Zurück zu allen technischen Daten
Wie man

OpenID Connect konfigurieren

Richten Sie Azure, ADFS, Okta, Oracle, Google und weitere Dienste für die GO-Global-OIDC-Authentifizierung mit dieser Schritt-für-Schritt-Anleitung zur Konfiguration von Identitätsanbietern ein.

Veröffentlicht am:
5. Mai 2026
Zuletzt aktualisiert am:
5. Mai 2026
Autor
GO-Global Mannschaft
Inhaltsübersicht

OpenID Connect konfigurieren

Einführung

Die Einrichtung einer sicheren und zuverlässigen Authentifizierung ist für jede GO-Global-Bereitstellung unerlässlich. Dieser technische Leitfaden führt Administratoren durch den gesamten Prozess der Einrichtung von OpenID Connect (OIDC) bei den wichtigsten Identitätsanbietern – darunter Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak und Google Workspace. Mit klaren, schrittweisen Anweisungen stellt er sicher, dass Ihr GO-Global-Host korrekt in moderne Identitätsplattformen integriert ist, um einen nahtlosen Benutzerzugriff und verbesserte Sicherheit zu gewährleisten.

Azur

Die folgenden Schritte sind erforderlich, um eine Azure-Anwendungsregistrierung für die Verwendung mit Microsoft EntraID (ehemals Azure AD) zu erstellen, mit der Benutzer authentifiziert werden, die eine Verbindung zu GO-Global-Hosts herstellen. Dabei kommt OAuth2 für Microsoft Identity Version 2.0 zum Einsatz.

Schritt 1: Eine neue Anwendung registrieren

  1. Gehen Sie zu: https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
  2. Registrieren Sie die neue Anwendung:
  • Wählen Sie unter „Unterstützte Kontotypen“ die Option „Nur Konten in diesem Organisationsverzeichnis“ (Nur Standardverzeichnis – Single Tenant) aus.
  • Wählen Sie unter „Weiterleitungs-URL“ als Typ „Web“ aus. Geben Sie unter „Wert“ eine Weiterleitungs-URL für Ihre Domain ein. Zum Beispiel: https://example.com/callback.html

Schritt 2: Branding und Eigenschaften konfigurieren

Überprüfen Sie unter „Branding und Eigenschaften“, ob die Publisher-Domain auf die richtige Domain eingestellt ist. Zum Beispiel: example.com

Schritt 3: Erstellen eines Client-Geheimnisses

  1. Gehen Sie zu „Zertifikate und Geheimnisse“.
  2. Klicken Sie auf „Neues Client-Geheimnis“ und nehmen Sie die Einstellungen vor.
  3. Kopieren Sie den geheimen Wert und bewahren Sie ihn sicher auf.

Schritt 4: Token-Einstellungen konfigurieren

  1. Gehen Sie zu „Token-Konfiguration“.
  2. Klicken Sie auf „Optionalen Anspruch hinzufügen“.
  3. Konfigurieren:
    • Token-Typ: ID
    • Behauptung: Wählen Sie upn
  4. Klicken Sie auf „Hinzufügen“.
  5. Aktivieren Sie die Option „Microsoft Graph-Profilberechtigung aktivieren“.
  6. Klicken Sie auf „Hinzufügen“, um zu speichern.

Hinweis:

Bei der Einrichtung einer App-Registrierung mit Azure Active Directory B2C gibt es in der Benutzeroberfläche des Azure-Portals keinen Bereich „Token-Konfiguration “. Fügen Sie stattdessen optionale Ansprüche über das Manifest-JSON hinzu.

Beispiel:

 "optionalClaims": {
   "accessToken": [],
   "idToken": [
        {
           "additionalProperties": [],
           "essential": false,
           "name": "upn",
           "source": null
                 	} 
    ],
    "saml2Token": []
},

Schritt 5: API-Berechtigungen anpassen

GO-Global verwendet Profilberechtigungen anstelle von „User.Read“. Entfernen Sie nicht benötigte Berechtigungen:

  1. Gehen Sie zu „API-Berechtigungen“.
  2. Suchen Sie „User.Read “ und klicken Sie auf „Berechtigung entfernen“.
  3. Bestätigen Sie durch Klicken auf „Ja, entfernen“.


Überprüfen Sie, ob die delegierte Berechtigung für das Microsoft Graph-Profil aufgeführt ist. (Sie sollte automatisch hinzugefügt worden sein.)

Schritt 6: Authentifizierung konfigurieren

  1. Gehen Sie in der Admin-Konsole zu „Host-Optionen“ | „Authentifizierung“.
  2. Nimm folgende Einstellungen vor:
  • Deaktivieren Sie alle anderen Authentifizierungsoptionen.
  • Wählen Sie die OpenID Connect-Authentifizierung aus.
  • Bitte wählen Sie eine Option aus:
    • Benutzer automatisch bei einem lokalen Windows-Konto anmelden oder
    • Benutzer automatisch bei ihren Domänenkonten anmelden.
  • Client-ID: Kopieren Sie die Anwendungs-ID (Client-ID) von der Übersichtsseite der Azure-App-Registrierung.
  • Client-Schlüssel: Fügen Sie den zuvor kopierten Schlüsselwert ein.
  • Autorisierungs-URL: Rufen Sie die Directory-ID (TENANTID) auf der Übersichtsseite der Azure-App-Registrierung ab. Ersetzen Sie TENANTID in: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/authorize/?response_type=code&scope=openid%20email%20profile
  • Token-URL: Rufen Sie die ID des Verzeichnisses (TENANTID) auf der Übersichtsseite der Azure-App-Registrierung ab . Ersetzen Sie TENANTID in: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/token
  • Weiterleitungs-URL: Verwenden Sie dieselbe URL, die Sie bei der App-Registrierung angegeben haben (z. B. https://example.com/callback.html)


      3. Klicken Sie auf „OK“, um zu speichern.

Hinweis:

Stellen Sie in der Azure-App-Registrierung im Menü „Authentifizierung “ sicher, dass die Einstellungen für implizite Berechtigungen und Hybrid-Abläufe nicht aktiviert sind.

ADFS

Die folgenden Schritte und Einstellungen sind erforderlich, um eine Unternehmensanwendung in ADFS für die Verwendung mit einem GO-Global-Host zu erstellen.

1. Öffnen Sie auf dem ADFS-Windows-Server das ADFS-Verwaltungstool.
2. Klicken Sie in der Navigationsstruktur auf der linken Seite mit der rechten Maustaste auf „Anwendungsgruppen“ und wählen Sie „Anwendungsgruppe hinzufügen“, um den Assistenten zu öffnen.
3. Wählen Sie im Bereich „Standalone-Anwendungen“ des Assistenten die Option „Serveranwendung“ aus und klicken Sie auf „Weiter“.
4.    Geben Sie einen Namen für die Anwendung ein, kopieren Sie die Client-ID (Client ID) und speichern Sie sie.
5. Geben Sie die GO-Global-Callback-URL in das Feld „Redirect URI“ ein und klicken Sie auf „Weiter“.
6. Wählen Sie „Gemeinsames Geheimnis generieren“ und kopieren Sie dieses, um es unter „Gemeinsames Geheimnis“ zu verwenden.
7. Klicken Sie auf „Weiter“.
8.    Klicken Sie auf „Weiter“ und speichern Sie diese neue Anwendungsgruppe.

Um die Endpunkt-Links für die Autorisierung und das Token zu konfigurieren, ersetzen Sie „server1.domain.com“ in https://server1.domain.com/adfs/oauth2/authorize und https://server1.domain.com/adfs/oauth2/token durch den FQDN des ADFS-Servers.

Beispiel für die Autorisierungs-URL:
https://[ADFS-SERVER-FQDN]/adfs/oauth2/authorize

Beispiel für die Token-URL:
https://[ADFS-SERVER-FQDN]/adfs/oauth2/token 

Hinweis:
Auf der Registerkarte „Authentifizierung“ im Dialogfeld „Host-Optionen“ der Admin-Konsole müssen Sie entweder „Benutzer automatisch bei einem lokalen Windows-Konto anmelden“ oder „Benutzer automatisch bei ihren Domänenkonten anmelden“ auswählen. Wenn keine dieser OpenID Connect-Authentifizierungsoptionen ausgewählt ist, wird die Anmeldung nicht abgeschlossen.  

Oracle

Die folgenden Schritte und Einstellungen sind erforderlich, um in Oracle Identity Cloud eine Anwendung für die Verwendung mit einem GO-Global-Host zu erstellen.

1. Melden Sie sich beim Oracle Identity Cloud Service an.
2. Gehen Sie zu „Anwendungen“, klicken Sie auf „Hinzufügen“ und wählen Sie „Vertrauliche Anwendung“.
3. Geben Sie einen Namen für die Anwendung ein.
4. Verwenden Sie für die „Linking Callback-URL“ die URL zur Datei „GO-Global callback.html“. (Beispiel: http://GO-GlobalHost.MyDomain.com:491/callback.html)
5. Klicken Sie auf „Weiter“, um den Client zu konfigurieren.
6. Wählen Sie unter „Zulässige Autorisierungstypen“ die Option „Autorisierungscode“ aus.
7. Wenn Sie Nicht-HTTPS-URLs verwenden müssen, wählen Sie die Option „Nicht-HTTPS-URLs zulassen“ aus.
8.    Verwenden Sie für die Weiterleitungs-URL die GO-Global-Host-Datei callback.html.
(Beispiel: http://GO-GlobalHost.MyDomain.com:491/callback.html)
9. Setzen Sie „Bypass Consent“ auf „Enabled“.

Für alle anderen Optionen können die von Oracle festgelegten Standardeinstellungen verwendet werden.

Klicken Sie nach dem Erstellen der Anwendung auf die Anwendung, um die Details anzuzeigen. Die Client-ID und der Client-Secret finden Sie auf der Registerkarte „Konfiguration“ unter „Allgemeine Informationen“. Diese müssen in die OpenID Connect-Einstellungen auf dem GO-Global-Host kopiert werden.

Beispiel für eine Autorisierungs-URL:
https://tenant-base-url/oauth2/v1/authorize?scope=openid%20email&response_type=code

Beispiel für eine Token-URL:
https://tenant-base-url/oauth2/v1/token?

Hinweis:
Auf der Registerkarte „Authentifizierung“ im Dialogfeld „Host-Optionen“ der Admin-Konsole müssen Sie entweder „Benutzer automatisch bei einem lokalen Windows-Konto anmelden“ oder „Benutzer automatisch bei ihren Domänenkonten anmelden“ auswählen. Wenn keine dieser OpenID Connect-Authentifizierungsoptionen ausgewählt ist, wird die Anmeldung nicht abgeschlossen.  

Okta Identity Cloud

Die folgenden Schritte und Einstellungen sind erforderlich, um in der Okta Identity Cloud eine Anwendung für die Verwendung mit einem GO-Global-Host zu erstellen. Alle nicht genannten Einstellungen können auf ihren Standardwerten belassen werden.

Weitere Informationen zu Okta finden Sie unter:
https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm

1. Wechseln Sie im Okta Identity Cloud-Dashboard zu „Applications“ (Anwendungen).
2. Klicken Sie auf die Schaltfläche „App-Integration erstellen“.
3. Wählen Sie unter „Anmeldemethode“ die Option „OIDC – OpenID Connect“ aus.
4. Wählen Sie „Webanwendung“ aus, die nach der Auswahl von „OIDC“ in Schritt 3 angezeigt wird.
5. Wählen Sie unter „Anwendungstyp“ die Option „Webanwendung“ aus.
6. Klicken Sie auf „Weiter“.
7. Geben Sie einen Namen in das Feld „Name“ ein.
8.    Wählen Sie „Client, der in eigenem Namen handelt“ und aktivieren Sie das Kontrollkästchen für „Client-Anmeldeinformationen“.
9. Wählen Sie „Client, der im Namen eines Benutzers handelt“ und aktivieren Sie das Kontrollkästchen für „Autorisierungscode“. Wählen Sie nicht „Implicit (hybrid)“.
10. Verwenden Sie für die Anmelde-Umleitungs-URIs hier Ihren Host-FQDN: http://MyHost.MyDomain.com:491/callback.html
11.    Zuweisungen: Verwenden Sie diese Option, um zu konfigurieren, welche Benutzer Zugriff erhalten sollen. Alternativ können Sie diesen Schritt überspringen und die Konfiguration später vornehmen, nachdem die App erstellt wurde.
12. Wählen Sie unter „Zuweisungen“ entweder „Zugriff auf ausgewählte Gruppen beschränken“ oder „Gruppenzuweisung vorerst überspringen“ und erstellen Sie die App ohne Zuweisung einer Gruppe.
13.    Klicken Sie auf „Speichern“, um diese neue App-Integration zu erstellen.
14. Wählen Sie die neue Web-App aus, um die Bearbeitungsseiten aufzurufen.
15. Kopieren und speichern Sie auf der Registerkarte „Allgemein“ die Client-ID und den Client-Secret. Diese müssen in die OpenID Connect-Einstellungen auf dem GO-Global-Host kopiert werden.

GO-Global-Host-Einstellungen
Verwenden Sie in der GO-Global-Admin-Konsole für die OIDC-Einstellungen die folgenden Okta-Autorisierungs- und Token-URLs sowie Ihre benutzerdefinierte Okta-Domain anstelle von YOUR-OKTA-Domain.
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/authorize
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/token

Beispiel für eine Autorisierungs-URL:
https://dev-111222.okta.com/oauth2/default/v1/authorize

Beispiel für eine Token-URL:
https://dev-111222.okta.com/oauth2/default/v1/token

Hinweis:

Auf der Registerkarte „Authentifizierung“ im Dialogfeld „Host-Optionen“ der Admin-Konsole müssen Sie entweder „Benutzer automatisch bei einem lokalen Windows-Konto anmelden “ oder „Benutzer automatisch bei ihren Domänenkonten anmelden“ auswählen. Wenn keine dieser OpenID Connect-Authentifizierungsoptionen ausgewählt ist, wird die Anmeldung nicht abgeschlossen.  

Weitere Informationen zu Okta finden Sie unter: https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-main.htm.

ManageEngine – Identity Manager Plus

Die folgenden Schritte sind erforderlich, um in Identity Manager Plus eine Anwendung für die Verwendung mit einem GO-Global-Host zu erstellen.

1. Wechseln Sie auf der IdentityManager-Verwaltungsseite zur Registerkarte „Anwendung “.
2. Klicken Sie auf „Anwendung hinzufügen“.
3. Geben Sie einen Anwendungsnamen und einen Domänennamen ein.
4.    Wählen Sie die Registerkarte „OAuth/OpenID Connect “.
5. Aktivieren Sie die Option „OAuth/OpenID Connect aktivieren“.
6. Setzen Sie „Unterstützter SSO-Ablauf“ auf „SP-initiiert“.
7. Verwenden Sie die URL „callback.html“ des GO-Global-Hosts für die URL(s) zur Anmeldeumleitung.
8. Stellen Sie sicher, dass unter „Antworttyp“ nur „Autorisierungscode“ ausgewählt ist .

9. Aktivieren Sie „Refresh-Token zulassen“.
10. Stellen Sie die Gültigkeitsdauer des Zugriffstokens auf 3600 Sekunden ein.
11. Stellen Sie den Schlüsselalgorithmus auf HS256 ein.
12. Stellen Sie den Client-Authentifizierungsmodus auf „Client Secret Basic“ und „Client Secret Post“ ein.
13. Klicken Sie auf „Anwendung hinzufügen“.

Die Client-ID, das Client-Geheimnis sowie die Token- und Autorisierungs-URLs finden Sie unter „Identity Manager Plus | Anwendungen“. Klicken Sie auf den Link „Details“ in der Spalte „IdP-Details “.

Beispiel für eine Autorisierungs-URL:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/authorize

Beispiel für eine Token-URL:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/token

KeyCloak

GO-Global unterstützt KeyCloak mit der Standard-Autorisierungs-URL.

Administratoren können das Feld im ID-Token angeben, das den Benutzernamen enthält. Standardmäßig versucht GO-Global, den Benutzernamen aus dem von KeyCloak bereitgestellten E-Mail-Feld zu beziehen, es kann jedoch über die Eigenschaft „OpenIDConnectUserNameField“ in der Datei „HostProperties.xml“ so konfiguriert werden, dass der Benutzername aus anderen Feldern abgerufen wird.

So legen Sie die Eigenschaft „OpenIDConnectUserNameField“ fest


1. Beenden Sie den Application Publishing Service.
2. Öffnen Sie die Datei %PROGRAMDATA%\GraphOn\GO-Global\HostProperties.xml in einem Texteditor.
3. Suchen Sie die Eigenschaft „OpenIDConnectUserNameField“ und ändern Sie den Wert in den Namen des Claims im OIDC-ID-Token des Benutzers, der den UPN enthält, den GO-Global zur Authentifizierung des Benutzers unter Windows verwenden soll.
4.    Speichern Sie die Datei „HostProperties.xml“.
5. Starten Sie den Application Publishing Service neu.

Google Workspace/Cloud Identity

Bevor Sie beginnen, stellen Sie sicher, dass Sie entweder über Google Workspace Premium mit einer benutzerdefinierten Domain oder über Cloud Identity Premium mit einer benutzerdefinierten Domain verfügen. Überprüfen Sie, ob Ihre Organisation in der Google Admin-Konsole vorhanden ist. Bei neuen Konten kann es einige Zeit dauern, bis Ihre benutzerdefinierte Domain automatisch erstellt wird. Erstellen Sie bei Bedarf neue Benutzer. GraphOn empfiehlt, die zweistufige Verifizierung für alle Benutzer zu aktivieren.


Anleitung zur Google Cloud Console
A. Erstellen Sie ein neues Projekt (z. B. GG-OIDC-Project) und wechseln Sie zu dem neu erstellten Projekt.

B. Einrichten eines OAuth-Zustimmungsbildschirms
1. Gehen Sie zu „APIs & Services“. Wählen Sie in der linken Navigationsleiste „OAuth-Zustimmungsbildschirm“ aus. Alternativ können Sie auf der neuen Seite der Google Auth Platform links „Branding“ auswählen.
2. Wählen Sie als Benutzertyp „Intern“ aus.
3. Legen Sie den App-Namen fest (z. B. GG-Auth-Consent).
4.    Geben Sie im Feld „Application home page “ die URL des GO-Global-Hosts oder des Load Balancers ein. (Beispiel: https://myapp.example.com)
5. Geben Sie im Feld „Authorized domain “ die Top-Level-Domain (TLD) des GO-Global-Hosts ein. (Beispiel: example.com)
6. Klicken Sie auf „Save and Continue“.
7.    Überspringen Sie das Hinzufügen von Bereichen, sofern dies nicht durch die Richtlinien Ihrer Organisation vorgeschrieben ist.
8. Klicken Sie auf „Speichern und fortfahren“.

C. Erstellen Sie eine OAuth-Client-ID
1. Gehen Sie zu „APIs & Services“ | „Anmeldeinformationen“ | „Anmeldeinformationen erstellen“ | „OAuth-Client-ID“. Alternativ können Sie auf der neuen Google Auth Platform-Seite links „Clients“ auswählen.
2. Wählen Sie unter „Anwendungstyp“ die Option „Webanwendung“ aus.
3.    Benennen Sie den OAuth-Client. (z. B. GG-Auth-Client)
4. Fügen Sie eine autorisierte Umleitungs-URI hinzu, indem Sie die URL Ihres GO-Global-Webservers oder die URL des Load Balancers mit dem Suffix /callback.html verwenden (z. B. https://myapp.example.com:491/callback.html). Lassen Sie :491 weg, wenn das Frontend des Load Balancers auf Port 443 lauscht.
5. Erstellen Sie den Client.
6. Speichern Sie die generierte Client-ID und den Client-Secret sicher.

GO-Global-Hostkonfiguration

‍Nehmen Siedie folgenden Einstellungen in Ihrem/Ihren GO-Global-Host(s) vor:
1. Navigieren Sie zu „Tools“ | „Host-Optionen“ | „Authentifizierung“.
2. Deaktivieren Sie alle Kontrollkästchen.
3. Aktivieren Sie die OpenID Connect-Authentifizierung.
4. Wählen Sie entweder „Benutzer automatisch bei lokalen Windows-Konten anmelden“ oder „Benutzer automatisch bei ihren Domänenkonten anmelden“.
5.    Geben Sie die Client-ID aus Ihrer OpenID Connect-Serverkonfiguration in das Feld „Client-ID“ ein.
6. Geben Sie den Client-Secret aus Ihrer OpenID Connect-Serverkonfiguration in das Feld „Client-Secret“ ein.
7. Geben Sie die Autorisierungs-URL, die zur Authentifizierung von Benutzern bei Ihrem OpenID Connect-Server verwendet wird, in das Feld „Autorisierungs-URL“ ein. Beispiel:
https://accounts.google.com/o/oauth2/v2/auth?response_type=code&scope=openid+email
8. Geben Sie die Token-URL, die zur Authentifizierung von Benutzern mit Ihrem OpenID Connect-Server verwendet wird, in das Feld „Token-URL“ ein. Beispiel: https://oauth2.googleapis.com/token
9.    Geben Sie im Feld „Redirect URL “ die URL Ihres GO-Global-Webservers, eines Drittanbieter-Webservers oder eines Load Balancers mit dem Suffix /callback.html ein.
(Beispiel: https://myapp.example.com:491/callback.html). Lassen Sie :491 weg, wenn das Frontend Ihres Load Balancers auf Port 443 lauscht.
10. Klicken Sie auf „OK“.

Schlussfolgerung

Die Einrichtung einer sicheren und zuverlässigen Authentifizierung ist für jede GO-Global-Bereitstellung unerlässlich. Dieser technische Leitfaden führt Administratoren durch den gesamten Prozess der Einrichtung von OpenID Connect (OIDC) bei den wichtigsten Identitätsanbietern – darunter Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak und Google Workspace. Mit klaren, schrittweisen Anweisungen stellt er sicher, dass Ihr GO-Global-Host korrekt in moderne Identitätsplattformen integriert ist, um einen nahtlosen Benutzerzugriff und verbesserte Sicherheit zu gewährleisten.

Sind Sie ein ISV, der sich mit der Bereitstellung von Cloud-basierten Anwendungen beschäftigt? Setzen Sie sich mit uns in Verbindung, um zu erfahren, wie GO-Global Ihnen helfen kann, den Software-Zugang für Ihre Endbenutzer zu optimieren. Oder laden Sie eine kostenlose Testversion herunter, um es selbst zu testen.

Zugehörige technische Spezifikationen

Wie man
Anleitung: GO-Global Single Sign-On Unterstützung für Okta
Wie man
Anleitung: GO-Global Single Sign-On Unterstützung für ADFS
Alle technischen Daten durchsuchen

Erfahren Sie mehr über GO-Global

Lesen Sie unsere FAQs - GO-Global
Lesen Sie unsere FAQs
Kundenbetreuung - GO-Global
Fallstudien
Versionshinweise - GO-Global
Technische Daten

Reduzieren Sie die Kosten und die Komplexität der Bereitstellung Ihrer Windows-Anwendung

Abonnieren Sie unseren Newsletter
Vielen Dank, dass Sie sich für unseren Newsletter angemeldet haben.
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.