OpenID Connect

Grundlagen OpenID Connect

Bei Open ID Connect handelt es sich um eine Anwendung des OAuth Standards mit dem Fokus auf Bestätigung einer Benutzer Identität (Authentisierung). Die Umsetzung basiert auf Microsoft 365 und Entra ID (früher Azure AD).

Dabei bezieht Vertec von Entra ID ein Token. In verschiedenen Schritten wird sichergestellt, dass sich Vertec und Entra ID gegenseitig vertrauen können und dass sich der User bei Entra ID authentisiert hat.

Das ID Token enthält eine eindeutige ID des Benutzers, welche einem bestimmten Vertec Benutzer zugeordnet ist. Damit wird dieser Benutzer an Vertec angemeldet.

Die Vorteile einer solchen Integration sind:

• Single Sign On: Ein separates Einloggen in Vertec erübrigt sich, wenn der Benutzer bereits im anderen System (Microsoft 365) angemeldet ist.
• Zentrales Credential Management: Logins werden nur noch an einer Stelle gepflegt. Wenn ein Microsoft 365 Login gesperrt wird, dann ist auch die Anmeldung an Vertec für diesen Benutzer nicht mehr möglich.
• Erweiterte Authentisierungsmöglichkeiten: Der Benutzer hat auch für Vertec die ganze Palette an Authentisierungsverfahren zur Verfügung, welche Entra ID anbietet (2FA, Dongle, Windows Authentisierung).

Voraussetzung für die Verwendung von Vertec mit OpenID Connect

Die Vertec Instanz, und damit auch alle Callback URLs, müssen übers Internet erreichbar sein, damit die Authentisierung via OpenID Connect funktioniert.

Registrieren von Vertec bei Entra ID

Damit die OpenID Connect Integration mit Entra ID funktioniert, muss die Vertec Installation in Entra ID registriert werden. Das Vorgehen dazu ist wie folgt:

1. Im Azure Portal Microsoft Entra ID (vorher: Azure Active Directory) wählen.
2. Unter App-Registrierungen eine neue Registrierung anlegen:
   • Einen Namen (z.B. Vertec) vergeben.
   • Als Unterstützte Kontotypen Nur Konten in diesem Organisationsverzeichnis auswählen.
   • Die neue App-Registrierung speichern mit Click auf Registrieren.
   • Auf der Übersichtsseite der neuen Registrierung die Anwendungs-ID (Client) notieren. Diese wird in späte-
     ren Schritten benötigt.
3. Auf der Seite Authentisierung der App-Registrierung einen neuen Umleitungs-URI Eintrag für Web erfassen. Die Authentisierungsseite ist via Navigations-Baum oder von der Übersichtsseite via Link neben Umleitungs-URIs erreichbar.
   • Auf Plattform hinzufügen + klicken und Web auswählen.
   • Die URL muss der URL entsprechen, unter der die Vertec Instanz erreichbar ist, gefolgt von openidcallback. Beispiel: https://meinefirma.vertec-cloud.com/openidcallback.
   • Auf Hinzufügen klicken.
4. Einen neuen Umleitungs-URI Eintrag für Mobile/Desktop erfassen:
   • Auf Plattform hinzufügen + klicken und Mobilgerät- und Desktopanwendungen auswählen.
   • Als Benutzerdefinierte Umleitungs-URI die Callback URL erfassen:
     ms-appx-web://Microsoft.AAD.BrokerPlugin/<App-ID>
     wobei die App-ID die Anwendungs-ID (Client) der unter Punkt 2 erstellten App-Registrierung ist.
   • Falls die Phone App verwendet werden soll, zusätzlich die Checkbox bei der vordefinierten Umleitungs-URI für MSAL setzen.
   • Auf Hinzufügen klicken.
5. Für die Outlook App einen neuen Umleitungs-URI Eintrag für Single-Page-Webanwendung erfassen:
   • Auf Plattform hinzufügen + klicken und Single-Page-Webanwendung auswählen.
   • Die URL muss der URL entsprechen, unter der die Vertec Instanz erreichbar ist, gefolgt von outlookapp. Beispiel: https://meinefirma.vertec-cloud.com/outlookapp.
   • Auf Hinzufügen klicken.
6. Anschliessend weiter unten auf der Authentifizierung Seite unter Implizite Genehmigung und Hybridflows die Checkbox für ID-Token setzen und auf Speichern klicken.

Aktivieren von OpenID Connect in Vertec

In den Systemeinstellungen Authentisierung gibt es folgende Einstellungen für OpenID Connect:

• OpenID Connect aktiv: Steuert, ob OpenID Connect aktiv ist. Wenn ja, ist eine Anmeldung bei Vertec nur noch via OpenID Connect möglich.
• OpenID Connect Authority: Die eindeutige URL für die Authentisierung via OpenID Connect. Im Falle von Entra ID ist das eine URL der Form https://login.microsoftonline.com/some.tenant/v2.0, wobei der some.tenant Teil der eigene Azure Tenant ist, also die Domäne, unter welcher die Microsoft 365 Umgebung existiert, z.B. meinefirma.onmicrosoft.com.
• OpenID Connect Client ID: Die Client ID, unter der Vertec beim Identity Provider registriert wurde.
• OpenID Connect Redirect URL: Die Web Callback URL, die mit Vertec bei Entra ID registriert wurde.

Hinweis: Bei bestehenden Installationen ist es möglich, dass sich die User auch ohne Passwort an Vertec anmelden können. Auch für die Authentisierung via OpenID Connect wird kein Vertec Passwort benötigt. Im Fall, dass OpenID Connect einmal abgeschaltet werden sollte, ist Vertec dann ohne Passwort zu erreichen. Wir raten deshalb, die Möglichkeit einer Anmeldung an Vertec ohne Passwort auszuschalten.

Zuordnung der Entra Objekt-IDs zu Vertec Bearbeitern

Sobald OpenID Connect in Vertec aktiviert ist, erscheint auf der Bearbeiter Detailseite das Feld OpenID Connect ID anstelle der herkömmlichen Passwort-Felder:

Hier muss die Objekt-ID des Benutzers aus Entra ID zugeordnet werden. Diese ist wie folgt zu finden:

1. Am Azure Portal mit einem Administrator anmelden.
2. Microsoft Entra ID (vorher: Azure Active Directory) > Benutzer wählen.
3. Den gewünschten Benutzer in der Detailansicht öffnen:

   

4. Die Objekt-ID mit dem Button kopieren und ins gezeigte Feld OpenID Connect ID in Vertec einfügen.

Das entsprechende Member auf dem Bearbeiter heisst Oidcid.

Bitte beachten Sie, dass die OpenID Connect ID in Vertec eindeutig sein muss. Dieselbe Entra ID kann also nicht für mehrere Benutzer verwendet werden.

Hinweis: Die OpenID Connect ID auf den Bearbeitern muss unbedingt vor dem Einschalten von OpenID Connect hinterlegt werden, da sonst die Anmeldung an Vertec nicht mehr möglich ist, sobald OpenID Connect eingeschaltet ist.

Anmeldung an Vertec via OpenID Connect

Nachdem die Authentisierung via OpenID Connect aktiviert ist, muss der Cloud Server neugestartet werden, da Änderungen an den Systemeinstellungen in der Cloud App und der Web App erst nach einem Neustart des Cloud Servers aktiv werden. Cloud Abo Kunden können den Neustart via Kundenportal auslösen.

Danach erscheint beim Start von Vertec statt des herkömmlichen Login-Dialogs ein Microsoft Login-Dialog, bei dem sich der Benutzer (sofern er über eine OpenID Connect ID in Vertec verfügt) via OpenID Connect authentisieren kann.

Bei der allerersten Anmeldung wird ausserdem die Berechtigung für Vertec angefordert:

Die weiteren Anmeldungen an Vertec erfolgen dann ohne Loginabfrage direkt via OpenID Connect.

Authentisierung via OpenID Connect mit der Outlook App

Wenn in den Vertec Systemeinstellungen die Authentisierung via OpenID Connect aktiviert ist, erscheint bei Verwendung der Outlook App anstelle des üblichen Login-Dialogs ein Microsoft Login-Dialog, bei dem sich der Benutzer via OpenID Connect authentisieren kann.

Nach Ablauf der Outlook App Session (Outlook App Session Timeout) erfolgt die erneute Authentisierung im Hintergrund, ohne dass ein Login-Dialog angezeigt wird. Wenn sich der User jedoch von der Outlook App abmeldet, erscheint wieder ein OpenID Connect Login-Dialog.

Authentisierung via OpenID Connect mit der Phone App

Wenn in den Vertec Systemeinstellungen die Authentisierung via OpenID Connect aktiviert ist, erscheint bei Verwendung der Phone App anstelle des üblichen Login-Dialogs ein Microsoft Login-Dialog, bei dem sich der Benutzer via OpenID Connect authentisieren kann.

Nach Ablauf der Phone App Session (Phone App Session Timeout) erfolgt die erneute Authentisierung im Hintergrund, ohne dass ein Login-Dialog angezeigt wird. Wenn sich der User jedoch von der Phone App abmeldet, erscheint wieder ein OpenID Connect Login-Dialog.