Single Sign-On Einrichtung mit Microsoft Azure/Entra
In dieser Anleitung erklären wir Ihnen, wie Sie Single Sign-On mit Microsoft Azure einrichten können.
Während die Screenshots in diesem Leitfaden aus dem Azure-Portal stammen, gilt dieser Leitfaden auch für das Microsoft Entra Admin Center.
1. Anmelden
Gehen Sie zu portal.azure.com und melden Sie sich mit Ihrem Microsoft-Konto an.
Sie können ein Microsoft-Konto erstellen, wenn Sie noch keines haben.
2. Das Azure-Abonnement
Wenn Sie bereits ein aktives Microsoft Azure-Abonnement haben, können Sie diesen Schritt überspringen und direkt zu Schritt 3. Eine neue Anwendung erstellen gehen.
Um Microsoft Azure-Dienste nutzen zu können, benötigen Sie ein aktives Microsoft Azure-Abonnement. Sie können Microsoft Azure für eine begrenzte Zeit kostenlos ausprobieren. Nach dieser Testphase können Sie sich entscheiden, es auf einer "pay-as-you-go"-Basis zu verlängern.
Wenn Sie noch kein aktives Abonnement haben, erscheint ein Link auf der Startseite, um ein Abonnement abzuschließen. Falls nicht, klicken Sie auf die Menü-Schaltfläche in der oberen linken Ecke und dann auf "Alle Dienste".
Geben Sie dann "abonnements" in das Suchfeld ein und klicken Sie auf "Abonnements".
Sobald Sie den Registrierungsprozess abgeschlossen haben, können Sie mit den nächsten Schritten fortfahren.
3. Eine neue Anwendung erstellen
Um eine Verbindung zu Declaree herzustellen, müssen Sie eine neue Anwendung erstellen. Klicken Sie zuerst auf die Menü-Schaltfläche in der oberen linken Ecke und dann auf "Alle Dienste".
Geben Sie dann "Unternehmensanwendungen" in das Suchfeld ein und klicken Sie auf "Unternehmensanwendungen".
Auf der Seite "Unternehmensanwendungen | Alle Anwendungen" klicken Sie auf die Schaltfläche "Neue Anwendung".
Sie befinden sich nun in der "Microsoft Entra-Katalog" Sektion. Anstatt nach einer bestehenden Anwendung zu suchen, klicken Sie auf "Eigene Anwendung erstellen".
Es erscheint ein Dialogfeld auf der rechten Seite des Bildschirms. Geben Sie den Namen der App ein. Sie können jeden beliebigen Namen wählen, aber der Klarheit halber nennen wir diese hier "Declaree".
Stellen Sie sicher, dass Sie die unterste Option ausgewählt haben, "Beliebige andere, nicht im Katalog gefundene Anwendung integrieren", und klicken Sie unten im Dialogfeld auf "Erstellen".
Sobald die "Declaree"-Anwendung erstellt ist, werden Sie zur Übersichtsseite weitergeleitet. Der nächste Schritt besteht darin, die Benutzer hinzuzufügen, denen Sie Zugriff auf Declaree gewähren möchten.
4. Benutzer hinzufügen
Klicken Sie auf der linken Seite der Seite auf "Benutzer und Gruppen".
Klicken Sie dann auf die Schaltfläche "Benutzer/Gruppe hinzufügen".
Auf der Seite "Zuweisung hinzufügen" klicken Sie auf "Keine ausgewählt".
Ein weiteres Dialogfeld öffnet sich auf der rechten Seite des Bildschirms. Wählen Sie die Benutzer aus, die Sie hinzufügen möchten, und klicken Sie auf "Auswählen".
Um zu bestätigen, klicken Sie auf "Zuweisen":
Sie haben nun die Benutzer zugewiesen, die sich bei Declaree mit Single Sign-On anmelden können. Im nächsten Abschnitt richten wir eine dedizierte Subdomäne ein, die wir mit dem Azure-Verzeichnis Ihrer Organisation verknüpfen.
5. Eine Subdomäne in Declaree einrichten
Jede Organisation innerhalb von Declaree erhält eine dedizierte Subdomäne. Diese Subdomäne dient als Zugangspunkt für Ihre Benutzer und stellt sicher, dass Declaree spezifisch eine Verbindung zu Ihrem Azure-Konto herstellt, wodurch Verwechslungen mit anderen Konten vermieden werden.
Um die Subdomäne Ihrer Organisation zu finden, melden Sie sich bei Declaree an und gehen zu "Konfiguration" → "Single Sign-On". Sie finden die Subdomäne unter dem Tab "Allgemeines". Wenn die Subdomäne besonders lang oder anderweitig unhandlich ist, können Sie sie ändern.
Sobald Sie mit der Subdomäne zufrieden sind, notieren Sie diese und fahren Sie mit dem nächsten Schritt fort, bei dem Sie die Subdomäne mit Azure verknüpfen.
6. Single Sign-On in Azure einrichten
Gehen Sie zurück zum Azure-Portal. Während Sie sich noch in Ihrer "Declaree"-Unternehmensanwendung befinden, klicken Sie im Menü auf der linken Seite der Seite auf "Einmaliges Anmelden". Sie sehen verschiedene Methoden für das einmalige Anmelden. Declaree verwendet "SAML".
Sie sehen nun die Einrichtungsseite für Einmaliges Anmelden mit SAML. Dieser Prozess ist in verschiedene Schritte unterteilt. Wir müssen nur einige davon anpassen.
Klicken Sie auf die Schaltfläche "Bearbeiten" bei Schritt 1.
Es erscheint wieder ein Dialogfeld auf der rechten Seite der Seite. Geben Sie die folgenden Daten ein (ersetzen Sie "yourcompany" durch die Subdomäne, die Sie im vorherigen Schritt eingerichtet haben) und klicken Sie auf "Speichern".
Sobald die Daten gespeichert sind, werden Sie gefragt, ob Sie die Konfiguration testen möchten. Da wir Single Sign-On noch auf Declaree-Seite konfigurieren müssen, wählen Sie "Nein, ich werde später test".
Nachdem alles in Azure eingerichtet ist, gehen wir zum letzten Schritt über und konfigurieren Declaree.
7. Single Sign-On in Declaree einrichten
Halten Sie das Azure-Portal offen und kehren Sie zu Declaree zurück. Gehen Sie zu "Konfiguration" → "Single Sign-On" und klicken Sie auf den Tab "SAML". Hier finden Sie eine Sammlung von Feldern, die wir ausfüllen müssen. Beginnen Sie mit dem Ankreuzen des Auswahlfelds "SAML 2.0 aktivieren".
Scrollen Sie im Azure-Portal zu Schritt 3. Dieser Block enthält unter anderem die "App-Verbundmetadaten-URL". Kopieren Sie die URL und fügen Sie sie in das Feld "Federation metadata URL" in Declaree ein. Klicken Sie auf die Schaltfläche zum Neuladen 
am rechten Ende des Feldes, und die Werte für die Felder "Aussteller ID", "IdP SSO login URL" und das Zertifikat werden automatisch abgerufen.
Wenn dies fehlschlägt, können Sie diese Daten manuell eingeben. Die untenstehende Tabelle beschreibt, welche Details Sie ausfüllen müssen:
Von Azure… | Nach Declaree… | Bemerkung |
|---|---|---|
Zertifikat (Base64) | Signatur-Zertifikate | Download von Azure, Upload nach Declaree. |
Anmelde-URL | IdP SSO login URL | |
Microsoft Entra-Bezeichner | Aussteller ID | |
Abmelde-URL | IdP SSO Logout URL | Klicken Sie in Declaree auf "Erweitert", um dieses Feld anzuzeigen |
Stellen Sie dann den richtigen Wert für das Feld "NameID-Format" in Declaree ein. In den meisten Fällen sollte dies "E-Mail" sein. Wenn Sie wissen, dass dies nicht korrekt ist (z.B. wenn Ihre Benutzer sich mit einem Benutzernamen anmelden), verwenden Sie die für Sie passende Option.
Klicken Sie abschließend auf die Schaltfläche "Speichern" unten auf der Seite. Wenn alles richtig eingerichtet ist, ist die Konfiguration jetzt abgeschlossen. Der letzte Schritt besteht darin, die Verbindung zu testen, um zu sehen, ob alles funktioniert.
8. Die Verbindung testen
Der letzte Schritt besteht darin, die Konfiguration zu testen. Es gibt zwei Möglichkeiten, dies zu tun:
Im Azure-Portal, scrollen Sie zu Schritt 5 und klicken Sie auf "Testen".
Gehen Sie zu yourcompany.declaree.com und melden Sie sich an.
Wenn alles korrekt eingerichtet ist, können Sie sich jetzt mit SSO anmelden.
Fehlerbehebung
Lösungen für häufige Probleme.
Angemeldeten Benutzer keiner Rolle zugewiesen
Der Benutzer erhält eine Nachricht wie diese:
AADSTS50105: Your administrator has configured the application Declaree ('XXX') to block users unless they are specifically granted ('assigned') access to the application. The signed in user 'XXX@XXX.XXX' is blocked because they are not a direct member of a group with access, nor had access directly assigned by an administrator. Please contact your administrator to assign access to this application.
Um dies zu lösen, fügen Sie den Benutzer zur Declaree-Anwendung hinzu. Siehe 4. Benutzer hinzufügen für Anweisungen.
Anwendung in Verzeichnis XXX nicht gefunden
Dieser Fehler bedeutet normalerweise, dass der Benutzer, der die Unternehmensanwendung erstellt hat, nicht als Besitzer festgelegt ist. Um einen Benutzer als Besitzer festzulegen, gehen Sie zum Azure-Portal, suchen Sie Ihre Declaree-App unter "Unternehmensanwendungen" (siehe Schritt 3) und öffnen Sie diese. Navigieren Sie dann zu "Benutzer" und klicken Sie auf die Schaltfläche "Hinzufügen", um den Benutzer/Besitzer hinzuzufügen.
401 - "Benutzer konnte nicht gefunden werden"
Wenn ein Benutzer diesen Fehler erhält, kann dies verschiedene Ursachen haben:
1. Der Benutzer existiert nicht in Declaree
Um dies zu lösen, erstellen Sie den Benutzer in Declaree.
2. Die Benutzerdaten in Declaree sind falsch
Wenn der Benutzer bereits ein Konto in Declaree hat, überprüfen Sie dessen Daten und korrigieren Sie eventuelle Tippfehler. Stellen Sie sicher, dass die E-Mail-Adresse in Declaree mit der E-Mail-Adresse in Azure übereinstimmt.
3. Falsche "NameID-Format" oder "Benutzername (uuid)" Daten in Declaree
Die Felder "NameID format" und "Benutzername (uuid)" in Declaree ("Konfiguration" → "Einmaliges Anmelden", Tab "SAML") werden verwendet, um die Anmeldedaten des Benutzers zuzuordnen. Wenn dies falsch konfiguriert ist, kann Declaree keinen Benutzer in Declaree mit seinem Konto in Azure abgleichen.