Worum geht es?
Mit Single Sign-On melden sich Benutzer an unixpass mit ihrem Microsoft-365-Konto an — ohne separates Passwort. unixpass nutzt dafür OpenID Connect gegen Microsoft Entra ID. Verwendet wird dieselbe Entra-App-Registrierung („UXP"), die auch den individuellen Mailversand bedient.
Wer konfiguriert was?
Eigene unixpass-Installation (OnPremise / Master)
Sie nehmen alle Einstellungen selbst im UXP-Admin vor (Teil 2).
Mandant in der R3levance-Cloud
Sie führen Teil 1 (Microsoft Entra) durch und übermitteln die Werte sicher an den R3levance-Support — dieser aktiviert SSO für Ihren Mandanten.
Voraussetzungen
- Microsoft-365-Tenant mit Zugriff auf das Entra Admin Center (Rolle: Globaler Administrator oder Anwendungsadministrator)
- Eine App-Registrierung für unixpass („UXP") — kann gemeinsam mit dem Mailversand genutzt werden
- Die Redirect-URIs Ihrer unixpass-Installation: Bei Cloud-Mandanten Teil der individuellen Zugangsdaten von R3levance, bei eigenem Betrieb ergeben sie sich aus der URL Ihres Systems
- Die Benutzer melden sich mit Mailadressen Ihrer Domain an (z. B.
vorname.name@ihre-domain.de)
Teil 1 — Microsoft Entra: App konfigurieren
App-Registrierung öffnen
Öffnen Sie im Entra Admin Center den Punkt Entra ID → App-Registrierungen und wählen Sie die UXP-App. Falls noch keine existiert: Neue Registrierung → Name „UXP", Kontotyp „Nur Konten in diesem Organisationsverzeichnis".
Redirect-URIs eintragen
Öffnen Sie Entra ID → App-Registrierungen → UXP → Authentifizierung (ggf. „Authentication (Preview)“). Klicken Sie im Tab Umleitungs-URI-Konfiguration auf Umleitungs-URI hinzufügen und wählen Sie den Plattformtyp Web (in der alten Oberfläche: Plattform hinzufügen → Web). Hinterlegen Sie dort die Rückgabe-URLs Ihrer unixpass-Installation — die eingetragenen URIs sind später in der App-Übersicht unter „Umleitungs-URIs“ sichtbar. Wichtig: Pro verwendeter Sprache wird eine eigene URI mit Sprachparameter benötigt — wer Deutsch und Englisch anbietet, trägt zwei URIs ein:
https://<UNIXPASS-URL>/de/extranet/openid | deutsche Oberfläche |
https://<UNIXPASS-URL>/en/extranet/openid | englische Oberfläche |
/<sprache>/extranet/openid ist fest. Die URIs müssen zeichengenau übereinstimmen — sonst schlägt der Login mit AADSTS50011 fehl.Delegierte Berechtigungen prüfen
Für den Login benötigt die App die delegierten Microsoft-Graph-Berechtigungen email, openid, profile und User.Read (API-Berechtigungen → Berechtigung hinzufügen → Microsoft Graph → Delegierte Berechtigungen). Erteilen Sie anschließend die Administratorzustimmung, damit Benutzer beim ersten Login keinen eigenen Zustimmungsdialog sehen. Die Berechtigung Mail.Send (Typ „Anwendung") in der Abbildung gehört zum Mailversand, nicht zum SSO.
Client Secret erstellen und Ablaufdatum notieren
Unter Zertifikate & Geheimnisse → Neuer geheimer Clientschlüssel erstellen Sie ein Secret (falls nicht bereits für den Mailversand vorhanden — dasselbe Secret kann für beides genutzt werden). Kopieren Sie den Wert sofort und notieren Sie zusätzlich das Ablaufdatum — es wird in Teil 2 im UXP-Admin hinterlegt, damit unixpass rechtzeitig an die Verlängerung erinnert.
Benutzer zuweisen — am besten über Gruppen
Wechseln Sie zu Entra ID → Unternehmensanwendungen → UXP → Benutzer und Gruppen → Benutzer/Gruppe hinzufügen. Einzelne Benutzer lassen sich direkt zuweisen — bei größeren Setups ist die Steuerung über Sicherheitsgruppen die bessere Wahl: Neue Mitarbeitende erhalten den unixpass-Zugang dann einfach über die Gruppenmitgliedschaft (z. B. Gruppe „UXP-Benutzer"), ohne dass die App-Zuweisung angefasst werden muss.
- Damit nur zugewiesene Benutzer sich anmelden können: Unternehmensanwendungen → UXP → Eigenschaften → „Zuweisung erforderlich?" = Ja.
- Die Zuweisung von Sicherheitsgruppen an Anwendungen setzt Microsoft Entra ID P1 voraus (in vielen M365-Business/Enterprise-Plänen enthalten).
- Verschachtelte Gruppen werden bei der App-Zuweisung nicht aufgelöst — nur direkte Mitglieder erhalten Zugriff.
Optional: App-Logo hochladen
Unter Unternehmensanwendungen → UXP → Eigenschaften (oder App-Registrierung → Branding und Eigenschaften) können Sie ein Logo hochladen, damit die App im Microsoft-Portal „Meine Apps" und in Zustimmungsdialogen erkennbar ist. Empfohlen: quadratisches PNG, 215×215 px, max. 256 KB. Hier die offiziellen unixpass-Assets zum Download:
Diese Werte liegen jetzt vor
| Anwendungs-ID (Client) | CLIENT_APP_ID — GUID aus der App-Übersicht |
|---|---|
| Client Secret | CLIENT_APP_SECRET — Wert aus Schritt 4 |
| Verzeichnis-ID (Tenant) | TENANT_ID — GUID aus der App-Übersicht |
| Secret-Ablaufdatum | aus Schritt 4 — wird im UXP-Admin als Erinnerung hinterlegt |
Teil 2 — unixpass: SSO im UXP-Admin aktivieren
Öffnen Sie im UXP-Admin die Einstellungen des Mandanten und aktivieren Sie den Abschnitt Single Sign-On:
Die Felder im Einzelnen
| Domain | Mail-Domain der Benutzer. Anmeldungen mit Adressen dieser Domain werden über SSO zu Microsoft geleitet. |
| Endpoint | OpenID-Connect-Discovery-URL des Tenants: https://login.microsoftonline.com/TENANT_ID/v2.0/.well-known/openid-configuration — TENANT_ID durch die Verzeichnis-ID ersetzen. |
| Client ID / Client Secret | Anwendungs-ID und Secret der UXP-App aus Teil 1. |
| SSO Certificate Expiration Date | Ablaufdatum des Client Secrets. unixpass versendet 14 Tage vor Ablauf eine Erinnerung — rechtzeitig neues Secret erstellen und hier wie in Entra aktualisieren. |
Testen & Fehlersuche
Melden Sie sich in einem privaten Browserfenster mit einem zugewiesenen Benutzer an unixpass an. Typische Fehlerquellen:
Fehler AADSTS50011 (redirect URI mismatch) | Redirect-URI fehlt oder stimmt nicht zeichengenau — Sprachparameter (/de, /en) vergessen? |
Fehler AADSTS700016 (application not found) | Client ID falsch oder Endpoint zeigt auf den falschen Tenant. |
Fehler AADSTS7000215 (invalid client secret) | Secret falsch kopiert oder abgelaufen — neues Secret erstellen, in UXP-Admin und Erinnerungsdatum aktualisieren. |
Fehler AADSTS50105 (user not assigned) | Benutzer ist der App nicht zugewiesen — Gruppenmitgliedschaft prüfen (verschachtelte Gruppen zählen nicht). |
| Benutzer sehen einen Zustimmungsdialog | Administratorzustimmung für die delegierten Berechtigungen fehlt (Teil 1, Schritt 3). |
| Login-Maske statt SSO-Weiterleitung | Domain im UXP-Admin passt nicht zur Mailadresse des Benutzers oder SSO ist nicht aktiviert. |