Skip to main content
Skip table of contents

Wie erstelle ich die SAML-Integration von Microsoft Entra ID (ehem. Azure AD) mit MOXIS für Single Sign-On?

Inhalt

Dieser Artikel beschreibt die Einrichtung von Microsoft Entra ID (ehemals Azure Active Directory) als Identity Provider (IdP) für MOXIS mittels SAML 2.0.

Die Anleitung richtet sich an Administrator:innen mit Zugriff auf:

  • Microsoft Entra Admin Center

  • MOXIS Administration

  • Gilt für Business Cloud

1. Übersicht

MOXIS kann als Service Provider (SP) an Entra ID angebunden werden.
Die Authentifizierung der Benutzer:innen erfolgt dann über Entra ID (Single Sign-On).

Der Authentifizierungsfluss sieht je nach Konfiguration ein wenig anders aus. Wir haben Ihnen hier jedoch ein Beispiel zusammengestellt:

  1. Benutzer:in ruft MOXIS auf

  2. Weiterleitung zu Entra ID

  3. Anmeldung bei Microsoft

  4. SAML Assertion wird an MOXIS übermittelt

  5. Zugriff auf MOXIS wird gewährt

2. Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher:

  • Sie haben Global Admin oder App Admin Rechte in Entra ID

  • HTTPS ist aktiv

Technische Eckdaten

Parameter

Wert

Protokoll

SAML 2.0

Signatur

abhängig von Entra, default: SHA-256

Binding

HTTP-POST

Transport

HTTPS

3. So erstellen Sie eine Anwendung in Entra ID

Schritt 1: So melden Sie sich an

Öffnen Sie zunächst das Microsoft Entra Admin Center unter https://entra.microsoft.com. Hier navigieren Sie dann bitte zum Punkt Unternehmens-Apps (siehe Abbildung 1 [1]). Klicken Sie dort auf Neue Anwendung (siehe Abbildung 1 [2]). Im so geöffneten Dialog klicken Sie bitte auf +Eigene Anwendung erstellen.

image-20260217-100436.png

Abbildung 1: Neue Anwendung in Entra ID erstellen

Schritt 2: Konfigurieren Sie die Anwendung

Um die Anwendung zu konfigurieren, vergeben Sie bitte einen Namen, wie zum Beispiel „MOXIS SSO“ und klicken Sie dann auf Erstellen.

4. SAML konfigurieren

Die folgende Schritt-für-Schritt Anleitung zeigt Ihnen, wie Sie SAML für MOXIS erstellen.

MOXIS Tipp
Bitte beachten Sie: Bitte stellen Sie sicher, dass Sie mit einem gültigen SAML-Zertifikat arbeiten.

Schritt 1: Single Sign-On auswählen

Um SAML zu konfigurieren, öffnen Sie bitte zunächst die eben erstellte Anwendung. Danach wählen Sie Single Sign-On und SAML.

Schritt 2: App Federation Metadata URL kopieren

Im Abschnitt SAML Zertifikate kopieren Sie bitte die App Federation Metadata URL.

Schritt 3: SSO in der MOXIS Administration konfigurieren

Danach navigieren Sie in MOXIS auf die SSO konfigurieren Seite. Hier kopieren Sie bitte die Metadata URL hinein und klicken auf den [Verbindung erstellen]-Button.

Schritt 4: Laden Sie die SAML 2.0 Metadaten herunter

Danach erstellen Sie die SAML 2.0 Metadata mit einem Klick auf den [Download]-Button.

Schritt 5: Laden Sie die Metadaten in Entra wieder hoch

Zurück in Entra laden Sie die Metadaten mit einem Klick auf den [Upload Metadata File]-Button hoch. Klicken Sie dann in dem geöffneten Dialog auf den [Speicher]-Button, um die Änderungen zu speichern.

Unter Attributes & Claims ändern Sie bitte den Claim Namen, indem Sie die User Identity Claim ID anpassen. Konfigurieren Sie bitte alle Claims wie in Abbildung 2 zu sehen.

image-20260217-124235.png

Abbildung 2: Attribute in Entra konfigurieren

5. Benutzer:innen und Gruppen zuweisen

Damit Benutzer:innen sich anmelden können öffnen Sie die Anwendung und navigieren Sie zu Benutzer und Gruppen. Klicken Sie auf Benutzer/Gruppen hinzufügen. Sodann wählen Sie die entsprechenden Benutzer:innen oder Gruppen aus.

MOXIS Tipp
Bitte beachten Sie: User:innen müssen bereits in MOXIS existieren und zwar mit den gleichen Kontaktinformationen mit der sie in EntraID angemeldet werden, damit sie verbunden werden können. Der Username wird nicht aktualisiert. Ist der oder die User:in gelinkt, werden Attribute wie E-Mail, Vorname oder Nachname automatisch aus Entra beim Login übernommen. Außerdem können sich nur zugewiesene Benutzer:innen können sich anmelden.

6. Attribut-Mapping

Standardmäßig sendet Entra ID folgende Claims:

  • user.mail

  • user.userprincipalname

  • givenname

  • surname

  • name

MOXIS benötigt mindestens eine eindeutige Benutzer-ID. Diese ist in MOXIS die E-Mail Adresse.

MOXIS Tipp
Bitte beachten Sie: Rollenzuweisungen können weiterhin einzig unter den einzelnen User:innen in MOXIS durch Administrator:innen vorgenommen werden. Denn Individualrechte werden weiterhin via MOXIS gesteuert. Die hier hinterlegte Information gilt nur für den Bereich SSO!

7. Testen Sie die Konfiguration

Dazu öffnen Sie bitte MOXIS im Browser und wählen “Login mit SSO“. Sie werden nun zu Microsoft weitergeleitet. Nach erfolgreicher Anmeldung erfolgt Rückleitung zu MOXIS.

Sollte das Login fehlschlagen, wenden Sie sich an den XiTrust Support unter servicedesk@xitrust.com.

8. Häufig gestellte Fragen

8.1 Wann erfolgt die Provisionierung?

Die Provisionierung (Nutzerverknüpfung) erfolgt just in time beim ersten Login.

8.2 Muss in MOXIS und Entra ID zwingend die gleiche Art des Mailattributs verwendet werden?

Ja, dies ist zwingend erforderlich.

8.3 Gibt es Claims und Gruppenclaims?

Nein, es sind lediglich klassische Claims, jedoch keine Gruppenclaims enthalten.

9. Häufige Fehlerquellen und Lösungsansätze

9.1 Error: User not assigned

Die Benutzer:in ist der Anwendung nicht zugewiesen. Stellen Sie bitte sicher, dass die User:in zugewiesen wird wie oben beschrieben.

9.2 Error: E-Mail Adresse korreliert nicht

Die E-Mailadresse in Entra ID stimmt nicht mit der E-Mail Adresse des Benutzers überein.

9.3 Error: Attributed Claims sind falsch zugewiesen

Die Attributed Claims wurden nicht passend konfiguriert. Bitte stellen Sie sicher, dass sie wie hier beschrieben konfiguriert werden.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close