Zum Hauptinhalt springen

SSO mit Microsoft Entra ID (OpenID Connect) einrichten

Erfahre, wie Du Single Sign-on (SSO) zwischen Yokoy und Microsoft Entra ID mit OpenID Connect konfigurierst.

Verfasst von Yokoy Team

🌐 Web | 👤 Organisations-Admin

Um Yokoy mit Microsoft Entra ID (ehemals Azure Active Directory) über OpenID Connect zu verbinden, musst Du sowohl in Yokoy als auch in Deiner Microsoft Entra ID-Konfiguration gewisse Einstellungen vornehmen. Je nach Schritt sind die Aktionen entweder in Yokoy bzw. in Microsoft Entra ID erforderlich.

In Microsoft Entra ID musst Du eine OpenID-Connect-Anwendung konfigurieren, die sich mit Yokoy verbinden kann. Yokoy ist als zertifizierte Entra ID-App gelistet, um die Konfiguration zu vereinfachen. Weitere Informationen zur Einrichtung von OpenID Connect in Microsoft Entra ID findest Du unter OpenID Connect auf Microsoft Identity Platform.

Richte SSO ein, dass sich User mit ihrer Entra ID bei Yokoy anmelden können:

  1. Yokoy als neue SSO-Applikation hinzufügen

  2. Client-ID abrufen

  3. Issuer-URL abrufen

  4. Client-Secret abrufen

  5. Callback-URL konfigurieren

  6. Zugriffstoken und ID-Token deaktivieren

  7. Domäne(n) und Authentifizierungsprotokoll einrichten

  8. Client-ID, Client-Secret und Issuer-URL hinzufügen

  9. Beschriftung für Anmelde-Button definieren

  10. Konfiguration speichern und testen

  11. Passwort-Login deaktivieren (optional)

Yokoy als neue SSO-Applikation hinzufügen

Gehe zu Enterprise Applikationen und klicke + Neue Applikation. Suche nach "Yokoy" in der Suchleiste und wähle Yokoy aus.

Klicke Create (Erstellen), um die App zu Deiner Microsoft Entra Galerie hinzuzufügen.

Client-ID abrufen

Kopiere die Applikations-ID in der Übersicht von Enterprise Applikationen.

Du brauchst sie für das Konfigurieren des OIDC in Yokoy.

Issuer-URL abrufen

Gehe zur App registrations und klicke auf Yokoy SSO.

Wähle Endpoints aus und kopiere die Issuer URL. Speichere es so, wie du es benötigst, um Yokoy zu konfigurieren.

Um sicherzustellen, dass Du die richtige URL auswähls, enthält der bekannte Issuer (Aussteller) immer die directory tenant ID (Verzeichnis-Tenant-ID).

Client-Secret abrufen

Klicke in der App-Übersicht auf Certificates & Secrets (Zertifikate & Geheimnisse). Klicke anschließend auf + new client secret (+ Neuer geheimer Clientschlüssel) und füge eine Beschreibung sowie ein Ablaufdatum für die neu generierten Anmeldeinformationen hinzu.

Kopiere den Wert des client secret (geheimer Client-Schlüssel), da Du ihn zur Konfiguration von Yokoy benötigst.

Callback-URL konfigurieren

Um die Einrichtung abzuschließen, musst Du eine Callback-URL eingeben.

Umgebung

URL

Production

https://auth.yokoy.ai/callback

Sandbox

https://auth.test.yokoy.ai/callback

Gehe zum Abschnitt Authentication (Authentifizierung). Klicke auf +Add a platform (+ Plattform hinzufügen), wähle Web aus und fahre fort.

Gib die von Yokoy zur Verfügung gestellte Callback-Redirect-URI ein.

Zugriffs- sowie ID-Token deaktivieren

Deaktiviere die Kontrollkästchen für access tokens (Zugriffstoken) und ID-Tokens, da diese nur für den unsicheren impliziten Flow benötigt werden.

Die anderen Felder können unverändert bleiben

Domain(s) und Authentifizierungsprotokoll einrichten

Gehe in Yokoy zu Admin > Organisation, Tab Authentifizierung.

🚧 Vorsicht

Stelle sicher, dass die Funktion Authentifizierung für Deine Organisation aktiviert wurde. Andernfalls ist dieser Tab nicht sichtbar.

Füge die Domain Deines Unternehmens hinzu, indem Du auf + Domain hinzufügen klickst. Verwende dabei das Format: yourcompany.com. Klicke auf Speichern.

Du kannst mehrere Domains hinzufügen – z. B. für verschiedene Länder oder Niederlassungen Deines Unternehmens (z. B. company.it, company.ch, company.de).

Sobald die Domains hinzugefügt wurden, kannst Du mit der Auswahl der bevorzugten Authentifizierungs-Methode fortfahren.

Klicke auf Anbieter hinzufügen und wähle OpenID Connect (OIDC) aus.

Client-ID, Client-Secret und Issuer-URL hinzufügen

Gib die Information bei OpenID Connect ein, die Du durch Microsoft Entra erhalten hast.

Feld

Beschreibung

Issuer

Gib die Issuer URL (bekannt) ein.

Client-ID

Gib die Client-ID ein.

Client-secret

Gib das Client-secret ein.

Beschriftung für Anmelde-Button definieren

Add a label to the button that is displayed to end user in the Button text field.

This label is used with Sign in with. For example, the text shown is SSO (OIDC).

Füge im Feld Button text eine Beschriftung für den Button hinzu, der dem End user angezeigt wird. Diese Beschriftung wird zusammen mit Login mit verwendet.
Beispielsweise wird der Text als Login mit SSO (OIDC) angezeigt.

Konfiguration testen

Speicher die Konfiguration und fahre mit dem Testen fort. Sobald Du die Domain-E-Mail-Adresse eingibst, wird die SSO-Option angezeigt. Zum Beispiel siehst Du einen zusätzlichen Button über der Passwortoption: Login mit SSO (OIDC).

Richte einen Testbenutzer ein, mit dem Du den vollständigen Ablauf testen kannst, um sicherzustellen, dass SSO korrekt konfiguriert ist. Der Test kann das Klicken auf den SSO-Button beinhalten. So lässt sich prüfen, ob die Anwendung korrekt eingerichtet wurde. Bei einer fehlerhaften Konfiguration kann es Fehler wie "Fehlende Anwendung" anzeigen.

💡 Tipp

Falls der Button nicht angezeigt wird, überprüfe die folgenden Dinge:

  • Umgebung (Environment): Stelle sicher, dass Du die richtige Umgebung (Sandbox/Produktion) konfiguriert hast.

  • Domain: Überprüfe, dass die E-Mail-Domain korrekt geschrieben ist und mit der konfigurierten Domain übereinstimmt.

Passwortauthentifizierung deaktivieren (optional)

Sobald Du überprüft hast, dass SSO korrekt eingerichtet ist und sich User über SSO anmelden können, kann die Passwortauthentifizierung für die Organisation deaktiviert werden, um Anmeldeprobleme zu vermeiden. Obwohl dieser Schritt empfohlen wird, kannst Du wahlweise beide Authentifizierungsmethoden zulassen.

Gehe dazu zu Admin > Organisation, Tab Authentifizierung, und deaktiviere den Schalter Passwort einschalten.

Hat dies deine Frage beantwortet?