Zum Inhalt

Microsoft Entra ID

In diesem Artikel wird beschrieben, wie die SAMLv2-Identitätsföderation zwischen Microsoft Entra ID und cyberelements.io konfiguriert werden kann.

Warning

Die nachstehenden Angaben gelten nur für InternetElemente.io

Konfigurierung eines SAML-Identitätsanbieters mit Microsoft Entra ID

Anmelden in der Azure-Admin-Konsole: Azure-Admin-Konsole

Wenn Sie eingeloggt sind, gehen Sie zu Ihrem Enterprise applications.
Dann erstellen Sie eine neue:

Wählen Sie, um Ihre neue Anwendung zu erstellen:

Benennen Sie es, wählen Sie eine andere Anwendung, die nicht in der Galerie gefunden wird, und erstellen Sie sie:

Wenn Ihre Unternehmensanwendung für cyberelements.io erstellt wurde, fügen Sie ihr Benutzer und Benutzergruppen hinzu:

Als nächstes gehen Sie zum Single sign-on Menü, um die SAML Konfiguration zu beginnen, indem Sie es auswählen:

Am Ende der Seite wird der Wert von Microsoft Entra Identifier kopiert:

Halten Sie den Tab offen und öffnen Sie in der cyberelements.io-Verwaltungskonsole die Identitätsanbieter:

Dann fügen Sie eine neue hinzu:

  1. Auswahl des SAML-Domänentyps
  2. Namen Sie Ihre neue Domain
  3. Freiwillige Beschreibung hinzufügen
  4. Geben Sie Ihre lokale Domäne an; diese wird für den SSO-Mechanismus verwendet, wenn er aktiviert ist
  5. Einstellen der Ablaufzeit für inaktiv Benutzer-Sessions (Benutzer-Sessions, bei denen keine cyberelements.io Anwendung ausgeführt wird)
  6. Anpassung der Anzahl der gleichzeitigen Sitzungen für jeden Benutzer
  7. Aktivieren oder deaktivieren der automatischen Löschung der ältesten Sitzung, wenn der Benutzer sich anmelden, wenn sie bereits die maximale Anzahl gleichzeitiger Sitzungen erreicht haben
  8. Auswahl des Azure Identitätsanbieters
  9. Der zuvor abgerufene Microsoft Entra Identifier-Wert wird eingegeben
  10. Geben Sie den Wert der folgenden Gruppenvariablen ein: 
    1
    http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  11. Die Gruppenvariable wird als URI belassen
  12. Geben Sie den Wert der folgenden Anmeldevariablen ein: 
    1
    http://schemas.microsoft.com/ws/2008/06/identity/claims/name
  13. Das Format der Anmeldevariablen bleibt URI
  14. Domain hinzufügen oder nicht hinzufügen

Bestätigen Sie die Erstellung der Domäne und öffnen Sie sie dann erneut, um auf die zweite Registerkarte zu wechseln.
Von dort können Sie die Konfigurationsmetadaten für das IDP herunterladen:

Zurück zur Registerkarte "Entra ID Enterprise Application Configuration" und laden Sie die Metadata Datei hoch, die von cyberelements.io abgerufen wurde:

Ändern Sie den Wert der Auslogging-URL, indem Sie das Ende /Artifact durch /Redirect ersetzen und speichern Sie die Konfiguration:

Bearbeiten Sie dann die SAML-Attribute und -Behauptungen:

Fügen Sie eine neue Gruppenbehauptung hinzu, laden Sie entweder alle Benutzergruppen oder nur die der Unternehmensanwendung zugewiesenen Gruppen hoch, stellen Sie sicher, dass die Gruppen-ID hochgeladen wird, und validieren Sie die Erstellung der neuen Behauptung:

Schließlich holen Sie die Metadaten-URL der Föderation ab:

Zurück zur cyberelements.io-Verwaltungskonsole und fügen Sie die URL für die Metadaten der Föderation hinzu:

Sobald die Validierung erfolgte, ist Ihre neue SAML-Domain einsatzbereit.

Zusatz von Gruppen

Die neue SAML-Domain ist direkt nutzbar, aber da SAMLv2 keinen direkten Austausch zwischen dem Identity Provider (IDP) und dem Service Provider (SP) vorseht, der in unserem Kontext cyberelements.io ist, kann er nicht über die auf Entra ID vorhandenen Benutzergruppen Bescheid wissen.
Um dieses Problem zu lösen, können Benutzergruppen entweder ad hoc synchronisiert oder manuell zum Produkt hinzugefügt werden.

Ad hoc-Synchronisierung

Die Ad-hoc-Synchronisierung von Entra-ID-Benutzergruppen ist mit der Azure-Funktion device login möglich.
Diese Funktion synchronisiert alle Gruppen, die auf der Entra ID vorhanden sind.

Um diese Synchronisierung durchzuführen, öffnen Sie die Liste der verfügbaren Domänen und klicken Sie auf die Synchronisations-Taste :

Es wird ein Fenster geöffnet, in dem Sie einen Code kopieren und in die Azure-Authentifizierung einfügen müssen, die über den angegebenen Link zugänglich ist:

Nach der Authentifizierung synchronisiert cyberelements.io alle Gruppen, um sie in der Lösung nutzbar zu machen. Je nach Anzahl der zu synchronisierenden Gruppen kann der Vorgang bis zu 5 Minuten dauern (für Tausende von zu synchronisierenden Gruppen).

Manuell

Öffnen Sie die Benutzergruppenverwaltung:

Wählen Sie Ihre Entra-ID-Domain aus und klicken Sie auf die Schaltfläche hinzufügen:

Schließlich füllen Sie die verschiedenen Felder aus, um eine Gruppe auf der Entra ID hinzuzufügen:

  1. Geben Sie den Anzeigennamen Ihrer Benutzergruppe in cyberelements.io ein (zur Vereinfachung der Verwaltung wird empfohlen, dass dieser derselben Bezeichnung wie auf Entra ID entspricht)
  2. Geben Sie die ID des Gruppenobjekts an, die aus der Azure-Gruppenverwaltung abgerufen werden kann
  3. Optional eine Beschreibung der Benutzergruppe hinzufügen