Neue Applikation in Entra ID erstellen
Im Microsoft Entra ID Admin Center zu
Microsoft Entra ID>App registrationsgehen.Um eine neue Applikation wie edyoucated zu registrieren, auf
New registration. klickenIm Feld Name einen Namen für die Applikation eingeben, zum Beispiel "edyoucated SSO".
Unter Supported account types den Kontotyp auswählen, der die Applikation nutzen oder auf die API zugreifen kann.
Die folgende Callback-URI von edyoucated in das Feld unter Redirect URI (wie hier beschrieben) einfügen:
https://authentication-prod-edyoucated.auth.eu-central-1.amazoncognito.com/oauth2/idpresponseSicherstellen, dass Web als Umleitungstyp aus dem Dropdown-Menü ausgewählt ist.
Um die Applikation zu registrieren, auf
Registerklicken.
Eine Nachricht wird angezeigt, um zu bestätigen, dass die Applikation erfolgreich erstellt wurde, und Sie werden zur neuen Applikation weitergeleitet.
Integrationsdetails einrichten
Warum ein Client-Secret erforderlich ist
edyoucated verwendet den OAuth 2.0/OpenID Connect Authorization Code Flow. Nachdem sich der Benutzer angemeldet hat, erhält unser Server einen Autorisierungscode und tauscht diesen gegen Tokens.
Da edyoucated als vertrauliche Client-App registriert ist, erfordert Microsoft Entra eine serverseitige Authentifizierung mittels Client-Secret, um sicherzustellen, dass nur autorisierte Anwendungen Tokens erhalten.
Das Secret wird ausschließlich serverseitig genutzt, sicher gespeichert und speziell für Ihre App autorisiert, sodass kein Sicherheitsrisiko besteht.
Ihr edyoucated Account-Manager benötigt nun die folgenden Informationen von Ihnen:
Die Autorisierungs-URI
In der neuen Applikation, die Sie in Microsoft Entra ID erstellt haben, zu
Overview>Endpointsgehen und aufEndpoints. klickenDen Wert im Feld OAuth 2.0 authorization endpoint (v2) finden. Dieser sollte etwa so aussehen:
https://login.microsoftonline.com/<SOME_UUID>/v2.0/authorize
Die Client-ID
Dann in der Applikation, die Sie in Microsoft Entra ID erstellt haben, zurück zu
Overview. gehenDen Wert kopieren, der für die Application (client) ID. aufgeführt ist.
Das Client-Secret
Dann in der Applikation, die Sie in Microsoft Entra ID erstellt haben, zu
Manage>Certificates & secretsgehen.Client secrets. auswählenDann wird die Add a client secret-Leiste angezeigt.
Im Feld Description einen Namen für das Client-Secret eingeben und das relevante Ablaufdatum aus dem Dropdown-Menü Expires auswählen.
Auf
Addklicken.Eine Seite wird angezeigt, die eine Übersicht über die Anmeldeinformationen der Applikation zeigt. Den Wert kopieren, der unter der Spalte Value aufgeführt ist.
Diese Informationen über einen sicheren Kanal an Ihren edyoucated Account-Manager senden, damit er die Konfiguration für Sie einrichten kann.
Dualer Login-Modus (SSO + E-Mail/Passwort)
Der duale Login-Modus ermöglicht Nutzern in derselben Organisation die Anmeldung entweder über Ihren SSO-Provider oder mit einer edyoucated E-Mail/Passwort-Kombination.
Hinweis: Der duale Login-Modus ist optional und kann für Ihre Organisation von Ihrem edyoucated Account-Manager aktiviert werden. Änderungen an Ihrer Microsoft Entra ID App-Registrierung sind nicht erforderlich.
Warum den dualen Modus verwenden
Eine Fallback-Anmeldung (E-Mail/Passwort) neben SSO bereitstellen.
Externe Mitwirkende unterstützen, die möglicherweise keinen Zugang zu Ihrem SSO haben.
Gemischte Onboarding-Flows ermöglichen, während SSO ausgerollt wird.
So aktivieren Sie den Modus
Kontaktieren Sie Ihren edyoucated Account-Manager und beantragen Sie die Aktivierung des dualen Login-Modus für Ihre Organisation.
Sobald aktiviert, können sich Nutzer gemäß der Richtlinie Ihrer Organisation entweder per SSO oder mit ihrer E-Mail/Passwort anmelden.
Betriebliche Hinweise
Nutzer-Einladungen und E-Mail zum Zurücksetzen des Passworts funktionieren weiterhin für Nutzer, die E-Mail/Passwort verwenden.
SSO-Nutzer können SSO wie gewohnt weiter verwenden.