MBCOM
MBCOM ConnectCloudOnboarding-Portal
Authentik-EntraMail-OnboardingMicrotech-Onboarding
Entra-Onboarding für Authentik

Authentik Den Zugang zu Portal, Dokumentation und weiteren Ressourcen mit vorbereiten.

Authentik ist die Grundlage für den Zugang zu den geschützten MBCOM-Bereichen. Dieser Baustein ist häufig weniger bekannt als Mail oder Microtech, sollte bei der Einrichtung aber trotzdem von Anfang an mitgedacht werden, damit der spätere Zugriff auf Portal, Dokumentation und weitere Ressourcen vorbereitet ist.

Zum PrüfbereichZur Anleitung

Zentrale Grundlage für den Zugriff

Authentik ist die Grundlage für den Zugriff auf Dokumentation, Portal und weitere geschützte MBCOM-Ressourcen und sollte bei der Gesamt-Einrichtung bewusst mit eingeplant werden.

Dokumentationsbasiertes Setup

Die Seite erzeugt die technischen Werte direkt im Browser und führt die Einrichtung in Microsoft Entra ID Schritt für Schritt durch.

Fester Callback vor dem Entra-Setup

Source-Name und Redirect-URI werden hier zuerst erzeugt, damit die Entra-App direkt mit den finalen technischen Werten angelegt werden kann.

Verschlüsselte Übergabe an uns

Die finalen Werte können verschlüsselt heruntergeladen oder direkt an MBCOM übertragen werden.

Authentik bitte nicht übersehen

Authentik ist ein wichtiger Teil der Gesamt-Einrichtung, weil darüber später der Zugriff auf Portal, Dokumentation und weitere MBCOM-Ressourcen läuft. Auch wenn andere Themen oft präsenter sind, sollte dieser Baustein in der Planung und Umsetzung früh mit berücksichtigt werden.

Wichtiger Hinweis zum Testergebnis

Das Onboarding erhöht die Wahrscheinlichkeit deutlich, dass Entra-App, Redirect-URI und Zugangsdaten korrekt vorbereitet sind. Es ist aber keine Garantie dafür, dass die spätere Anmeldung ohne weiteres Eingreifen funktioniert. Tenant-Richtlinien, Consent-Themen, nachträgliche Änderungen oder Besonderheiten in Ihrer Entra-Umgebung können zusätzliche Nacharbeit erforderlich machen.

Was mit Ihren Zugangsdaten passiert

Für den Smoketest wird serverseitig mit Tenant-ID, Client-ID und Client-Secret geprüft, ob Entra die App technisch akzeptiert und ein Token ausstellen kann. Beim verschlüsselten Download oder Upload werden Ihre Eingaben und Prüfergebnisse nicht im Klartext abgelegt, sondern auf dem Server per PBKDF2 und AES-256-GCM in eine verschlüsselte Datei verpackt. Gespeichert oder übertragen wird nur diese verschlüsselte Datei.

Einrichtung

So richten Sie Microsoft Entra ID für Authentik ein

1

1. Technische Werte im Onboarding erzeugen

Starten Sie in diesem Onboarding mit dem Kunden- oder Firmennamen und erzeugen Sie daraus die festen technischen Werte für die Entra-App.

Schritt für Schritt

Kunden- oder Firmennamen im Prüfbereich eintragen.
Auf Technische Werte erzeugen klicken.
Den generierten Source-Namen und die Redirect-URI unverändert für die spätere Entra-Konfiguration übernehmen.

Hinweise

Neu generierte technische Werte ändern die Redirect-URI. Wenn die Entra-App bereits angelegt wurde, muss die Redirect-URI dort anschließend ebenfalls angepasst werden.
2

2. Neue App Registration anlegen

Die Authentik-Anbindung verwendet eine eigene App Registration in Microsoft Entra ID.

Pfad

Microsoft Entra ID -> App registrations -> New registration

Schritt für Schritt

Einen eindeutigen Namen eintragen.
Accounts in this organizational directory only (Single tenant) auswählen.
Unter Redirect URI die Plattform Web wählen.
Die in diesem Onboarding generierte Redirect-URI eintragen.
Die App anschließend mit Register anlegen.
3

3. Redirect-URI nach der Erstellung prüfen

Nach der Erstellung muss die hinterlegte Redirect-URI in der App noch einmal technisch gegen den generierten Wert geprüft werden.

Pfad

Authentication

Schritt für Schritt

Prüfen, dass genau die im Onboarding erzeugte Redirect-URI hinterlegt ist.
Auf https achten.
Auf den vollständigen Callback-Pfad achten.
Auf den abschließenden Slash achten.

Hinweise

Schon kleine Abweichungen in der URI führen typischerweise dazu, dass die Anmeldung in Authentik nicht funktioniert.
4

4. Client Secret erzeugen

Für die spätere technische Anbindung wird ein Client Secret benötigt.

Pfad

Certificates & secrets

Schritt für Schritt

New client secret öffnen.
Eine sprechende Beschreibung hinterlegen, z. B. authentik-musterfirma-secret.
Eine passende Laufzeit auswählen.
Den Secret-Wert sofort an einem sicheren Ort speichern.

Hinweise

Der Secret-Wert wird nach dem Verlassen der Ansicht nicht erneut vollständig angezeigt.
5

5. Tenant-ID und Client-ID notieren

Die drei final benötigten Übergabewerte bestehen aus Client-ID, Tenant-ID und Client Secret.

Schritt für Schritt

Application (client) ID aus der Übersichtsseite notieren.
Directory (tenant) ID aus der Übersichtsseite notieren.
Den zuvor gespeicherten Client Secret Wert bereithalten.
6

6. Delegated Permissions setzen

Für die Anmeldung über Authentik werden nur die grundlegenden delegierten Microsoft-Graph-Berechtigungen benötigt.

Pfad

API permissions -> Add a permission -> Microsoft Graph -> Delegated permissions

Schritt für Schritt

openid hinzufügen.
profile hinzufügen.
email hinzufügen.

Hinweise

Diese Berechtigungen sind für die Anmeldung und die grundlegenden Benutzerinformationen erforderlich.
7

7. Admin Consent erteilen

Damit Benutzer beim ersten Login keine zusätzliche Freigabe bestätigen müssen, sollte der Tenant-weite Consent direkt erteilt werden.

Pfad

API permissions -> Grant admin consent

Schritt für Schritt

Grant admin consent ausführen.
Prüfen, dass die drei Delegated Permissions als freigegeben angezeigt werden.
8

8. Ergebnis gegen die Checkliste prüfen

Vor der Übergabe an MBCOM sollte die App Registration noch einmal vollständig abgeglichen werden.

Schritt für Schritt

Die App Registration existiert und ist Single tenant.
Die Redirect-URI ist exakt korrekt hinterlegt.
Ein Client Secret wurde erstellt und sicher gespeichert.
Application (client) ID und Directory (tenant) ID liegen vor.
openid, profile und email sind als Delegated Permissions gesetzt.
Grant admin consent wurde ausgeführt.

Übergabe an MBCOM

Diese Daten sollten am Ende vorliegen

Kunden- oder Firmenname
Generierter Source-Name
Generierte Redirect-URI
Application (client) ID
Directory (tenant) ID
Client Secret

Vor dem Prüfbereich

Diese Punkte sollten vorher erledigt sein

Die technischen Werte wurden im Onboarding erzeugt und unverändert in Entra übernommen.
Single tenant ist in der App Registration ausgewählt.
openid, profile und email sind als Delegated Permissions gesetzt.
Grant admin consent wurde bereits ausgeführt.

Lokale Prüfung

Formale Plausibilität der Eingaben

Ansprechpartner E-Mail

Noch nicht ausgefüllt.

Directory (tenant) ID

Noch nicht ausgefüllt.

Application (client) ID

Noch nicht ausgefüllt.

Redirect-URI und Source-Name

Noch nicht ausgefüllt.

Kundenname und Source-Name

Noch nicht ausgefüllt.

Prüfbereich

Eingaben prüfen und finale Werte übergeben

Der Bereich ist in drei Teile gegliedert: Übergabedaten, lokale Plausibilitätsprüfung und technischer Entra-Smoketest.

1. Technische Werte und Übergabedaten

Erzeugen Sie zuerst die festen technischen Werte für die Entra-App und ergänzen Sie danach die finalen Zugangsdaten aus Microsoft Entra ID.

Technische Werte für Entra

Der Source-Name und die Redirect-URI werden lokal im Browser erzeugt, bleiben nach einem Reload erhalten und sollten nach der Generierung unverändert in Entra übernommen werden.

Der Client Secret wird aus Sicherheitsgründen nicht in Ihrem Browser gespeichert und muss nach einem Reload erneut eingetragen werden.

2. Technischer Entra-Smoketest

Der Smoketest prüft Tenant-Erkennung, die Konsistenz von Redirect-URI und Source-Name sowie serverseitig die App-Anmeldung so weit, wie Entra das für diese Art von Anwendung zulässt.

Verschlüsselte Übergabe vorbereiten

Die eingegebenen Werte werden serverseitig verschlüsselt und können anschließend heruntergeladen oder direkt an den sicheren Ablageort übertragen werden.

Prüfergebnis

Ergebnis der Prüfung

Ansprechpartner E-Mail

Noch nicht ausgefüllt.

Directory (tenant) ID

Noch nicht ausgefüllt.

Application (client) ID

Noch nicht ausgefüllt.

Redirect-URI und Source-Name

Noch nicht ausgefüllt.

Kundenname und Source-Name

Noch nicht ausgefüllt.

Füllen Sie die Felder aus und starten Sie den Smoketest, um hier die technischen Prüfergebnisse anzuzeigen.