Aktivierung des Microsoft Entra Logins in c-entron

Voraussetzungen

Um die Microsoft Entra Login-Funktion in c-entron zu aktivieren, sind folgende Voraussetzungen erforderlich:

Version

• Verfügbar ab Release v2.0.2506.x

Lizenzen

• Für den Microsoft Entra Login wird unsere "OpenID Connect - Authentication"-Lizenz benötigt. 
  HINWEIS: Welche Lizenzen Sie im Einsatz haben können Sie in der c-entron unter dem orangen (i) Info links oben unter dem Reiter/Tab „Lizenzen“ oder Globale Einstellungen – Administration – System – c-entron Lizenzen oder im c-entron Connection Manager durch Klick auf [Lizenzen anzeigen] einsehen.

Einstellungen in Azure Entra ID

• Zugriff auf die Azure Entra ID Verwaltungskonsole mit den entsprechenden Administrationsrechten.

Rechte im c-entron

• Administratorrechte im c-entron, um Änderungen an den Einstellungen/Authentifizierungskonfiguration vornehmen zu können.

Einrichtung der Azure App-Registrierung

Die App-Registrierung in Azure Entra ID ist notwendig, um die Microsoft-Authentifizierung im ServiceBoard zu ermöglichen.

1 Navigieren zu App-Registrierungen:

• • Öffnen Sie die Azure Entra ID Verwaltungskonsole.

  • Wechseln Sie in den Bereich App-Registrierungen.
    
    

    

2 Neue App-Registrierung erstellen:

• • Wählen Sie Neue Registrierung aus.

  • Vergeben Sie einen passenden Namen für die App-Registrierung.

3 Redirect URI hinzufügen:

• • Fügen Sie bei der Erstellung der App-Registrierung eine Redirect URI hinzu.
    
    

    

  • Wählen Sie als Plattform Mobil und Desktop aus.
    
    

    

    

  • Geben Sie als benutzerdefinierte Redirect-URL eine URI mit folgendem Muster an: ms-appx-web://microsoft.aad.brokerplugin/{{Anwendungs-ID}}

  • 

4 Client-ID und Mandanten-ID speichern:

• • Nach der Erstellung der App-Registrierung finden Sie auf der Übersichtsseite die Client-ID und die Mandanten-ID (Tenant-ID).

  • Notieren Sie diese Werte für die spätere Konfiguration im c-entron.

Konfiguration in c-entron

(verfügbar ab Release Version 2.0.2505.x)

Die Konfiguration der Microsoft-Authentifizierung erfolgt in c-entron über die Globalen Einstellungen.

In c-entron gibt es jetzt neue Einstellungen im Zusammenhang mit der Benutzer-Authentifizierung – ähnlich wie du sie bereits aus dem Nexus kennst.

Administrator-Einstellungen: System-Authentifizierung

Für Administrator:innen gibt es eine separate Seite mit den Authentifizierungseinstellungen.
Auch hier handelt es sich um dieselben Konfigurationsoptionen wie im Nexus – inklusive Systemauthentifizierung. Der Text in diesem Bereich wird demnächst noch etwas überarbeitet, aber die Funktionsweise bleibt gleich.

Persönliche Einstellungen: Benutzer-Synchronisation

In deinen persönlichen Einstellungen findest du einen neuen Eintrag.
Dort kannst du dich mit deinen bisherigen Zugangsdaten anmelden und anschließend per Button deine Benutzerdaten synchronisieren. Dieser Button funktioniert genauso wie im Nexus – es wird nur dein eigener Benutzer synchronisiert.

Wichtiger Hinweis zur Benutzersynchronisation

Die Massen-Synchronisation mehrerer Benutzer (Bulk User Sync) steht aktuell in c-entron noch nicht zur Verfügung. Diese Funktion ist derzeit nicht implementiert.

Weitere wichtige Hinweise

• Lizenzerfordernis für Entra:
  Die Konfigurationen und Buttons rund um entra sind nur sichtbar, wenn eine gültige entra-Lizenz vorhanden ist. Ohne Lizenz erscheinen diese Funktionen nicht in der Oberfläche.
  Für den Microsoft Entra Login wird unsere "OpenID Connect - Authentication"-Lizenz benötigt. 
  HINWEIS: Welche Lizenzen Sie im Einsatz haben können Sie in der c-entron unter dem orangen (i) Info links oben unter dem Reiter/Tab „Lizenzen“ oder Globale Einstellungen – Administration – System – c-entron Lizenzen oder im c-entron Connection Manager durch Klick auf [Lizenzen anzeigen] einsehen.

• Service Board classic & online:
  Diese beiden Varianten werden nicht von entra unterstützt. Aufgrund technischer Einschränkungen wurde entschieden, entra hier nicht zu integrieren.

• Erweiterte Fehleranalyse bei Authentifizierungsproblemen:
  Wenn es bei der Anmeldung zu Fehlern kommt, findest du ab sofort in den Webservice-Logs genauere Hinweise zur Ursache. Diese Informationen werden in Zukunft noch weiter ausgebaut, um die Fehlersuche zu erleichtern.

Benutzerverwaltung und zukünftige Erweiterungen

Aktuell ist die Verknüpfung der Microsoft-Authentifizierung für jeden Benutzer individuell durchzuführen. Jeder Benutzer muss sein Konto manuell synchronisieren, um die Microsoft-Anmeldung nutzen zu können.

Geplante Funktionen für zukünftige Versionen:

• Massensynchronisierung von Benutzern: Administratoren können mehrere Benutzer gleichzeitig mit Microsoft Entra ID synchronisieren.

• Entra ID als obligatorische Anmeldemethode: Es wird die Möglichkeit eingeführt, Entra ID als die einzige zulässige Anmeldemethode festzulegen.

Diese Erweiterungen sollen die Benutzerverwaltung weiter vereinfachen und die Sicherheit durch zentrale Authentifizierung verbessern.

Hinweis zur Netzwerkinfrastruktur

Der erfolgreiche Entra Login ist auch von der individuellen Netzwerkinfrastruktur abhängig. Beispielsweise könnte eine WAF und ein Reverse Proxy die Entra-Login-URL beeinflussen, weil sie Requests umschreiben, umleiten oder blockieren.

Typische Ursachen:

• URL-Rewrites oder Hostname-Änderungen → Redirect-URI passt nicht mehr.

• Entfernte oder geänderte Header (X-Forwarded-*) → falsche Protokoll-/IP-Infos.

• Blockierte Query-Parameter (state, code) → Login bricht ab.

• Redirects gefiltert oder verändert → Endnutzer landet nicht auf der originalen Microsoft-URL.

Kurz gesagt: Wenn Proxy/WAF nicht korrekt für Microsoft-Login-Endpunkte konfiguriert sind, wird der Anmeldefluss gestört.

Da die Netzwerkinfrastruktur sehr individuell ist und die Prüfung komplex, ist unsere Empfehlung, die Logs der beteiligten Systeme zu analysieren und bei Bedarf einen technischen Consultant hinzuzuziehen.

Folgende Punkte kommen hierfür zur Prüfung in Frage:

1. URL- und Redirect-Prüfung

2. • Kommt der Benutzer wirklich auf https://login.microsoftonline.com/... oder wird die URL intern umgeschrieben?

   • Stimmen redirect_uri und die in Entra registrierte URL exakt überein?

   • Funktionieren alle 302/307-Redirects ohne Änderung?

3. Header & Protokoll

4. • Werden X-Forwarded-For (Client-IP) und X-Forwarded-Proto (https) korrekt gesetzt?

   • Wird der Hostname (X-Forwarded-Host) nicht verändert?

   • Werden sicherheitsrelevante Header (Authorization, Origin, Referer) nicht entfernt?

5. Query-Parameter & Tokens

6. • Werden Parameter wie state, nonce und code nicht blockiert oder gekürzt?

   • Unterstützt Proxy/WAF große Header- und URL-Längen (JWT-Token können >8 KB sein)?

7. WAF-Regeln

8. • Sind Microsoft-Login-Domains (login.microsoftonline.com, aadcdn.microsoftonline-p.com) in einer Allowlist?

   • Greifen keine Signaturregeln, die SAML/OIDC-Parameter als „verdächtig“ einstufen?

9. Session & Cookies

10. • Bleibt die Session während des gesamten Auth-Flows auf demselben Backend-Server? (Sticky Session / Session Persistence)

    • Werden Cookies wie MSISAuth oder ESTSAUTHPERSISTENT nicht verändert oder entfernt?