ResourcesDocs › Microsoft 365 › SSO
Docs · Microsoft 365

Single Sign-On mit Microsoft 365 (Entra ID)

Login mit dem Microsoft-Konto: OpenID Connect zwischen Entra ID und unixpass einrichten

Stand: Juli 2026 · Zielgruppe: Administratoren · unixpass + Microsoft 365 / Entra ID

Worum geht es?

Mit Single Sign-On melden sich Benutzer an unixpass mit ihrem Microsoft-365-Konto an — ohne separates Passwort. unixpass nutzt dafür OpenID Connect gegen Microsoft Entra ID. Verwendet wird dieselbe Entra-App-Registrierung („UXP"), die auch den individuellen Mailversand bedient.

Wer konfiguriert was?

Eigene unixpass-Installation (OnPremise / Master)

Sie nehmen alle Einstellungen selbst im UXP-Admin vor (Teil 2).

Mandant in der R3levance-Cloud

Sie führen Teil 1 (Microsoft Entra) durch und übermitteln die Werte sicher an den R3levance-Support — dieser aktiviert SSO für Ihren Mandanten.

Voraussetzungen

  • Microsoft-365-Tenant mit Zugriff auf das Entra Admin Center (Rolle: Globaler Administrator oder Anwendungsadministrator)
  • Eine App-Registrierung für unixpass („UXP") — kann gemeinsam mit dem Mailversand genutzt werden
  • Die Redirect-URIs Ihrer unixpass-Installation: Bei Cloud-Mandanten Teil der individuellen Zugangsdaten von R3levance, bei eigenem Betrieb ergeben sie sich aus der URL Ihres Systems
  • Die Benutzer melden sich mit Mailadressen Ihrer Domain an (z. B. vorname.name@ihre-domain.de)

Teil 1 — Microsoft Entra: App konfigurieren

1

App-Registrierung öffnen

Öffnen Sie im Entra Admin Center den Punkt Entra ID → App-Registrierungen und wählen Sie die UXP-App. Falls noch keine existiert: Neue Registrierung → Name „UXP", Kontotyp „Nur Konten in diesem Organisationsverzeichnis".

Notieren Sie aus der App-Übersicht die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant/Tenant).
Entra: App-Registrierungen
Entra ID → App-Registrierungen / App registrations
2

Redirect-URIs eintragen

Öffnen Sie Entra ID → App-Registrierungen → UXP → Authentifizierung (ggf. „Authentication (Preview)“). Klicken Sie im Tab Umleitungs-URI-Konfiguration auf Umleitungs-URI hinzufügen und wählen Sie den Plattformtyp Web (in der alten Oberfläche: Plattform hinzufügen → Web). Hinterlegen Sie dort die Rückgabe-URLs Ihrer unixpass-Installation — die eingetragenen URIs sind später in der App-Übersicht unter „Umleitungs-URIs“ sichtbar. Wichtig: Pro verwendeter Sprache wird eine eigene URI mit Sprachparameter benötigt — wer Deutsch und Englisch anbietet, trägt zwei URIs ein:

https://<UNIXPASS-URL>/de/extranet/openiddeutsche Oberfläche
https://<UNIXPASS-URL>/en/extranet/openidenglische Oberfläche
⚠️ <UNIXPASS-URL> ist ein Platzhalter — nur dieser vordere Teil ist individuell. Die exakte Basis-URL ist Teil der individuellen Mandanten-Daten, die R3levance herausgibt; bei eigenem Betrieb ergibt er sich aus der URL des Systems. Der Pfad /<sprache>/extranet/openid ist fest. Die URIs müssen zeichengenau übereinstimmen — sonst schlägt der Login mit AADSTS50011 fehl.
Entra: Umleitungs-URIs
Authentifizierung (Preview) → Umleitungs-URI-Konfiguration: je Sprache eine Web-URI — der Domain-Teil ist installationsspezifisch (hier unkenntlich gemacht).
3

Delegierte Berechtigungen prüfen

Für den Login benötigt die App die delegierten Microsoft-Graph-Berechtigungen email, openid, profile und User.Read (API-Berechtigungen → Berechtigung hinzufügen → Microsoft Graph → Delegierte Berechtigungen). Erteilen Sie anschließend die Administratorzustimmung, damit Benutzer beim ersten Login keinen eigenen Zustimmungsdialog sehen. Die Berechtigung Mail.Send (Typ „Anwendung") in der Abbildung gehört zum Mailversand, nicht zum SSO.

Entra: API-Berechtigungen
API-Berechtigungen der UXP-App: die vier delegierten Berechtigungen tragen das SSO; Mail.Send (Anwendung) gehört zum Mailversand-Howto.
4

Client Secret erstellen und Ablaufdatum notieren

Unter Zertifikate & Geheimnisse → Neuer geheimer Clientschlüssel erstellen Sie ein Secret (falls nicht bereits für den Mailversand vorhanden — dasselbe Secret kann für beides genutzt werden). Kopieren Sie den Wert sofort und notieren Sie zusätzlich das Ablaufdatum — es wird in Teil 2 im UXP-Admin hinterlegt, damit unixpass rechtzeitig an die Verlängerung erinnert.

⚠️ Das Secret ist wie ein Passwort zu behandeln: nicht unverschlüsselt versenden, nicht in Screenshots oder Aufnahmen zeigen. Nach Ablauf funktioniert der SSO-Login (und ggf. der Mailversand) nicht mehr.
5

Benutzer zuweisen — am besten über Gruppen

Wechseln Sie zu Entra ID → Unternehmensanwendungen → UXP → Benutzer und Gruppen → Benutzer/Gruppe hinzufügen. Einzelne Benutzer lassen sich direkt zuweisen — bei größeren Setups ist die Steuerung über Sicherheitsgruppen die bessere Wahl: Neue Mitarbeitende erhalten den unixpass-Zugang dann einfach über die Gruppenmitgliedschaft (z. B. Gruppe „UXP-Benutzer"), ohne dass die App-Zuweisung angefasst werden muss.

Entra: Benutzer und Gruppen
Unternehmensanwendungen → UXP → Benutzer und Gruppen: zugewiesene Benutzer bzw. Gruppen (Namen unkenntlich gemacht).
  • Damit nur zugewiesene Benutzer sich anmelden können: Unternehmensanwendungen → UXP → Eigenschaften → „Zuweisung erforderlich?" = Ja.
  • Die Zuweisung von Sicherheitsgruppen an Anwendungen setzt Microsoft Entra ID P1 voraus (in vielen M365-Business/Enterprise-Plänen enthalten).
  • Verschachtelte Gruppen werden bei der App-Zuweisung nicht aufgelöst — nur direkte Mitglieder erhalten Zugriff.
6

Optional: App-Logo hochladen

Unter Unternehmensanwendungen → UXP → Eigenschaften (oder App-Registrierung → Branding und Eigenschaften) können Sie ein Logo hochladen, damit die App im Microsoft-Portal „Meine Apps" und in Zustimmungsdialogen erkennbar ist. Empfohlen: quadratisches PNG, 215×215 px, max. 256 KB. Hier die offiziellen unixpass-Assets zum Download:

UXP App-Icon 215

App-Icon 215×215 (für Entra)

Herunterladen
UXP App-Icon 1024

App-Icon 1024×1024

Herunterladen
unixpass Logo

unixpass-Schriftzug (PNG)

Herunterladen

Diese Werte liegen jetzt vor

Anwendungs-ID (Client)CLIENT_APP_ID — GUID aus der App-Übersicht
Client SecretCLIENT_APP_SECRET — Wert aus Schritt 4
Verzeichnis-ID (Tenant)TENANT_ID — GUID aus der App-Übersicht
Secret-Ablaufdatumaus Schritt 4 — wird im UXP-Admin als Erinnerung hinterlegt

Teil 2 — unixpass: SSO im UXP-Admin aktivieren

☁️ R3levance-Cloud-Mandanten: Diesen Teil übernimmt der R3levance-Support. Übermitteln Sie die Werte aus Teil 1 (inkl. Mail-Domain der Benutzer und Secret-Ablaufdatum) auf sicherem Weg — kein Klartext per Mail.

Öffnen Sie im UXP-Admin die Einstellungen des Mandanten und aktivieren Sie den Abschnitt Single Sign-On:

Single Sign-On
ihre-domain.de
The e-mail domain of the members e.g.: example.com
https://login.microsoftonline.com/TENANT_ID/v2.0/.well-known/openid-configuration
e.g.: http://example.com/realms/master/.well-known/openid-configuration
CLIENT_APP_ID
CLIENT_APP_SECRET
📅 TT.MM.JJJJ
Date when the SSO certificate expires (e.g., 2027-11-13). A notification will be sent 14 days before expiration.
UXP-Admin: Single Sign-On — Werte durch die eigenen ersetzen.

Die Felder im Einzelnen

DomainMail-Domain der Benutzer. Anmeldungen mit Adressen dieser Domain werden über SSO zu Microsoft geleitet.
EndpointOpenID-Connect-Discovery-URL des Tenants: https://login.microsoftonline.com/TENANT_ID/v2.0/.well-known/openid-configurationTENANT_ID durch die Verzeichnis-ID ersetzen.
Client ID / Client SecretAnwendungs-ID und Secret der UXP-App aus Teil 1.
SSO Certificate Expiration DateAblaufdatum des Client Secrets. unixpass versendet 14 Tage vor Ablauf eine Erinnerung — rechtzeitig neues Secret erstellen und hier wie in Entra aktualisieren.

Testen & Fehlersuche

Melden Sie sich in einem privaten Browserfenster mit einem zugewiesenen Benutzer an unixpass an. Typische Fehlerquellen:

Fehler AADSTS50011 (redirect URI mismatch)Redirect-URI fehlt oder stimmt nicht zeichengenau — Sprachparameter (/de, /en) vergessen?
Fehler AADSTS700016 (application not found)Client ID falsch oder Endpoint zeigt auf den falschen Tenant.
Fehler AADSTS7000215 (invalid client secret)Secret falsch kopiert oder abgelaufen — neues Secret erstellen, in UXP-Admin und Erinnerungsdatum aktualisieren.
Fehler AADSTS50105 (user not assigned)Benutzer ist der App nicht zugewiesen — Gruppenmitgliedschaft prüfen (verschachtelte Gruppen zählen nicht).
Benutzer sehen einen ZustimmungsdialogAdministratorzustimmung für die delegierten Berechtigungen fehlt (Teil 1, Schritt 3).
Login-Maske statt SSO-WeiterleitungDomain im UXP-Admin passt nicht zur Mailadresse des Benutzers oder SSO ist nicht aktiviert.