View Categories

SSO-Konfiguration bei deaktivierten External Identities (Azure AD / Microsoft Entra)

3 min read

In diesem Artikel erfahren Sie, wie Unternehmen PCPx als vertrauenswürdige Anwendung in Microsoft Entra ID (Azure AD) einbinden können – selbst wenn External Identities in der Organisation deaktiviert sind.
Dies ist notwendig, damit sich Benutzer erfolgreich über Single Sign-On (SSO) bei PCPx anmelden können.

1. Aktuelle Situation #

Einige Unternehmen haben in Microsoft Entra ID die Funktion External Identities grundsätzlich deaktiviert.
Dies bedeutet:

  • Benutzer können sich nur bei Anwendungen anmelden, die explizit vom Unternehmen genehmigt wurden.
  • Unbekannte oder neue Enterprise-Applikationen werden automatisch blockiert.
  • OAuth-/OpenID-Flows ohne ausdrückliche Admin-Freigabe führen zu Fehlermeldungen.

Typische Fehlermeldungen #

Wenn PCPx in solch einer Umgebung ohne vorherige Einrichtung genutzt wird, erscheinen u. a.:

  • „Blockiert durch Ihre Organisation“
  • „Sie können sich nicht anmelden, da die Anwendung nicht genehmigt ist“
  • AADSTS650051 / AADSTS90094 / AADSTS50020
  • „External Identities are disabled“

Warum passiert das? #

PCPx nutzt für den Login Microsofts Standard-OpenID-Connect-Verfahren.
Dabei wird der Benutzer über seine Entra-ID authentifiziert.
Wenn jedoch „External Identities“ deaktiviert sind oder die Anwendung der Organisation nicht bekannt ist, blockiert Microsoft den gesamten Login-Prozess.

Das bedeutet:

SSO kann nicht funktionieren, solange die PCPx-Applikation im Tenant nicht ausdrücklich freigegeben wurde.

2. Warum ist die Freigabe notwendig? #

Damit PCPx SSO nutzen kann, muss das Unternehmen die PCPx-Anwendung als vertrauenswürdige Enterprise App im Microsoft Tenant zulassen.

Ohne diese Freigabe kann PCPx:

  • nicht auf die Benutzeridentität zugreifen
  • keine E-Mail-Adresse für den Login auslesen
  • keine SSO-Session erzeugen
  • die Organisation nicht identifizieren

Dies ist ein Schutzmechanismus gegen unautorisierte Applikationen – daher ist eine Freigabe zwingend erforderlich.

3. Lösung: PCPx im Tenant autorisieren (Admin Consent) #

Was passiert durch die Freigabe? #

Der Administrator Ihres Unternehmens bestätigt einmalig:

  • Diese Anwendung darf Benutzer des Unternehmens authentifizieren.
  • Nur die minimal notwendigen Rechte („Scopes“) werden gewährt:
    • openid
    • profile
    • email
    • User.Read
    • User.ReadWrite
    • offline_access

Dies ist ein standardisiertes Microsoft-Verfahren – sicher, DSGVO-konform und jederzeit widerrufbar.

4. Schritt-für-Schritt-Lösung #

4.1 Öffnen Sie folgenden Admin-Consent-Link #

Nutzen Sie diesen Link ausschließlich mit einem Administrator-Konto Ihres Microsoft-Tenants.

https://login.microsoftonline.com/organizations/v2.0/adminconsent
?client_id=<Client-Id-Von-PCPx>
&redirect_uri=https%3A%2F%2Fapp.pcpx.ai%2Fadmin-consent
&scope=openid profile email User.Read User.ReadWrite offline_access

4.2 Ersetzen Sie <Client-Id-Von-PCPx> #

Die benötigte Client-ID erhalten Sie direkt von Ihrem PCPx-Ansprechpartner.
Es handelt sich um die Application ID der PCPx-SSO-App.

4.3 Ablauf der Freigabe #

  1. Öffnen Sie den Link im Browser als Global Admin oder Cloud App Admin.
  2. Microsoft zeigt eine Übersicht der angeforderten Berechtigungen.
  3. Bestätigen Sie mit „Zustimmen“ / „Accept“.
  4. Microsoft trägt PCPx automatisch als Enterprise App in Ihrem Tenant ein.
  5. Anschließend wird der Browser auf die PCPx-Seite
    https://app.pcpx.ai/admin-consent
    zurückgeleitet.

Hinweis: Diese Seite dient ausschließlich als Abschluss des Vorgangs; sie zeigt keine personenbezogenen Daten an.

5. Ergebnis #

Nach erfolgreicher Zustimmung:

  • PCPx ist als vertrauenswürdige Anwendung im Tenant eingetragen
  • SSO ist ab sofort für alle Benutzer des Unternehmens möglich
  • Es müssen keine weiteren technischen Schritte durchgeführt werden
  • External Identities können weiterhin vollständig deaktiviert bleiben

Damit ist das Unternehmen weiterhin maximal geschützt, während PCPx ordnungsgemäß genutzt werden kann.

6. Support & weitere Hinweise #

Wenn SSO trotz Freigabe nicht funktioniert, prüfen Sie:

  • Ist der Benutzer in Ihrem Tenant aktiv?
  • Hat der Benutzer eine eindeutige Mailadresse / UPN?
  • Ist im PCPx-Benutzerprofil der richtige SSO-Login hinterlegt?
  • Blockieren Conditional Access Policies die Anmeldung?

In solchen Fällen unterstützt Sie Ihr PCPx-Ansprechpartner direkt.

What are your Feelings

  • Happy
  • Normal
  • Sad