Lucanet bei Verwendung der OIDC-Methode als App in MS Entra ID registrieren

Getting Started

Globale Funktionen

Administration

Benutzerverwaltung

CFO Solution Platform verwalten

Lucanet-Lizenzen verwalten

Externe Authentifizierung konfigurieren

Lucanet bei Verwendung der OIDC-Methode als App in MS Entra ID registrieren

Lucanet SAML Single Sign-On mit Microsoft Entra ID/Azure konfigurieren

Kundenspezifische Anpassungen konfigurieren

SEA-Zertifikate erzeugen und herunterladen

Wechselkursverwaltung

Extended Planning and Analysis (xP&A)

Consolidation & Financial Planning

ESG Reporting

Disclosure Management

XBRL-Tagger

Lease Accounting

Banking & Cash Management

Data Collection

Tax Compliance & Reporting

Glossar

Wenn Sie Microsoft Entra ID als Identity Provider verwenden und die OIDC-Methode für die externe Authentifizierung der Lucanet CFO Solution Platform wählen, müssen Sie zunächst Lucanet als App in Microsoft Entra ID registrieren.

Nach erfolgreicher Registrierung und Konfiguration können Sie die Authentifizierungsparameter in Microsoft Entra ID kopieren und in die Lucanet CFO Solution Platform einfügen, um die Konfiguration der externen Authentifizierung abzuschließen.

Gehen Sie wie folgt vor, um eine App-Registrierung für Lucanet im MS Entra Admin Center anzulegen:

Öffnen Sie das Microsoft Entra admin center unter https://entra.microsoft.com.

Navigieren Sie zu Applications | App registrations.

Arbeitsbereich 'App registrations' im Microsoft Entra admin center

Klicken Sie auf New registration.

Schaltfläche zur Registrierung einer neuen App

Die Seite Register an application wird angezeigt.

Geben Sie im Feld unter Name den Anzeigenamen der App an.

Wählen Sie unter Supported account types die Option Accounts in this organizational directory only ( <Ihr Unternehmen> only - Single tenant).

Kopieren Sie im Arbeitsbereich Externe Authentifizierung in der Lucanet CFO Solution Platform die URI unter Sign-In Umleitungs-URL(s).

Umleitungs-URL aus der Lucanet CFO Solution Platform kopieren

Wählen Sie in MS Entra ID ggf. im Bereich Redirect URI (optional) aus der Dropdown-Liste Web und fügen Sie die URI in das Feld hinter Web ein.

Klicken Sie auf Register.

Navigieren Sie zu der neu erstellten App-Registrierung und führen Sie die folgenden Schritte aus, um Lucanet als App in MS Entra ID zu konfigurieren:

Aktivieren Sie die ID-Token für die App-Registrierung. Gehen Sie wie folgt vor:

Navigieren Sie zu Manage | Authentication.

Arbeitsbereich 'Authentication' in der Navigationsleiste

Aktivieren Sie im Bereich Implicit grant and hybrid flows das Kontrollkästchen ID tokens (used for implicit and hybrid flows).

Legen Sie einen geheimen Client-Schlüssel (Client secret) für Lucanet an. Gehen Sie wie folgt vor:

Navigieren Sie zu Manage | Certificates & secrets.

Arbeitsbereich 'Certificates & secrets' in der Navigationsleiste

Klicken Sie auf dem Reiter Client secrets auf die Schaltfläche :

Geben Sie im Bereich Add a client secret im Feld Description einen Namen oder eine Beschreibung für das Secret an und wählen Sie ggf. aus der Dropdown-Liste Expires eine Gültigkeitsdauer für das Secret:

Einstellungen im Bereich 'Add a client secret'

Klicken Sie auf Add. Ein Client-Schlüssel wird generiert, der auf dem Reiter Client secrets in der Spalte Value angezeigt wird:

Geheimen Client-Schlüssel aus MS Entra ID kopieren

Fügen Sie den Wert in das Feld Geheimer Client-Schlüssel in der Lucanet CFO Solution Platform ein.

Feld 'Geheimer Client-Schlüssel' in Lucanet

Konfigurieren Sie optionale Ansprüche für Lucanet als App in MS Entra ID. Gehen Sie wie folgt vor:

Navigieren Sie zu Manage | Token configuration.

Arbeitsbereich 'Token configuration' in der Navigationsleiste

Klicken Sie auf die Schaltfläche .

Wählen Sie den Token-Typ ID und aktivieren Sie in der Spalte Claim das Kontrollkästchen email.

Wählen Sie den Token-Typ Access und aktivieren Sie in der Spalte Claim das Kontrollkästchen email.

Klicken Sie auf Save. Die optionalen Ansprüche werden hinzugefügt und z. B. wie folgt angezeigt:

Richten Sie die API-Berechtigungen ein. Gehen Sie wie folgt vor:

Navigieren Sie zu Manage | API Permissions.

Arbeitsbereich 'API permissions' in der Navigationsleiste

Klicken Sie im Bereich Configured permissions auf die Schaltfläche .

Klicken Sie auf dem Reiter Microsoft APIs auf Microsoft Graph.

'Microsoft Graph' auf dem Reiter 'Microsoft APIs'

Klicken Sie auf Delegated permissions.

Aktivieren Sie im Bereich OpenId permissions die Kontrollkästchen email und openid.

Einstellungen im Bereich 'OpenId permissions'

Klicken Sie auf Add permissions.

Klicken Sie im Bereich Configured permissions auf Grant Admin consent for <Ihr Unternehmen>.

Schaltfläche für die Erteilung der Admin-Zustimmung

Klicken Sie im daraufhin angezeigten Dialog Grant admin consent confirmation auf Yes.

Die eingerichteten Berechtigungen werden z. B. wie folgt angezeigt:

Weitere Informationen zur Konfiguration der App-Registrierung in MS Entra ID finden Sie in der Dokumentation von Microsoft.

Nachdem Sie die Unternehmensanwendung und Single Sign-On in Azure/Microsoft Entra ID konfiguriert haben, müssen Sie bestimmte Authentifizierungsparameter kopieren und der Lucanet CFO Solution Platform hinzufügen, um die Einrichtung der externen Authentifizierung abzuschließen.

So konfigurieren Sie die Authentifizierungsparameter für die Lucanet CFO Solution Platform:

Die Client ID aus dem Azure Portal/Microsoft Entra ID kopieren:

Sie finden die Client ID hinter Application (client) ID im Bereich Essentials auf der Seite Overview:

Zeigt den Menübefehl 'Overview' im Azure Portal an. — 'Overview' im Azure Portal

Zeigt den Bereich 'Essentials' in MS Entra ID an. Der Wert hinter 'Application (client) ID' wird kopiert. — Client-ID aus MS Entra ID kopieren

Fügen Sie die Client ID in das Feld Client-ID in der Lucanet CFO Solution Platform ein.

Zeigt das Feld 'Client-ID' in Lucanet an — Feld 'Client-ID' in Lucanet

Fügen Sie den Wert Client secret in das Feld Geheimer Client-Schlüssel in der Lucanet CFO Solution Platform ein, falls dies nicht bereits in vorherigen Schritten konfiguriert wurde (siehe Geheimen Client-Schlüssel (Client Secret) anlegen).

Die Issuer URL aus dem Azure Portal/Entra ID Admin Center kopieren:

Wählen Sie in den App registrations Ihre Anwendung aus. Klicken Sie auf der Seite Overview auf Endpoints.

Kopieren Sie im Panel Endpoints die Tenant ID aus dem Feld Authority URL (Accounts in this organizational directory only). Verwenden Sie den Teil, der im unten stehenden Screenshot-Beispiel im roten Kasten hervorgehoben ist (die Tenant-ID nach https://login.microsoftonline.com/).

Die Aussteller-URL hat die folgende Notation:

https://sts.windows.net/ <Ihre Tenant-ID in MS Entra ID >

Beispiel:

Wenn Ihre Tenant-ID 123bfsd-as34-sd34-34fg-f35gh67h8 ist, lautet die Aussteller-URL https://sts.windows.net/123bfsd-as34-sd34-34fg-f35gh67h8.

Zeigt den Bereich 'Endpoints' auf der Seite 'Overview' in MS Entra ID an. — Bereich 'Endpoints' auf der Seite 'Overview' in MS Entra ID

Wählen Sie in den App registrations Ihre Anwendung aus. Klicken Sie auf der Seite Overview auf Endpoints.

Die Aussteller-URL hat die folgende Notation:

https://sts.windows.net/ <Ihre Tenant-ID in MS Entra ID >

Beispiel:

Wenn Ihre Tenant-ID 123bfsd-as34-sd34-34fg-f35gh67h8 ist, lautet die Aussteller-URL https://sts.windows.net/123bfsd-as34-sd34-34fg-f35gh67h8.

Fügen Sie die Issuer URL in das Feld Aussteller-URL in der Lucanet CFO Solution Platform ein.

Zeigt das Feld 'Aussteller-URL' in Lucanet an — Feld 'Aussteller-URL' in Lucanet

Achtung: Die E-Mail-Adresse eines Benutzers in der Lucanet CFO Solution Platform muss mit der E-Mail-Adresse in MS Entra ID identisch sein. Die Groß- und Kleinschreibung der E-Mail-Adressen muss genau übereinstimmen.

Weitere Informationen zur Verwendung der Parameter bei der Konfiguration der externen Authentifizierung für die Lucanet CFO Solution Platform mit der OIDC-Methode finden Sie im Abschnitt OIDC konfigurieren im Kapitel Externe Authentifizierung konfigurieren.

Wenn Ihr User Principal Name und Ihre E-Mail-Adresse in Azure/MS Entra ID unterschiedlich sind, funktioniert die OIDC-Konfiguration nicht wie auf dieser Seite beschrieben. Bitte wählen Sie stattdessen SAML als Authentifizierungsmethode.