Instructie
Configuratie - Systeem - Oauth providers

Diese Seite beschreibt, wie Sie i-Reserve als Anwendung in Microsoft Entra ID (früher Azure AD) registrieren, damit sich Benutzer mit ihrem Microsoft-Konto bei i-Reserve anmelden können. Dies ist nicht die Outlook-Kalenderkopplung — es geht ausschließlich um die Anmeldung (Single Sign-on, SSO).

Für die Einrichtung auf i-Reserve-Seite (Provider hinzufügen und aktivieren) siehe "Wie aktiviere ich einen OAuth-Provider in i-Reserve?".

Online-Dokumentation

Schritt 1: App-Registrierung erstellen

Gehen Sie zu Microsoft Entra admin centerMicrosoft Entra IDApp-RegistrierungenNeue Registrierung.

  • Name: ein erkennbarer Name, zum Beispiel i-Reserve SSO.
  • Unterstützte Kontotypen: wählen Sie Nur Konten in diesem Organisationsverzeichnis (Single Tenant), wenn sich nur Ihre eigenen Mitarbeiter anmelden. Wählen Sie eine Multi-Tenant-Option, wenn sich auch Konten aus anderen Organisationen anmelden sollen.

Schritt 2: Redirect-URI festlegen

Fügen Sie unter Authentifizierung eine Plattform vom Typ Web hinzu (i-Reserve tauscht den Code serverseitig mit dem Secret aus — ein vertraulicher Client). Registrieren Sie die benötigte(n) Redirect-URI(s):

  • Administrator-Anmeldung: https://<ihredomain>/adminlogin
  • Kunden-Anmeldung: https://<ihredomain>/login

Die URI muss exakt mit dem übereinstimmen, was i-Reserve sendet. Siehe "Was ist die Redirect-URL?". Unsicher über den genauen Wert? Klicken Sie in i-Reserve auf die Microsoft-Anmeldeschaltfläche und kopieren Sie den Parameter redirect_uri= aus der resultierenden Microsoft-URL — tragen Sie diesen Wert unverändert ein.

Schritt 3: Client-Geheimnis (Secret) erstellen

Gehen Sie zu Zertifikate & GeheimnisseNeues Client-Geheimnis. Kopieren Sie sofort den Wert (nicht die Geheimnis-ID) — er wird nur einmal angezeigt. Beachten Sie das Ablaufdatum und erneuern Sie das Geheimnis rechtzeitig.

Schritt 4: API-Berechtigungen einrichten

Gehen Sie zu API-BerechtigungenBerechtigung hinzufügenMicrosoft GraphDelegierte Berechtigungen. Bei der Anmeldung fordert i-Reserve die folgenden delegierten Berechtigungen an:

  • openid
  • User.Read
  • offline_access
  • Contacts.Read

Hinweis: Wenn die Richtlinie Ihres Tenants eine Administratorzustimmung erfordert, klicken Sie auf Administratorzustimmung für <Organisation> erteilen. Ohne diese Zustimmung erhalten normale Benutzer die Meldung "Administratorgenehmigung erforderlich" und können sich nicht anmelden.

Schritt 5: Die Werte in i-Reserve übernehmen

Gehen Sie in i-Reserve zu Konfiguration → System → Oauth providers, fügen Sie den Provider Microsoft hinzu und tragen Sie ein:

Feld in i-Reserve Wert aus Entra
Key Id Anwendungs-ID (Client) — Application (client) ID
Key Secret Der Wert des Client-Geheimnisses aus Schritt 3
Tenant Verzeichnis-ID (Mandant) — Directory (tenant) ID. Bei einer Multi-Tenant-Registrierung tragen Sie common ein.

Aktivieren Sie anschließend active (Kunden-Anmeldung) und/oder active (admin) (Administrator-Anmeldung) und speichern Sie. Die Änderung ist sofort wirksam.

Häufige Probleme

Meldung Ursache und Lösung
Administratorgenehmigung erforderlich Ihr Tenant erfordert eine Administratorzustimmung. Ein Administrator erteilt sie unter API-Berechtigungen über Administratorzustimmung erteilen (Schritt 4).
Ungültige Redirect-/Callback-URL (z. B. AADSTS500113) Die Redirect-URI fehlt oder ist nicht exakt in der App-Registrierung hinterlegt. Registrieren Sie exakt https://<ihredomain>/adminlogin und/oder https://<ihredomain>/login.
Konto existiert nicht im Verzeichnis Das Feld Tenant verweist auf einen anderen Tenant als den des Benutzers, oder die App ist Single-Tenant, während common eingetragen wurde. Prüfen Sie die Tenant-ID.
Ungültiger Client oder Secret Key Id/Key Secret falsch übernommen oder das Geheimnis ist abgelaufen. Erstellen Sie ein neues Geheimnis und aktualisieren Sie die Konfiguration.