Microsoft Entra ID mit OIDC

Führen Sie die folgenden Schritte aus, um Single Sign-On (SSO) für Claris Studio mit Microsoft Entra ID unter Verwendung von OpenID Connect (OIDC) zu konfigurieren. Um Vertrauen zwischen Microsoft Entra-ID und einem Claris Studio-Team herzustellen, müssen Sie:

  • Eine Unternehmensanwendung erstellen.

  • Diese mit Ihren Claris Studio-Teamdaten aktualisieren.

  • Secrets erstellen.

  • Diese Secrets in Claris Studio speichern.

Claris Studio Setup-Seite öffnen

  1. Melden Sie sich bei Ihrem Claris Studio-Team an.

  2. Klicken Sie links auf das Register Benutzer und dann auf Externen IdP konfigurieren.

    Claris Studio – Einstellungen für externen IdP

  3. Wählen Sie im Dialogfeld „Externen Identitätsanbieter konfigurieren“ für Protokoll die Option OIDC. Lassen Sie diese Seite geöffnet, um später zu ihr zurückzukehren.

Eine Unternehmensanwendung erstellen

  1. Melden Sie sich beim Azure-Portal an. Klicken Sie unter Azure services (Azure-Dienste) auf Enterprise Applications (Unternehmensanwendungen). Klicken Sie auf der nächsten Seite oben links auf + New Application (+ Neue Anwendung).

    Microsoft Azure, Azure-Dienste, Enterprise-Anwendungen

    Microsoft Azure, Unternehmensanwendungen, Neue Anwendung

  2. Um eine eigene App für Claris Studio zu erstellen, klicken Sie auf + Create your own application (+ Eigene Anwendung erstellen). Geben Sie einen Namen für Ihre App ein und wählen Sie dann die Option Integrate any other application you don't find in the gallery (Sonstige Anwendung integrieren, die Sie nicht in der Galerie finden).

    Microsoft Azure, Unternehmensanwendungen, Eigene App erstellen

    Microsoft Azure, Anwendungsname

  3. Kopieren Sie in Ihrer neuen Anwendung den Wert Application ID (Anwendungs-ID), indem Sie auf das Zwischenablage-Symbol klicken.

    Speichern Sie diesen Wert an einem sicheren Ort und kennzeichnen Sie ihn als Application ID (Anwendungs-ID). Sie werden diesen Wert später noch einmal benötigen.

    Microsoft Azure, Anwendungs-ID

  4. Klicken Sie in der linken Seitenleiste unter Manage (Verwalten) auf Properties (Eigenschaften). Gehen Sie anschließend für den Schalter mit der Bezeichnung Assignment required? (Zuweisung erforderlich?) wie folgt vor:

    • Setzen Sie diesen auf No (Nein), wenn alle Benutzer Ihrer Azure-Instanz auf Claris Studio zugreifen können sollen.

    • Belassen Sie diese Option auf Yes (Ja), wenn Sie den Benutzern die Anmeldung in Claris Studio individuell ermöglichen möchten.

      Wenn Sie auf dieser Seite Änderungen vorgenommen haben, klicken Sie oben auf der Seite auf Save (Speichern).

    Microsoft Azure, Eigenschaften, Zuweisung erforderlich?

Ihre App registrieren

  1. Gehen Sie zur Homepage des Azure-Portals. Klicken Sie unter Azure services (Azure-Dienste), auf App registrations (App-Registrierungen). (Diese Option sollte sich in der Nähe der zuvor ausgewählten Option Enterprise applications (Unternehmensanwendungen) befinden.)

  2. Klicken Sie auf dieser Seite auf All applications (Alle Anwendungen). Suchen Sie dann Ihre Anwendung und klicken Sie darauf, um sie zu öffnen.

    Microsoft Azure, App-Registrierungen, Alle Anwendungen, Ihre Anwendung

  3. Klicken Sie in der linken Seitenleiste unter Manage (Verwalten) auf Authentication (Authentifizierung). Gehen Sie anschließend wie folgt vor:

    • Klicken Sie auf Add a platform (Plattform hinzufügen).

    • Wählen Sie in der rechten Seitenleiste Web aus.

    • Kopieren Sie in Claris Studio die Weiterleitungs-URL der Anwendung (siehe „Claris Studio Setup-Seite öffnen“ weiter oben) und fügen Sie sie in das Feld Redirect URIs (Umleitungs-URIs) ein.

    • Klicken Sie unten in der rechten Seitenleiste auf Configure (Konfigurieren).

    Microsoft Azure, Authentifizierung, Weiterleitungs-URIs

  4. Hinweis  Wenn Sie möchten, dass Benutzer auch nach der Abmeldung von Claris Studio bei Azure angemeldet bleiben, können Sie diesen Schritt überspringen.

    Um Benutzer von Azure und Claris Studio gemeinsam abzumelden, fügen Sie unter Front-channel logout URL (URL für Front-Channel-Abmeldung) die zuvor kopierte Weiterleitungs-URL der Anwendung ein, ersetzen Sie jedoch authorize (autorisieren) am Ende der URL durch logout (abmelden).

    Klicken Sie anschließend auf Save (Speichern).

    Microsoft Azure, Front-Channel-Abmelde-URL

Secret für Anwendung erstellen

  1. Klicken Sie in der linken Seitenleiste unter Manage (Verwalten) auf Certificates & secrets (Zertifikate & Geheimnisse). Klicken Sie dann auf + New client secret (+ Neuer geheimer Clientschlüssel).

    Geben Sie eine Beschreibung ein, die Ihnen dabei hilft, dieses Secret von anderen zu unterscheiden, und legen Sie die gewünschte Gültigkeitsdauer fest. Nach Ablauf der Gültigkeit müssen Sie zu diesem Schritt zurückkehren und ein Client-Secret neu erstellen. Klicken Sie anschließend auf Add (Hinzufügen).

    Microsoft Azure, Zertifikate & Geheimnisse, Neues Client-Secret

  2. Kopieren Sie für das neue Client-Secret, das Sie gerade erstellt haben, den Secret-Wert, indem Sie auf das entsprechende Zwischenablage-Symbol klicken. Speichern Sie diesen Wert an einem sicheren Ort und kennzeichnen Sie ihn als Secret Value (Secret-Wert). Sie werden diesen Wert später noch einmal benötigen.

    Microsoft Azure, Übersicht, Endpunkte, OpenID Connect-Metadaten-Dokument

  3. Klicken Sie in der linken Seitenleiste auf Overview (Übersicht). Klicken Sie dann auf Endpoints (Endpunkte) und kopieren Sie die URL, die mit OpenID Connect metadata document (OpenID Connect-Metadatendokument) gekennzeichnet ist, indem Sie auf das entsprechende Zwischenablage-Symbol klicken. Speichern Sie diese Datei wieder an einem sicheren Ort und benennen Sie sie als Metadata URL (Metadaten-URL). Sie werden diesen Wert später noch einmal benötigen.

Werte in Claris Studio eingeben

  1. Gehen Sie zurück zur Claris Studio-Seite, die Sie zuvor geöffnet haben (siehe „Claris Studio Setup-Seite öffnen“).

  2. Wählen Sie im Dialogfeld Externen Identitätsanbieter konfigurieren unter Protokoll die Option OIDC und geben Sie dann die folgenden Informationen ein:

    • Client-ID: das Token für Application ID (Anwendungs-ID), das Sie in „Eine Unternehmensanwendung erstellen“ kopiert haben

    • Client-Secret: das Token für Secret Value (Secret-Wert), das Sie in „Secret für Anwendung erstellen“ kopiert haben

    • Metadaten-URL: die Metadaten-URL, die Sie in „Secret für Anwendung erstellen“ kopiert haben

  3. Wählen Sie eine oder mehrere Standardgruppen aus, bei denen Sie sich über diesen externen IdP anmelden möchten, und klicken Sie dann auf Anwenden.

    Wenn Sie noch keine Gruppen haben, können Sie hier eine erstellen und später Benutzer hinzufügen. Weitere Informationen finden Sie unter Mit Gruppen arbeiten.

    Claris Studio, Microsoft Entra ID OIDC externer IdP Konfiguration

  4. Kopieren Sie auf der Seite „Benutzer“ den Link mit der Bezeichnung Anmelde-URL für die Anwendung und stellen Sie ihn den Benutzern zur Verfügung. Durch die Verwendung dieser URL können sie sich mit ihren SSO-Anmeldeinformationen bei Claris Studio anmelden.

Weiterführende Themen