MS Entra-integratie
6min
Wichtige Links
Microsoft Entra Admin Center: https://entra.microsoft.com/
App-Registrierungen: App registrations
Kibi Connect nutzt OAuth2 / OpenID Connect (OIDC) – kein SAML
Die Anbindung an Microsoft Entra erfolgt ausschließlich überOAuth2 / OpenID Connect (OIDC). SAML wird nicht unterstützt und wird nicht benötigt.
Das bedeutet konkret:
Die gesamte Konfiguration erfolgt in derApp-Registrierung(unter Identity > Applications > App registrations). Die SAML-Konfigurationsseite einer Enterprise Application istnicht relevant.
Es werden keine SAML-Identifier, SAML-Zertifikate oder SAML-Claims benötigt.
1. Unternehmensanwendung erstellen
Schritt 1.1: Zu Unternehmens-Apps navigieren
Im Microsoft Entra Admin Center suchen Sie in der linken Seitenleiste nach:
Home(Haus-Symbol)
Entra ID(erweiterter Bereich)
Unternehmens-Apps- Klicken Sie auf diese Option
Schritt 1.2: "Neue Anwendung" klicken
Suchen Sie auf der Unternehmens-Apps-Seite nach den Aktionsschaltflächen oben.
Schritt 1.3: "Eigene Anwendung erstellen" auswählen
Ein Modal-Fenster öffnet sich mit mehreren Optionen. Suchen Sie nach:
Eigene Anwendung erstellen- Klicken Sie auf diese Option
Dies öffnet ein Seitenpanel für die Konfiguration
Schritt 1.4: Anwendungsdetails konfigurieren
Im Seitenpanel, das sich öffnet, müssen Sie:
Name: Geben Sie Ihren Anwendungsname ein (z.B. Kibi demo app)
Wichtig: Stellen Sie sicher, dass SieIntegrieren Sie jede andere Anwendung, die Sie nicht in der Galerie finden (Nicht-Galerie) auswählen
Schritt 1.5: Anwendungserstellung bestätigen
Nach dem Klicken auf Erstellen werden Sie zur Anwendungsübersichtsseite weitergeleitet. Bestätigen Sie, dass:
Ihr Anwendungsname im Titel erscheint
Sie die Anwendungs-ID (Client-ID) sehen können
Die Anwendung in Ihrer Unternehmens-Apps-Liste erscheint
2. App-Geheimnisschlüssel erstellen
Schritt 2.1: Zu App-Registrierungen navigieren
Suchen Sie in der linken Seitenleiste nach und klicken Sie aufApp-Registrierungen.
Wählen SieAlle Anwendungen
Wählen Sie Ihre Anwendung aus der Liste
Schritt 2.2: Auf Zertifikate und Geheimnisse zugreifen
Suchen Sie in den Anwendungsdetails im linken Menü nach und klicken Sie aufZertifikate und Geheimnisse.
Schritt 2.3: Neues Client-Geheimnis erstellen
Auf der Zertifikate und Geheimnisse-Seite:
Klicken Sie auf+ Neues Client-Geheimnis
Fügen Sie eine Beschreibung hinzu (z.B. Kibi Connect Integration)
Wählen Sie Ablauf (empfehlen 12 Monate oder länger)
Klicken Sie aufHinzufügen
Schritt 2.4: Den Geheimniswert kopieren
WICHTIG: Nach der Erstellung des Geheimnisses sehen Sie den Geheimniswert nur einmal. Kopieren Sie ihn sofort!
Warnung: Der Geheimniswert wird versteckt, nachdem Sie diese Seite verlassen. Stellen Sie sicher, dass Sie ihn an einen sicheren Ort kopieren.
3. Anwendungsberechtigungen konfigurieren
Schritt 3.1: Zu App-Registrierungen navigieren
Suchen Sie in der linken Seitenleiste nach und klicken Sie aufApp-Registrierungen.
Wählen SieAlle Anwendungen
Wählen Sie Ihre Anwendung aus der Liste
Schritt 3.2: API-Berechtigungen
Suchen Sie in den Anwendungsdetails im linken Menü nach und klicken Sie aufAPI-Berechtigungen.
Schritt 3.3: Microsoft Graph Berechtigungen hinzufügen
Auf der API-Berechtigungen-Seite:
Klicken Sie auf+ Berechtigung hinzufügen
Wählen SieMicrosoft Graph
Wählen SieAnwendungsberechtigungen
Suchen Sie nachUser.Read.All unter Benutzer
Suchen Sie nachDirectory.Read.All unter Verzeichnis
Klicken Sie aufBerechtigungen hinzufügen
Schritt 3.4: Administrator-Einwilligung erteilen
WICHTIG: Erteilen Sie der Anwendung die Administrator-Einwilligung, sonst funktioniert die Synchronisation nicht.
Klicken Sie aufAdministrator-Einwilligung erteilen
Klicken Sie aufJa
Schritt 3.5: Berechtigungen für Single Sign-On (Delegierte Berechtigungen)
Falls Sie SSO ("Mit Microsoft anmelden") nutzen möchten, benötigen Siezusätzlich delegierte Berechtigungen:
Klicken Sie erneut auf+ Berechtigung hinzufügen
Wählen SieMicrosoft Graph
Wählen Sie diesmalDelegierte Berechtigungen(Delegated permissions)
Suchen und aktivieren Sie folgende Berechtigungen:
openid– OpenID Connect Anmeldungprofile– Benutzerprofil lesenemail– E-Mail-Adresse lesenUser.Read– Angemeldetes Benutzerprofil lesen
Klicken Sie aufBerechtigungen hinzufügen. Erteilen Sie anschließend erneut die Administrator-Einwilligung.
3b. Redirect URI für SSO konfigurieren
Dieser Schritt ist nur erforderlich, wenn SieSingle Sign-On (SSO) nutzen möchten.
Schritt 3b.1: Umleitungs-URI eintragen
In Ihrer App-Registrierung klicken Sie im linken Menü aufAuthentifizierung(Authentication).
Klicken Sie auf+ Plattform hinzufügen(Add a platform)
Wählen SieWeb
Tragen Sie folgende Redirect URI ein:
https://IHRE-DOMAIN/auth/microsoft/callback
Ersetzen SieIHRE-DOMAIN durch die Domain Ihres Kibi Connect Mandanten (z.B.firmenname.kibi.de).
Beispiel:https://meinefirma.kibi.de/auth/microsoft/callback
Klicken Sie aufKonfigurieren.
4. Benutzer Ihrer Anwendung zuweisen (Optional)
Schritt 4.1: Zu Unternehmens-Apps navigieren
Suchen Sie in der linken Seitenleiste nach und klicken Sie aufUnternehmens-Apps.
Wählen Sie Ihre Anwendung aus der Liste
Schritt 4.2: Auf Benutzer und Gruppen zugreifen
Suchen Sie in den Anwendungsdetails im linken Menü nach und klicken Sie aufBenutzer und Gruppen.
Schritt 4.3: Benutzer Ihrer Anwendung zuweisen
Auf der Benutzer und Gruppen-Seite:
Klicken Sie auf+ Benutzer/Gruppe hinzufügen
Schritt 4.4: Zuweisung bestätigen
Auf der Zuweisung hinzufügen-Seite:
Klicken Sie aufBenutzer
Wählen Sie die Benutzer aus, die Sie Ihrer Anwendung zuweisen möchten
Klicken Sie aufAuswählen
5. Kibi Connect Konfiguration
Schritt 5.1: Zu Einstellungen in Kibi Connect navigieren
Suchen Sie in der linken Seitenleiste nach und klicken Sie aufEinstellungen.
Scrollen Sie nach unten zumMicrosoft Entra Integration Abschnitt
Klicken Sie aufIntegration konfigurieren
Schritt 5.2: Integration konfigurieren
Auf der Microsoft Entra Integration-Seite:
Klicken Sie aufIntegration aktivieren
Schritt 5.3: Schlüssel zu Verbindungseinstellungen hinzufügen
Nach der Aktivierung sehen Sie die folgenden Felder:
Verbindungseinstellungen
Synchronisationseinstellungen
Aktionen
Setup-Anleitung
Klicken Sie aufVerbindungseinstellungen, um die Schlüssel hinzuzufügen.
Jetzt müssen Sie die Schlüssel zu den Verbindungseinstellungen hinzufügen:
Mandanten-ID
Client-ID
Client-Geheimnis
Die Schlüssel befinden sich in Ihrer neu erstellten Anwendungsübersicht in Microsoft EntraApp-Registrierungen.
Das Client-Geheimnis befindet sich auf derZertifikate und Geheimnisse Seite (Schritt 2.4).
Geben Sie die Schlüssel ein und klicken Sie dann aufVerbindungseinstellungen speichern.
Schritt 5.4: Verbindung testen
Nach dem Speichern der Verbindungseinstellungen sehen Sie die Testverbindung-Schaltfläche.
Klicken Sie aufVerbindung testen
Wenn die Verbindung erfolgreich ist, sehen Sie die folgende Nachricht:Anmeldedaten gültig
Schritt 5.5: SSO aktivieren (Optional)
Wenn Sie Single Sign-On nutzen möchten und die Redirect URI (Schritt 3b) konfiguriert haben:
Aktivieren Sie den SchalterSingle Sign-On (SSO) aktivieren
Prüfen Sie die angezeigte Redirect URL – diese muss mit der in Entra konfigurierten URL übereinstimmen
Speichern Sie die Einstellungen
Auf der Login-Seite erscheint nun ein"Mit Microsoft anmelden"-Button für Ihre Benutzer.
Übersicht: Was wo konfiguriert wird
Einstellung | Wo | Typ |
|---|---|---|
App-Registrierung | Microsoft Entra Admin Center | Einmalig |
Client-Secret | App-Registrierung > Zertifikate & Geheimnisse | Einmalig (erneuern vor Ablauf) |
API-Berechtigungen (Sync) | App-Registrierung > API-Berechtigungen | Anwendungsberechtigung |
API-Berechtigungen (SSO) | App-Registrierung > API-Berechtigungen | Delegierte Berechtigung |
Redirect URI (SSO) | App-Registrierung > Authentifizierung | Nur für SSO |
Benutzerzuweisung | Enterprise Application > Benutzer & Gruppen | Optional |
Mandanten-ID, Client-ID, Secret | Kibi Connect > Einstellungen > MS Entra | Einmalig |
SAML-Konfiguration | Nicht benötigt | Ignorieren |
6. Automatische Gruppenzuweisung
Kibi Connect kann Benutzer automatisch Gruppen zuweisen, basierend auf Informationen aus Microsoft Entra (Active Directory). So werden neue Mitarbeitende direkt der richtigen Abteilungs- oder Standortgruppe zugeordnet.
Schritt 6.1: Gruppen für die Zuordnung konfigurieren
Für jede Gruppe, die automatisch befüllt werden soll, müssen Sie das entsprechende Zuordnungsfeld setzen:
Navigieren Sie zur Gruppenbearbeitung in Kibi Connect.
Im Bereich der Gruppeneinstellungen finden Sie zwei optionale Felder:
MS Entra Department: Tragen Sie hier den exakten Abteilungsnamen ein, wie er in Microsoft Entra hinterlegt ist (z.B. "Kundenservice", "Marketing").
MS Entra Office Location: Tragen Sie hier den exakten Standort ein, wie er in Microsoft Entra hinterlegt ist (z.B. "Berlin", "A13").
Hinweis: Diese Felder sind nur für System-Administratoren sichtbar und nur wenn die MS Entra Integration aktiv ist.
Schritt 6.2: Funktionsweise der automatischen Zuordnung
Bei jeder Synchronisation mit Microsoft Entra passiert Folgendes:
Kibi Connect liest die Abteilung und den Standort jedes Benutzers aus Microsoft Entra.
Wenn eine Gruppe ein passendes MS Entra Department oder Office Location Feld hat, wird der Benutzer automatisch dieser Gruppe zugewiesen.
Neue Gruppen werden automatisch erstellt, wenn mindestens 2 Benutzer mit derselben Abteilung oder demselben Standort existieren.
Bestehende Gruppenmitgliedschaften bleiben erhalten.
Wichtig: Die Werte in den Feldern "MS Entra Department" und "MS Entra Office Location" müssen exakt mit den Werten in Microsoft Entra übereinstimmen (Groß-/Kleinschreibung wird nicht berücksichtigt).
Schritt 6.3: Beispiel
Angenommen, Sie haben folgende Struktur in Microsoft Entra:
Mitarbeitende(r) | Abteilung (Department) | Standort (Office Location) |
|---|---|---|
Max Mustermann | Vertrieb | Berlin |
Erika Musterfrau | Vertrieb | Hamburg |
Hans Beispiel | Marketing | Berlin |
Und in Kibi Connect erstellen Sie:
Gruppe "Vertrieb" mit MS Entra Department = "Vertrieb"
Gruppe "Standort Berlin" mit MS Entra Office Location = "Berlin"
Nach der Synchronisation wird Max Mustermann automatisch den Gruppen "Vertrieb" und "Standort Berlin" zugewiesen, Erika Musterfrau der Gruppe "Vertrieb" und Hans Beispiel den Gruppen "Marketing" (falls vorhanden) und "Standort Berlin".