# Berechtigungen

## Übersicht

Die **Berechtigungen** Mit dem Menü können Sie den Zugriff auf das RADIUSaaS Admin Portal und die RADIUSaaS REST API steuern.

{% hint style="success" %}
RADIUSaaS unterstützt mehrere IDPs für die Authentifizierung beim Anmelden am RADIUSaaS Admin Portal.

RADIUSaaS speichert oder verwaltet keine eigenen Administratoridentitäten.

Dadurch können Administratoren komfortabel mit ihren eigenen Identitäten arbeiten und müssen keine zusätzlichen Konten einrichten.
{% endhint %}

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fyyw9ix1TtbjLHiRzREUf%2Fimage.png?alt=media&#x26;token=ed499809-b107-4c56-af40-a1505aecf01c" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Änderungen an den Rollenzuweisungen und das Ungültigmachen von Benutzertokens werden erst wirksam, nachdem auf **Speichern**.
{% endhint %}

## Unterstützte IDPs

Unter **Zulässige Authentifizierungsanbieter** können beliebige (auch mehrere) der von RADIUSaaS unterstützten IDPs aktiviert werden:

* Apple (Apple ID)&#x20;
* DigitalOcean (E-Mail-Adresse des Benutzers)
* Entra ID (User Principal Name)
* Google (primäre E-Mail-Adresse)

Außerdem können Sie unter **Benutzerdefinierter OICD-Anbieter** eigene OpenID-Connect-Anbieter konfigurieren, um andere IDPs zu nutzen, z. B. Okta oder souveräne Azure-Clouds (GCC, GCC High, ...).

## Rollen

### Administratoren

Hier eingegebene Identitäten oder Konten können mit **vollen Lese- und Schreibberechtigungen** auf den Dienst auf das RADIUSaaS Admin Portal zugreifen. Diese Berechtigungen umfassen:&#x20;

* Anzeigen [Dashboards und Protokolle](https://docs.radiusaas.com/de/admin-portal/insights)
* Anzeigen, hinzufügen, ändern, löschen [Benutzer](https://docs.radiusaas.com/de/admin-portal/users)
* Anzeigen, hinzufügen, ändern, löschen [RADIUS-Serverzertifikate](https://docs.radiusaas.com/de/admin-portal/settings-server#server-certificates) und [vertrauenswürdige Zertifikate](https://docs.radiusaas.com/de/admin-portal/settings/trusted-roots) für die Client-Authentifizierung und RadSec
* Anzeigen, hinzufügen, löschen [Proxys](https://docs.radiusaas.com/de/admin-portal/settings/settings-proxy)
* Einstellungen anderer anzeigen und ändern, einschließlich Berechtigungen
* Verwalten [RADIUSaaS REST API-Zugriffstoken](#access-tokens)
* Zugriff auf alle [API-Endpunkte](https://docs.radiusaas.com/de/sonstige/rest-api) und CRUD-Operationen

### Benutzer mit Anzeigerechten

Hier eingegebene Identitäten oder Konten können mit **volle Leseberechtigungen** auf den Dienst auf das RADIUSaaS Admin Portal zugreifen. Diese Berechtigungen umfassen:&#x20;

* Anzeigen [Dashboards und Protokolle](https://docs.radiusaas.com/de/admin-portal/insights)
* Anzeigen [Benutzer](https://docs.radiusaas.com/de/admin-portal/users)
* Anzeigen, hinzufügen, ändern, löschen [RADIUS-Serverzertifikate](https://docs.radiusaas.com/de/admin-portal/settings-server#server-certificates) und [vertrauenswürdige Zertifikate](https://docs.radiusaas.com/de/admin-portal/settings/trusted-roots) für die Client-Authentifizierung und RadSec
* Anzeigen [Proxys](https://docs.radiusaas.com/de/admin-portal/settings/settings-proxy)
* Einstellungen anderer anzeigen (Berechtigung kann nicht angezeigt werden)
* Zugriff auf alle [API-Endpunkte](https://docs.radiusaas.com/de/sonstige/rest-api) - **auf Leseoperationen beschränkt**

### Benutzer

Hier eingegebene Identitäten oder Konten **können nicht** auf das RADIUSaaS Admin Portal zugreifen; sie können jedoch auf das [**Portal Meine eingeladenen Benutzer**](https://docs.radiusaas.com/de/admin-portal/meine-eingeladenen-benutzer) zugreifen, wo sie in der Lage sind, [Benutzer](https://docs.radiusaas.com/de/admin-portal/users) für BYOD- oder Gastzugriff zu erstellen.

### Benutzertokens ungültig machen

Bei der Authentifizierung am RADIUSaaS Admin Portal erhält jede berechtigte Identität ein Zugriffs-(Bearer-)Token, das im Cookie-Speicher des Browsers zwischengespeichert wird. Die Lebensdauer des Tokens beträgt 30 Tage. Außerdem hat RADIUSaaS die Berechtigung, diese Zugriffstokens zu aktualisieren.

Im Falle eines Sicherheitsvorfalls können RADIUSaaS-Administratoren **alle zuvor ausgestellten Zugriffstokens ungültig machen** indem sie das Mindest-Ausstellungsdatum auf jetzt setzen.&#x20;

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FLnaGdTdP85UpsJz6nWcd%2Fimage.png?alt=media&#x26;token=461f28cd-d067-489b-ac57-568ef308e569" alt="" width="563"><figcaption></figcaption></figure>

## Technische Kontakte

{% hint style="info" %}
Bitte beachten Sie, dass diese Funktion als Vorbereitung für eine Benachrichtigungsfunktion in einer zukünftigen Version von RADIUSaaS dient.
{% endhint %}

Fügen Sie bis zu 5 technische Kontakte hinzu, die E-Mail-Benachrichtigungen zu Ihrer Instanz erhalten. Sie können für jeden Kontakt die Ereignisstufe auswählen.

<table><thead><tr><th width="137">Ereignisstufe</th><th>Beispielereignisse</th></tr></thead><tbody><tr><td>Info</td><td>Geplante Aktualisierungen Ihrer Instanz.</td></tr><tr><td>Warnung</td><td>Ein Zertifikat läuft bald ab, oder ein ISP hat Probleme, die sich auf Ihre Instanz auswirken könnten.</td></tr><tr><td>Kritisch</td><td>Unterbrechung Ihrer Instanz. </td></tr></tbody></table>

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FGucXrO98ppH2IGFCADSM%2F2024-12-06_11h41_45.png?alt=media&#x26;token=5b78dbc4-d079-40f0-9134-a8ad7dda37a6" alt=""><figcaption></figcaption></figure>

## Zugriffstokens

Zugriffstokens sind erforderlich, um Aufrufe an die [RADIUSaaS REST API](https://docs.radiusaas.com/de/sonstige/rest-api).

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F3XPgqLQgguUYdUeC3fAB%2Fimage.png?alt=media&#x26;token=b365d3dd-38e0-4878-9ee2-eea8e0d8753d" alt=""><figcaption></figcaption></figure>

### Hinzufügen

Führen Sie die folgenden Schritte aus, um ein neues Zugriffstoken zu erstellen:

1. Klicken Sie auf **Hinzufügen**
2. Geben Sie einen aussagekräftigen **Namen** für das Zugriffstoken an
3. Legen Sie die Berechtigungsstufe fest, indem Sie eine [**Rolle**](#roles)
4. Wählen Sie die Lebensdauer des Zugriffstokens
5. Klicken Sie auf **Erstellen**\
   ![](https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fs4fakstavtZVWVgMVH1K%2Fimage.png?alt=media\&token=5877ff38-7f1c-474a-bdf9-aeab763b49c7)<br>
6. Kopieren Sie das Zugriffstoken in die Zwischenablage und speichern Sie es an einem sicheren Ort.\
   ![](https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F42kTjdesW5amEcScFa7C%2FScreenshot_2024-05-23_at_18_46_08.jpg?alt=media\&token=d7c71247-eccb-47f1-821f-0ccb1bde55ec)
7. Klicken Sie auf **Schließen**

### **Löschen**

Um ein Zugriffstoken zu löschen, suchen Sie es in der Tabelle und klicken Sie auf das Papierkorbsymbol:

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fly5SYNorElOwmEF0O4Bs%2FScreenshot%202026-02-25%20at%2017.33.02.png?alt=media&#x26;token=d6fef168-ecb3-4db0-9de0-e1fe7de4330a" alt=""><figcaption></figcaption></figure>

## Berechtigungszustimmung

Wählen Sie aus verschiedenen Identitätsanbietern, um sich in Ihrem Portal anmelden zu können.

{% tabs %}
{% tab title="Entra ID" %}

Microsoft Entra ID (Azure AD)-Konten, die sich zum ersten Mal am RADIUSaaS Admin Portal anmelden, müssen RADIUSaaS einen begrenzten Satz von [Berechtigungen in ihrem Azure-Mandanten](https://docs.radiusaas.com/de/sonstige/faqs/security-and-privacy#id-5.-which-tenant-permissions-do-users-accessing-the-radiusaas-web-portal-have-to-consent-to).

Es gibt zwei alternative Möglichkeiten, die Zustimmung zu erteilen:

* **Benutzerzustimmung**\
  Jeder Benutzer akzeptiert die Zustimmung beim ersten Login im Portal.
* **Admin-Zustimmung**\
  Ein Administrator kann im Namen der Organisation für alle Benutzer zustimmen.

### Benutzerzustimmung

Wenn zuvor kein Administrator im Namen der Organisation zugestimmt hat, sieht ein Benutzer einen Dialog zur Berechtigungsanfrage:

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/Whj6dRSGUJFm7zJUfVjv/image.png" alt=""><figcaption></figcaption></figure>

Benutzer können diese Zustimmung in Microsoft überprüfen oder widerrufen [Meine Apps](https://myapps.microsoft.com).

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/xjm5mD9gdtNJOZWoQ4Zi/image.png" alt=""><figcaption></figcaption></figure>

Administratoren können Benutzerzustimmungen im Azure-Portal überprüfen und widerrufen (**Microsoft Entra ID** > **Unternehmensanwendungen** > **RADIUS as a Service**):

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/Hf30pa88xZZZySTcc7gL/image.png" alt=""><figcaption></figcaption></figure>

### Admin-Zustimmung

Anstatt von jedem Benutzer eine Zustimmung zu verlangen, können Administratoren bei der erstmaligen Anmeldung im RADIUSaaS-Webportal im Namen der Organisation die Zustimmung für alle Benutzer erteilen:

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/EB1IjdY0ixwIpOm9Ys5C/image.png" alt=""><figcaption></figcaption></figure>

Alternativ können Administratoren die Zustimmung im Azure-Portal im Namen der Organisation erteilen (**Microsoft Entra ID** > **Unternehmensanwendungen** > **RADIUS as a Service**). Im Azure-Portal können Administratoren die Zustimmung auch überprüfen oder widerrufen:

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/JnCFDpixcJXfZzdCyHx4/image.png" alt=""><figcaption></figcaption></figure>
{% endtab %}

{% tab title="Apple" %}
Wenn Sie ein Apple ID verwenden, um sich bei RADIUSaaS anzumelden, stellen Sie sicher, dass Sie **Ihre E-Mail-Adresse nicht ausblenden** .

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fe5EuZ59EC1vsOpHA9R0P%2Fimage.png?alt=media&#x26;token=6ef2dbf5-4453-4a09-96c3-1148509c9e67" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Wenn Sie in diesem Dialog das Ausblenden Ihrer E-Mail-Adresse wählen, können Sie sich nicht in Ihrem Portal anmelden. Sie müssen dann die RADIUSaaS-App auf **account.apple.com** im **Mit Apple anmelden** Abschnitt
{% endhint %}
{% endtab %}

{% tab title="Digital Ocean" %}
Digital Ocean verlangt, dass Sie die Anwendung in einem Team autorisieren, um sich anmelden zu können:

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FxZYfitlR8gTW4MczGSYc%2Fimage.png?alt=media&#x26;token=5e9da2a3-5b29-4127-af3c-e1712c858e5e" alt=""><figcaption></figcaption></figure>
{% endtab %}

{% tab title="Google" %}
Google verlangt, dass Sie der Anwendung erlauben, auf begrenzte Daten Ihres Kontos zuzugreifen.

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FTAvDqZsSxfp4cm1JXBtD%2Fimage.png?alt=media&#x26;token=03af565c-e409-41c8-bb34-47bb4eeb6827" alt=""><figcaption></figcaption></figure>
{% endtab %}

{% tab title="Benutzerdefinierter OIDC-Anbieter (Okta)" %}
Die genauen Informationen, die Sie für den benutzerdefinierten OIDC-Anbieter angeben müssen, hängen von dem von Ihnen gewählten Identitätsanbieter ab. Das folgende **Beispiel** basiert auf **Okta**.

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FuEXUhGcJaXbhYXw7S8Fu%2Fimage.png?alt=media&#x26;token=e98d23b2-7ecc-47c0-8fb3-bf45211ec70d" alt=""><figcaption></figcaption></figure>

In der Okta-Administratorkonsole müssen Sie eine neue App-Integration mit den folgenden Details erstellen:

| Anmeldemethode                 | OIDC - OpenID Connect                                                                                                                                                                                 |
| ------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Anwendungstyp                  | Webanwendung                                                                                                                                                                                          |
| Redirect-URI für die Anmeldung | <p>Wird im RADIUSaaS-Dialog oben angegeben<br>Beispiel: <a href="https://eu1.radius-as-a-service.com/loginserver/authResponse"><https://eu1.radius-as-a-service.com/loginserver/authResponse></a></p> |

Stellen Sie sicher, dass Sie die Integration der vorgesehenen Benutzergruppe zuweisen und speichern. Sie können nun die erforderlichen Informationen aus dieser Anwendung abrufen, um sie in RADIUSaaS einzugeben:

Die **Anzeigename** kann frei gewählt werden und wird während der Anmeldung angezeigt.

Bei Okta ist die **Authentifizierungs-URL** in folgender Form:

`https://`**`{IhreOrga}`**`.okta.com/oauth2/v1/authorize`

Die Token-URL wird ebenfalls konstruiert und sieht so aus:

`https://`**`{IhreOrga}`**`.okta.com/oauth2/v1/token`

Die **Client-ID** und **Client-Secret** kann in der Anwendung selbst kopiert und erstellt werden:

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FEVB8IugvO1b3tUQAeatA%2Fimage.png?alt=media&#x26;token=8998921b-4b1f-4e47-9db9-233431a838d5" alt=""><figcaption></figcaption></figure>

Für den **Client-Bereich** `openid email` ist erforderlich. Dadurch teilt man Okta mit, dass wir eine OpenID-Authentifizierung verwenden und die E-Mail-Adresse des angemeldeten Benutzers lesen müssen.

Nachdem Sie diesen Anbieter gespeichert und zugelassen haben, sollten Sie ihn verwenden können, um sich von der Anmeldeseite aus zu authentifizieren:

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F0MRlBRVwq5LiFMOAcSht%2Fimage.png?alt=media&#x26;token=0d28e700-3ce1-489f-98ab-9784e9e580cf" alt=""><figcaption></figcaption></figure>
{% endtab %}

{% tab title="Benutzerdefinierter OIDC-Anbieter (Entra ID)" %}
Falls in bestimmten Szenarien erforderlich (z. B. **GCC High** Mandanten), können Sie auch eine selbst erstellte Entra ID-App-Registrierung verwenden, um sich bei Ihrem RADIUSaaS-Portal zu authentifizieren.

#### Vorbereitung

Bevor Sie die App-Registrierung erstellen, stellen Sie sicher, dass Sie die Umleitungs-URL aus dem **Berechtigungen** Abschnitt Ihres RADIUSaaS-Portals kopieren. Sie finden die URL oben im **Benutzerdefinierter OIDC-Anbieter** Bearbeitungsdialog:

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F4Xd1vQgzqzKWblLPTO35%2Fimage.png?alt=media&#x26;token=0cbcadfc-f1eb-4847-8261-2f16a3b1b139" alt="Click on the Edit button to find the redirect URL"><figcaption></figcaption></figure>

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FpAY9jOJYugXmcuM1UDeQ%2Fimage.png?alt=media&#x26;token=40bd205c-1cd8-4a0b-9a25-9da4d11259cc" alt="Copy the redirect URL from the dialogues header"><figcaption></figcaption></figure>

### App-Registrierung erstellen

Navigieren Sie in Entra ID zu **App-Registrierungen** und erstellen Sie eine neue Registrierung:

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fzg2fyhdDN5pISvI1KjUt%2Fimage.png?alt=media&#x26;token=a8d2eeb8-5b05-4d34-894e-ba83e36d3cb7" alt=""><figcaption></figcaption></figure>

Wählen Sie einen beschreibenden **Namen** für die Registrierung und fügen Sie die Umleitungs-URI, die Sie im vorherigen Schritt kopiert haben, als **Web** Typ hinzu.

#### API-Berechtigungen hinzufügen

Navigieren Sie in der erstellten Registrierung zu **API-Berechtigungen** und fügen Sie `email` und `openid` von Microsoft Graph als **Delegierte** Berechtigungen hinzu. Stellen Sie außerdem sicher, dass Sie die Admin-Zustimmung für Ihren Mandanten erteilen:

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FQq24dkHU03MSR6qI0ajP%2Fimage.png?alt=media&#x26;token=ccbb60b2-cdb0-4f83-827a-8b2d867465af" alt=""><figcaption></figcaption></figure>

#### Client-Secret hinzufügen

Damit RADIUSaaS diese Registrierung verwenden kann, erstellen Sie im **Zertifikate & Geheimnisse** Bereich der Registrierung ein Client-Secret. Kopieren Sie den Wert des Geheimnisses für später.

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fs7Ujg2gb86TRylYApprk%2Fimage.png?alt=media&#x26;token=c9ec97d2-c6a0-48b3-9c68-6727219ba932" alt=""><figcaption></figcaption></figure>

#### Registrierungsdetails notieren

Sie benötigen später die Registrierungs **Client-ID** und einige für Ihren Mandanten spezifische URLs. Sie finden diese auf der Übersichtsseite der Registrierung:

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fd1xpptiKjJyhRfnkKyMT%2Fimage.png?alt=media&#x26;token=bbd97ab9-378a-433a-aa7c-e4ed4746e757" alt=""><figcaption></figcaption></figure>

#### Benutzer zuweisen

Damit jemand diese App-Registrierung für Anmeldungen verwenden kann, stellen Sie sicher, dass Sie ihn in der verwalteten Unternehmensanwendung hinzufügen. Sie finden diese in Entra ID unter **Unternehmensanwendungen** mit demselben Namen wie Ihre App-Registrierung. Es gibt auch einen Link dazu in der Übersicht der App-Registrierung.

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fey2lPelBnCcdzk1a9xkc%2Fimage.png?alt=media&#x26;token=ed2a9950-31c3-47b9-8492-c06223a3329a" alt="Assign users to allow them to use the application"><figcaption></figcaption></figure>

### Den OIDC-Anbieter in RADIUSaaS konfigurieren

Zurück im RADIUSaaS-Portal navigieren Sie zum Abschnitt Berechtigungen, bearbeiten den benutzerdefinierten OIDC-Anbieter und füllen Sie die erforderlichen Informationen aus:

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FSY5LeHQxsb0xkkCecLhb%2Fimage.png?alt=media&#x26;token=274f787e-483f-4649-8a0a-0eb0da403ebc" alt=""><figcaption></figcaption></figure>

| Feld                   | Erklärung                                                                                                   |
| ---------------------- | ----------------------------------------------------------------------------------------------------------- |
| Anzeigename            | Dieser Name wird auf der Anmeldeseite angezeigt                                                             |
| Authentifizierungs-URL | `OAuth 2.0-Autorisierungsendpunkt (v2)` aus den Endpunkten der Registrierung                                |
| Token-URL              | `OAuth 2.0-Tokenendpunkt (v2)` aus den Endpunkten der Registrierung                                         |
| Client-ID              | Die Client-ID der App-Registrierung. Sie finden sie auf der Übersichtsseite                                 |
| Client-Secret          | Das zuvor erstellte Client-Secret                                                                           |
| Client-Bereich         | Definiert die während der Authentifizierung angeforderten Informationen. Geben Sie `openid email` hier ein. |

Nachdem Sie die Konfiguration gespeichert haben, stellen Sie sicher, dass Sie den benutzerdefinierten Anbieter zulassen und einige Benutzer für diesen Anbieter hinzufügen. Sie sollten nun in der Lage sein, den Anbieter zum Anmelden an Ihrem RADIUSaaS-Portal zu verwenden:

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F83u6Jn9KYrPpnZF2l2j7%2Fimage.png?alt=media&#x26;token=6a24c665-472d-4bde-b3a6-7bad0998b868" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Es kann erforderlich sein, dass ein Entra-Administrator diese Anmeldung zunächst verwendet, um für seinen Mandanten erneut zuzustimmen. Dies muss nur einmal durchgeführt werden.
{% endhint %}
{% endtab %}
{% endtabs %}