OpenID Connect-Import

Diese Konfiguration ermöglicht es dem Password Depot Enterprise Server, sich mit einem OpenID Connect (OIDC)-Identitätsanbieter zu integrieren, um eine nahtlose Benutzerauthentifizierung zu gewährleisten.

Durch das Einrichten eines OIDC-Identitätsanbieters können Sie Benutzer von einem externen Identitätsanbieter (z. B. Auth0, Entra ID, PingIdentity oder einem OIDC-Dienst) importieren und ihnen erlauben, sich direkt über den Password Depot Client anzumelden.

Im Menü Extras finden Sie die Option OIDC-Import, über die Sie den gleichnamigen Assistenten starten können. Der OIDC-Import ist erforderlich, wenn sich Ihre Benutzer per Single Sign-On (SSO) am Enterprise Server anmelden sollen.

Wählen Sie einen bereits angelegten Anbieter aus oder klicken Sie auf Neu..., um einen neuen Identitätsanbieter hinzuzufügen.

Übersicht: Registerkarte Allgemein

  • Name: Dies ist der Name bzw. die Bezeichnung, die Sie dieser Identitätsanbieter-Konfiguration zuweisen. Er wird intern verwendet, um die Verbindung zu identifizieren.
  • Anbieter: Ein Drop-Down-Menü, in dem Sie den Typ des Identitätsanbieters auswählen können. Verfügbare Optionen:
    • OIDC: Allgemeine OpenID Connect-Konfiguration.
    • PingIdentity: Ein spezialisierter IDaaS-Anbieter (Identity as a Service).
    • Auth0: Eine weit verbreitete Plattform für Identitätsdienste.
    • Entra ID: Microsoft Entra ID (ehemals Azure AD – Microsofts Identitätslösung.
  • Discovery-Endpunkt: Dies ist eine standardisierte URL, über die der Client die Metadaten (z. B. Autorisierungs-, Token- und Benutzerinfo-Endpunkte) abruft, die für den OIDC-Prozess erforderlich sind.

    Format (Beispiel):

    https://{Provider}/{TenantId}/.well-known/openid-configuration

    Ersetzen Sie {Provider} und {TenantId} durch die spezifischen Werte Ihrer Identitätsplattform (z. B. Auth0, Entra ID usw.).

  • Anwendungs-(Client)-ID: Dies ist die Client-ID, die Sie beim Registrieren Ihrer Anwendung beim Identitätsanbieter erhalten. Sie dient zur Identifikation der Anwendung während des OIDC-Prozesses.
  • Weiterleitungs-URL: Die URL, an die der Benutzer nach erfolgreicher Authentifizierung vom Identitätsanbieter zurückgeleitet wird. Diese muss exakt mit der Konfiguration auf der Seite des Identitätsanbieters übereinstimmen.
  • OpenID Connect Core 1.0 mit Errata Set 2
  • Client-Anmeldung testen: Mit dieser Schaltfläche wird ein Testlauf des Authentifizierungsprozesses gestartet, um die eingegebenen Zugangsdaten zu überprüfen.

Übersicht: Registerkarte Erweitert

  • Antworttyp: Definiert, wie die Authentifizierungsantwort vom Identitätsanbieter übermittelt wird (code, id_token oder token).
  • Scopes: Bestimmt, welche Informationen oder Zugriffsebenen während der Authentifizierung angefragt werden. Hier können Sie weitere Scopes hinzufügen, falls Ihre Anwendung zusätzliche Daten benötigt (z. B. E-Mail-Adresse).
  • Attributzuordnung: Hier wird die Benutzerinformation aus dem Token (Claims) den internen Serverattributen zugeordnet.

Übersicht: Registerkarte Management-API

  • API-Basis-URL: Die Basis-URL des Endpunkts für die Management-API des Identitätsanbieters.
  • Client-Geheimnis: Das mit Ihrer OIDC-Anwendung verknüpfte Client-Geheimnis. Es wird zusammen mit der Client-ID (siehe Registerkarte Allgemein) verwendet, um API-Anfragen zu authentifizieren und Zugriffstoken zu erhalten.