloon salaisuutesi vanhenemispäivä.

Tämä on siksi, että muistat lisätä uuden salaisuuden ja ottaa sen käyttöön Secure Access ennen kuin vanha vanhenee.

Suunnittele salaisen avaimen vaihto etukäteen, koska salaisuuden vanhenemisen jälkeen Matrix42 Pro and IGA -ratkaisujen käyttäjät EIVÄT voi todentaa itseään järjestelmään SAML -todennuksella .

 

Tunnuksen määritys

Jotta perus OpenID Connect ( OIDC ) -kirjautuminen toimisi, sinun ei tarvitse lisätä Optional claim .

Sähköpostivaatimuksen lisääminen

Mutta on erittäin suositeltavaa lähettää käyttäjän sähköpostiosoite myös Entra Secure Access . Sieltä käyttäjän sähköpostiosoite lähetetään Matrix42 Pro and IGA ratkaisuun. Tätä tarvitaan chat-toimintoa varten.

Tätä varten sinun on lisättävä sähköpostivaatimus:

  1. Siirry kohtaan Token configuration ja Add optional claim .
  2. Valitse tunnuksen tyyppi: ID and Claim: email 

Lisää ryhmän tunnus

Vaihtoehtoisesti, jos haluat lähettää myös käyttäjän ryhmätiedot Entra Secure Access , sinun on lisättävä groups-claim.

Secure Access voit käyttää groups-claim-tietoja userLevel ja esm -roolien laskemiseen:

  1. Siirry kohtaan Token configuration ja napsauta Add groups claim .
  2. Valitse oikeat ryhmätyypit sen mukaan, minkä tyyppisiä ryhmiä haluat lähettää Secure Access -komponenttiin.
    1. Yleensä Security groups riittävät, mutta se riippuu siitä, miten asiakkaiden Entra ID -ryhmät on suunniteltu.
  3. Valitse Customize token properties by type .
    1. Huomaa, että oletusarvo on Group ID , mutta Matrix42 Professional ja IGA ratkaisun kanssa sAMAccountName on yleensä parempi vaihtoehto, jos ryhmiä ei luoda suoraan Entra . 
    2. Jos haluat lähettää pilviryhmiä vaatimuksessa groupIDs , valitse vain " group type " ja valitse sitten IDs . 

API käyttöoikeudet

API käyttöoikeudet myönnetään vähimmäismääränä käyttöoikeuksia. Tämä tarkoittaa, että Secure Access -sovellukselle tarvitsee myöntää vain välttämättömät käyttöoikeudet.

  1. Valitse sivupalkista ” API -käyttöoikeudet”.
  2. Valitse tuolta sivulta "Lisää käyttöoikeus".
    1. Sinulla pitäisi jo olla Microsoft Graph > User.Read lisättynä, voit jättää tämän sellaisenaan. 
  3. Valitse "Microsoft Graph".
  4. Valitse Delegated permissions 
  5. Vieritä alas Directory ja valitse tarvittavat käyttöoikeudet.
    1. Käyttöoikeus: Käyttäjä.Luku, Tyyppi: Delegoitu
    2. Käyttöoikeus: sähköposti, Tyyppi: Delegoitu
      1. Tämä vaaditaan vain, jos sähköpostivaatimus on määritetty ja se on pakollinen.
  6. Napsauta " Add permissions ".
  7. Nyt näytetään määritetyt käyttöoikeudet. 

Valinnainen: Määritä Entra ID lähettämään Federated/Guer UPN OIDC ID -tunnuksissa

Tämän määrityksen tekemistä suositellaan, jos sallit vieraskäyttäjien kirjautumisen.

  1. Avaa App Registration .
  2. Valitse luomasi sovelluksesi (kuvakaappauksessa Riku M42 native connectors ).
  3. Siirry Token configuration
  4. Valitse Add optional claim .
  5. Valitse ID Token type ja Claim :ksi upn
  6. Lisää kyseinen tunnus napsauttamalla Add . 
  7. Näyttöön tulee ponnahdusikkuna, valitse valintaruutu ja napsauta Add . 
  8. Muokkaa juuri määrittämäämme vaatimusta valitsemalla Edit vaihtoehto kolmen pisteen takaa: 
  9. Aseta Externally authenticated Yes ja Save .

Liitännäiskäyttäjien/vieraskäyttäjien määritys on nyt valmis.

Heidän upn näytetään ID-tokenissa tässä muodossa: < upn >_<homedomain>#EXT#@<resourcedomain> esimerkiksi: john_contoso.com#EXT#@contoso.onmicrosoft.com

Tämä asetus ei vaikuta sisäisten käyttäjien upn muotoon, se on edelleen normaalissa upn muodossa, esimerkiksi: john.doe@contoso.com

OIDC Troubleshooting for  Entra ID configuration

Troubleshooting

If you run across the issues described below, it is recommended to contact Matrix42 as some of the steps can only be done by at our end.

Username Shown in Weird Format on Portal

Example of this issue in portal, where username is a weird string and the circle has also number or weird character:

In ESS2 portal, missing/weird username mapper affecting UI is cannot be shown.

Cause: Username mapper missing or configured incorrectly.

Fix: Contact Matrix42.

 

Weird Username and/or Missing Email on Entra Authentication

After Entra authentication, you see screen like this, with weird username and/or email missing.

Cause: Username mapper missing or configured incorrectly.

Fix: Contact Matrix42 

Error Screen After Entra Authentication - Application with Identifier

After Entra authentication you see a screen like this, containing text Application with identifier [string] not found in the directory.

Cause: As you can see error message, identifier has extra R character on beginning of it, so it doesn’t match Entra applications Application ID.

Fix: : Contact Matrix42 and provide the Application ID value.

Redirect URI Error After Entra Login

After Entra login you see screen like this:
 

Cause: The error message states that Redirect URI  is not configured to application on Entra. It has not been configured at all, or there is a typo on that URI on Entra configuration.
(example in the screenshot: https://rikurestdemo20251.efectecloud-demo.com/auth/realms/rikurestdemo20251/broker/oidctest/endpoint)

Fix: 

  1. Contact Matrix42 and request for your Secure Access' OIDC Identity Provider's Redirect URI. 
  2. Go to your Entra.
  3. Go to “App registration”.
  4. From the list, select your application that you use for OIDC login configurations.
  5. Select Authentication.
  6. Under Redirect URIs remove the faulty Redirect URI.
  7. Click Add URI.
  8. Add the correct redirect URI (this was copied on step 1.). 
  9. Test again.

Login doesn't work and keycloak.log contains errors

If log contains error like this:

Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Then issue is that Secure Access doesn't trust Entra certificates. 

Follow this guidance https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa chapter "Add Microsoft related certificates to Secure Access" to install needed certificates to Secure Access and then try login again.

asiakkaan ohjeet turvallinen pääsy

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Efecte Provisioning Engine - Asiakkaan ohjeet SQL liittimelle
  • Efecte Provisioning Engine - Asiakkaan ohjeet Active Directory käyttöön
  • Efecte Secure Access - Asiakkaan ohjeet AD FS:n konfigurointiin
  • Asiakkaan ohjeet uusien Cloud migraatioon

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand