Wechseln zu:Navigation, Suche
Wiki

Entra ID App für SSL-VPN mit 2FA

Version vom 16. April 2026, 15:31 Uhr von Lauritzl (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki





























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden



































Entra ID App mit OpenID Connect Berechtigung für SSL-VPN mit 2FA für die UTM konfigurieren

Letzte Anpassung zur Version: 14.1.2(02.2026)

Neu:
  • 2FA mit Entra ID über OpenID Connect (OIDC)
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
-

Vorbemerkung





  • Hinweis

    Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
    Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
    Alle Angaben ohne Gewähr.

    • Um die AD-Authentifizierung mit Entra ID nutzen zu können, sind folgende Angaben erforderlich:
    • Anwendungs ID
    • Mandanten-ID
    • Geheimer Clientschlüssel oder Zertifikat
    • Umleitungs-URI
    In dieser Anleitung wird exemplarisch gezeigt, welche Vorbereitungen und Einstellung in Microsoft Entra ID erforderlich sind.
    Anmeldung im Microsoft Entra Admin Center
  • Es ist zwingend erforderlich, die Entra ID App-Registrierung und den UTM-Einrichtungs-Assistenten gleichzeitig geöffnet zu haben, da wechselseitige Angeben erforderlich sind!


    • Neue App-Registrierung erstellen
    • Umleitungs-URI (Typ Web) aus der UTM eintragen
    • Entweder: Zertifikat hochladen
    • Oder: Geheimen Clientschlüssel anlegen
    • Ggf. Clientschlüssel kopieren
    • Microsoft Graph API-Berechtigung hinzufügen
    • Delegierte Berechtigungen offline_access, openid und profile vergeben
    • Anwendungsberechtigungen User.Read.All und Group.Read.All hinzufügen (zum Auslesen der Benutzer und Gruppen)
    • Damit ist die Konfiguration im Microsoft Azure abgeschlossen.
    notempty
    Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert













    Schritt-für-Schritt-Anleitung anzeigen
    ausblenden





    1. 2. 3.
    Abb.1 Abb.2 Abb.3
    Abbildungen
    Abb.1
    • Menü App-Registrierungen 1
    • Schaltfläche + Neue Registrierung 2
    Abb.2
  • Namen für die Anwendung angeben (frei wählbar) 3
  • Umleitungs-URI: Web 4
  • …oauth2_redirect 5 Umleitungspfad aus dem UTM-Assistenten Schritt 4
    Workaround:'für den UTM AD/LDAP Authentifizierungs-Assistenten:
    • In Schritt 3 benötigte Wert eingeben
    • Dummy-Wert für Anwendungs-ID eintragen
    • zu Schritt 4 gehen
    • Dort Umleitungs-URI kopieren und im Entra Admin Center eintragen
    • Anschließend zu Schritt 3 zurückkehren
    • nach Ausführen aller Schritte im Entra Admin Center
      die korrekte Anwendungs-ID eintragen
  • Schaltfläche Registrieren 6 klicken
    • Abb.3
    Entweder:
  • Menü Zertifikate & Geheimnisse 7
  • Reiter Zertifikate 8
  • Zertifikat auswählen 9
    Es kann ein selbst erstelltes Zertifikat aus der UTM sein: Menü Authentifizierung Zertifikate / öffentlichen Schlüssel herunterladen PEM. Dieses Zertifikat muss dann im UTM-Assistenten ebenfalls hinterlegt werden.

    Mit diesem Zertifikat authentifiziert sich der Authentifizierungsprozess der UTM beim Entra ID.
  • Beschreibung angeben 10
    • Zertifikat mit der so beschrifteten Schaltfläche Hinzufügen 11
    • Abb.4
    Oder:
  • Menü Zertifikate & Geheimnisse 7
  • Reiter Geheime Clientschlüssel 12
  • Schaltfläche Neuer geheimer Clientschlüssel 13 wählen
  • Beschreibung angeben 14 (frei wählbar)
  • Gültigkeitsdauer angeben 15
  • Schlüssel Hinzufügen 16
    • Abb.5
  • Ggf. Clientschlüssel kopieren 17
    Wird als Geheimer Wert im Assistenten in Schritt 2 benötigt
    • Abb.6
  • Untermenü API-Berechtigungen 18
  • Schaltfläche Berechtigung hinzufügen 19
  • Microsoft Graph API wählen 20
    • Abb.7
  • Delegierte Berechtigungen wählen 21
  • OpenID-Berechtigungen auswählen 22
    Diese Berechtigungen werden für die App (Anwendungs-ID) im AD/LDAP Authentifizierungs Assistenten der UTM in Schritt 3 benötigt
    • offline_access
    • openid
    • profile
  • Schaltfläche Berechtigungen hinzufügen 23 wählen
    • Nur falls keine separate App verwendet wird
    Für die Einstellungen in Schritt 2 des Assistenten werden zusätzliche Anwendungsberechtigungen benötigt:
  • Untermenü API-Berechtigungen wählen (Wie in Abb.6. Nr.18)
  • Schaltfläche Berechtigung hinzufügen (Wie in Abb.6. Nr.19)
  • Microsoft Graph API wählen (Wie in Abb.6. Nr.20)
  • Anwendungsberechtigungen wählen 24
    • User.Read.All 25
    • Group.Read.All 26
    • Abb.9
    Übersicht über die vergebenen Berechtigungen
  • Die Berechtigungen Group.Read.All und User.Read.All benötigen eine zusätzliche Administratorzustimmung. 27
    Hierfür wird mindestens die Berechtigung Cloudanwendungsadministrator im Entra benötigt
    • Abb.10
  • Untermenü Übersicht wählen 28
  • Anwendungs-ID (Client) kopieren 29
    (Wird im UTM-Assistenten in Schritt 2 und Schritt 3 jeweils als Anwendungs-ID (Client-ID) benötigt
  • Verzeichnis-ID (Mandant) kopieren 30
    (Wird im UTM-Assistenten in Schritt 2 als Verzeichnis-ID (Mandanten-ID) benötigt
    • Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/Entra-OpenID-Connect&oldid=102790