Zum Hauptinhalt springen

Single Sign-On (SSO) in edyoucated mit Microsoft Entra ID einrichten

Erfahren Sie, wie Sie eine neue Anwendung in Microsoft Entra ID registrieren und die Integration einrichten.

In diesem Artikel wird beschrieben, wie Sie Single Sign-On für edyoucated mit Microsoft Entra ID über OAuth 2.0/OpenID Connect (OIDC) einrichten.

Hinweis: edyoucated unterstützt auch SAML 2.0 SSO über eine separate, vom Support begleitete Einrichtung. Wenn Sie SAML anstelle des hier beschriebenen Microsoft Entra ID/OIDC-Flows verwenden möchten, lesen Sie Single Sign-On (SSO) in edyoucated mit SAML 2.0 einrichten.

Neue Anwendung in Entra ID erstellen

  1. Gehen Sie im Microsoft Entra ID Admin Center zu Microsoft Entra ID > App registrations.

  2. Um eine neue Anwendung wie edyoucated zu registrieren, klicken Sie auf New registration.

  3. Geben Sie im Feld Name einen Namen für die Anwendung ein, zum Beispiel edyoucated SSO.

  4. Wählen Sie unter Supported account types den Kontotyp aus, der die Anwendung verwenden oder auf die API zugreifen kann.

  5. Fügen Sie die folgende Callback-URI von edyoucated in das Feld unter Redirect URI (wie hier beschrieben) ein:

    https://authentication-prod-edyoucated.auth.eu-central-1.amazoncognito.com/oauth2/idpresponse

  6. Diese OAuth-Umleitungs-URI wird ausschließlich für die in diesem Artikel beschriebene Microsoft Entra ID/OIDC-Einrichtung verwendet. SAML-Konfigurationen verwenden diese Umleitungs-URI nicht und folgen dem separaten SAML-spezifischen Einrichtungsprozess.

  7. Stellen Sie sicher, dass Web im Dropdown-Menü als Umleitungstyp ausgewählt ist.

  8. Um die Anwendung zu registrieren, klicken Sie auf Register.

Eine Meldung bestätigt, dass die Anwendung erfolgreich erstellt wurde, und Sie werden zur neuen Anwendung weitergeleitet.

Integrationsdetails einrichten

Warum für diesen Microsoft Entra ID/OIDC-Flow ein Client-Secret erforderlich ist

  • Für diese Microsoft Entra ID-Einrichtung verwendet edyoucated den OAuth 2.0/OpenID Connect Authorization Code Flow. Nachdem sich der Benutzer angemeldet hat, erhält unser Server einen Autorisierungscode und tauscht diesen gegen Tokens aus.

  • Da edyoucated in diesem Flow als vertrauliche Client-App registriert ist, verlangt Microsoft Entra eine serverseitige Authentifizierung mithilfe eines Client-Secrets, um sicherzustellen, dass nur autorisierte Anwendungen Tokens erhalten.

  • Das Secret wird ausschließlich serverseitig verwendet, sicher gespeichert und speziell für Ihre App autorisiert. Daher stellt es kein Sicherheitsrisiko dar.

  • Diese Anforderung für ein Client-Secret gilt nur für den in diesem Artikel beschriebenen Microsoft Entra ID/OIDC-Flow. SAML 2.0 SSO-Konfigurationen verwenden einen separaten SAML-spezifischen Einrichtungsprozess.

Ihr edyoucated Account-Manager benötigt nun die folgenden Informationen von Ihnen:

Die Autorisierungs-URI

  1. Gehen Sie in der neuen Anwendung, die Sie in Microsoft Entra ID erstellt haben, zu Overview > Endpoints und klicken Sie auf Endpoints.

  2. Sie finden den Wert im Feld OAuth 2.0 authorization endpoint (v2). Dieser sollte etwa so aussehen: https://login.microsoftonline.com//oauth2/v2.0/authorize

Die Client-ID

  1. Gehen Sie anschließend in der Anwendung, die Sie in Microsoft Entra ID erstellt haben, zurück zu Overview.

  2. Kopieren Sie den Wert, der für die Application (client) ID aufgeführt ist.

Das Client-Secret

Das Client-Secret ist nur für die in diesem Artikel beschriebene Microsoft Entra ID/OIDC-Einrichtung erforderlich. Es ist nicht Teil des SAML 2.0 SSO-Einrichtungsprozesses.

  1. Gehen Sie anschließend in der Anwendung, die Sie in Microsoft Entra ID erstellt haben, zu Manage > Certificates & secrets.

  2. Wählen Sie Client secrets.

  3. Daraufhin wird der Bereich Add a client secret angezeigt.

  4. Geben Sie im Feld Description einen Namen für das Client-Secret ein und wählen Sie das entsprechende Ablaufdatum im Dropdown-Menü Expires aus.

  5. Klicken Sie auf Add.

  6. Eine Seite mit einer Übersicht über die Anmeldeinformationen der Anwendung wird angezeigt. Kopieren Sie den Wert, der in der Spalte Value aufgeführt ist.

Senden Sie diese Informationen über einen sicheren Kanal an Ihren edyoucated Account-Manager, damit er die Konfiguration für Sie einrichten kann.

Dualer Login-Modus (SSO + E-Mail/Passwort)

Der duale Login-Modus ermöglicht Benutzern in derselben Organisation, sich entweder über Ihren SSO-Provider oder mit einer edyoucated E-Mail/Passwort-Kombination anzumelden.

Hinweis: Der duale Login-Modus ist optional und kann für Ihre Organisation von Ihrem edyoucated Account-Manager aktiviert werden. Änderungen an Ihrer Microsoft Entra ID-App-Registrierung sind nicht erforderlich.

Warum den dualen Modus verwenden

  • Eine Fallback-Anmeldung (E-Mail/Passwort) zusätzlich zu SSO bereitstellen.

  • Externe Mitwirkende unterstützen, die möglicherweise keinen Zugriff auf Ihr SSO haben.

  • Gemischte Onboarding-Flows ermöglichen, während SSO eingeführt wird.

So aktivieren Sie den Modus

  1. Kontaktieren Sie Ihren edyoucated Account-Manager und beantragen Sie die Aktivierung des dualen Login-Modus für Ihre Organisation.

  2. Nach der Aktivierung können sich Benutzer gemäß der Richtlinie Ihrer Organisation per SSO oder mit ihrer E-Mail/Passwort-Kombination anmelden.

Betriebliche Hinweise

  • Benutzereinladungen und E-Mails zum Zurücksetzen des Passworts funktionieren weiterhin für Benutzer, die E-Mail/Passwort verwenden.

  • SSO-Benutzer können SSO wie gewohnt weiter verwenden.

Verwandte Artikel
Integration mit Microsoft Entra ID (früher Azure Active Directory)
Sicherheit bei edyoucated
Beitritt zu oder Wechsel zwischen Organisationen auf edyoucated
Hat dies deine Frage beantwortet?