Verwendung von SSO mit Microsoft Azure Active Directory/Entra ID

Dieser Artikel zeigt Ihnen, wie Sie Ihre Benutzer auf Microsoft Azure Entra ID (früher bekannt als Active Directory) über SSO mit unserer Plattform verbinden können. Diese Funktion ist nur für Enterprise Kunden verfügbar. 

Dieser Artikel behandelt die SSO-Integration mit unserer Plattform anhand eines Beispiels mit Microsoft Azure Entra ID/Active Directory.

• Wenn Sie Keycloak verwenden, lesen Sie unseren SSO Beitrag für Keycloak.
• Wenn Sie Okta verwenden, lesen Sie unseren SSO Beitrag für Okta

Dieser Beitrag enthält technische Details für IAM-Admins oder Ihre IT-Abteilung, die Microsoft Azure Entra ID (Active Directory) verwalten. Bitte wenden Sie sich an einen IT-Experten auf Ihrer Seite, der Ihnen bei der Einrichtung der SSO-Verbindung hilft. Bitte stellen Sie sicher, dass die Person, die die Konfiguration auf Microsoft Azure vornimmt, über die erforderlichen Administratorrechte verfügt (insbesondere Attribute Definition Administrator, Attribute Assignment Administrator).

SSO steht für Single Sign-On. Es handelt sich um einen Authentifizierungsprozess, der es einem Benutzer ermöglicht, auf mehrere Dienste, wie unsere QR Code-Plattform, mit nur einem Satz von Anmeldedaten (wie Benutzername und Passwort) zuzugreifen. Mit SSO müssen sich die Benutzer nicht für jede Anwendung, die sie nutzen, ein anderes Passwort merken, was den Anmeldeprozess vereinfacht und die Sicherheit erhöht, da weniger Anmeldedaten erforderlich sind. Nach der Authentifizierung kann der Benutzer zwischen verschiedenen Anwendungen oder Diensten navigieren, ohne sich erneut anmelden zu müssen.

Um Ihr Microsoft Azure Active Directory/Entra ID mit unserer White Label Platform zu integrieren, verwenden wir SAML 2.0 (Security Assertion Markup Language), um Informationen zwischen Ihrem System und unserem System auszutauschen.

Ihr Unternehmen fungiert als Identity Provider (IDP), der uns Benutzerdaten zur Verfügung stellt. Unsere White-Label-Plattform fungiert als Service Provider (SP), der die Benutzerdaten entgegennimmt und den Benutzern Zugang zu unserem System gewährt.

Grundlegende Informationen über Ihren IDP und unseren SP werden über sogenannte Descriptor URLs ausgetauscht - in Entra ID/Active Directory heißen sie App Federation Metadata Url.

Hinter diesen URLs verbergen sich Dateien, die den IDP (Entra ID/Active Directory) oder SP mit Details beschreiben, die die andere Seite automatisch verarbeiten kann und die bei der Konfiguration helfen.

Die Benutzerinformationen werden über eine SAML 2.0 Nachricht versendet. In dieser Nachricht sind die Daten in Attributen kodiert. Beim Versenden der Informationen aus Ihrem Active Directory/Entra ID bildet ein Outbound Mapper Ihre internen IDP-Felder wie Vorname, Nachname, E-Mail usw. auf SAML 2.0-Attribute ab.

Wenn wir Ihre SAML 2.0-Nachricht erhalten, wandelt unser Inbound Mapper die SAML 2.0-Attribute zurück in unser internes Format und wir melden den Benutzer bei unserer Plattform an.

Um Ihre Active Directory/Entra ID einzurichten, müssen Sie 2 Teilschritte durchführen. Erstens, Erstellen einer Enterprise Application und zweitens Konfigurieren des Single Sign-On dieser Unternehmensanwendung.

Um unsere White Label Plattform mit Ihrem Active Directory/Entra ID zu verbinden, müssen Sie eine sogenannte Enterprise Application (Unternehmensanwendung) erstellen. Diese Enterprise Application ist eine Darstellung unserer White Label Plattform in Ihrem Microsoft Azure Account.

Stellen Sie zunächst sicher, dass Sie in Ihrem Microsoft Azure Account angemeldet sind. Das Microsoft Azure Portal erreichen Sie über portal.azure.com.

Als nächstes öffnen Sie den Entra ID Service. Sie können den Dienst mit einer Suche in der Suchleiste finden, indem Sie "Microsoft Entra ID" eingeben.

Klicken Sie im Microsoft Entra ID-Dienst auf das Menü Unternehmensanwendungen (Enterprise Applications) im Bereich Verwalten (Manage) (auf der linken Seite).

Um eine neue Unternehmensanwendung zu erstellen, klicken Sie auf Neue Anwendung (New Application).

Klicken Sie auf Eigene Anwendung erstellen (Create your own application).

Geben Sie einen Namen (in unserem Beispiel verwenden wir QR Code Platform) für die Anwendung ein und wählen Sie Option 3 (Nicht-Galerie). Dann klicken Sie auf Erstellen.

Nun ist es an der Zeit, die Single Sign-On-Funktionalität der soeben erstellten Unternehmensanwendung zu konfigurieren.

Klicken Sie dazu auf das Menü Einmaliges Anmelden (Single Sign-On) im Bereich Verwalten (Manage) auf der linken Seite.

Unter SSO-Methode auswählen klicken Sie auf SAML.

Kopieren Sie nun die App-Verbundmetadaten-URL (App Federation Metadata Url) und fügen Sie sie in Notepad (Windows) oder TextEdit (Mac) ein - wir werden sie später für unseren Service Provider benötigen.

Die App Federation Metadata Url ist die Descriptor URL Ihres Microsoft Active Directory/Entra ID Identity Providers.

Nun ist es an der Zeit, unsere Service Provider Konfiguration im White Label Portal einzurichten.

Gehen Sie zu unserer Website und melden Sie sich bei Ihrem White Label Account an. Sobald Sie eingeloggt sind, gehen Sie zu Ihren Kontoeinstellungen und wählen Sie die Registerkarte SSO.

Wenn Sie sich mit einem Benutzer aus Ihrem Unternehmen auf unserer Plattform anmelden, können Sie wählen, wie dieser Benutzer auf die Plattform zugreifen kann. Es sind 2 verschiedene Szenarien möglich:

• Benutzer meldet sich als White-Label-Benutzer 1:1 an
• Benutzer kann sich unter verschiedenen White-Label-Benutzern 1:n anmelden

Um mit der Einrichtung der SSO-Verbindung fortzufahren, müssen Sie zunächst einen SSO-Typ auswählen.

Damit Sie die Konzepte so schnell wie möglich verstehen, verwenden wir in diesem Artikel ein Beispiel. Gehen wir von folgenden Annahmen aus:

• Die Benutzer Adam, Eve und Steve arbeiten in Ihrem Unternehmen und benötigen Zugriff auf die White Label Platform.
• Sie verwenden Microsoft Azure Active Directory/Entra ID als Identity Provider (IDP) in Ihrem Unternehmen. Wenn Sie kein Active Directory/Entra ID, sondern einen anderen IDP haben, brauchen Sie sich keine Sorgen zu machen. Sie können unseren allgemeinen SSO-Beitrag lesen.
  

Achtung: Im Falle von 1:1 fällt eine monatliche Gebühr für jeden Nutzer an.

Wählen Sie Benutzer, wenn Sie möchten, dass ein Benutzer in Ihrem Identity Provider (="IDP-Benutzer") genau einem (1:1) individuellen White Label-Benutzer zugeordnet wird.

Wenn sich ein IDP-Benutzer zum ersten Mal anmeldet, wird der entsprechende White Label-Benutzer erstellt. Im obigen Beispiel wird der IDP-Benutzer Adam als White-Label-Benutzer Adam erstellt, wenn er sich zum ersten Mal anmeldet.

Nehmen wir in diesem Szenario als Beispiel an, dass die White-Label-Plattform einen Benutzer für die Marketing-Abteilung und einen Benutzer für die CustomerService-Abteilung hat.

Wählen Sie Subaccount, wenn Sie möchten, dass ein Benutzer in Ihrem Identity Provider (="IDP-Benutzer") einem oder mehreren (1:n) White Label-Benutzern zugeordnet wird.

Im obigen Beispiel können die IDP-Benutzer Adam und Eve die White Label-Benutzer Marketing und CustomerService verwenden. Der IDP-Benutzer Steve kann nur den White Label-Benutzer CustomerService verwenden.

Bevor sie über SSO verwendet werden können, stellen Sie sicher, dass diese beiden Benutzer in der White Label Platform erstellt werden, indem Sie sie über das Menü Benutzer (User) auf der linken Seite und dann Benutzer anlegen (Create User) erstellen.

Nach der Erstellung sollte die Benutzerliste wie folgt aussehen:

Inspiration: Die White-Label-Benutzer müssen sich nicht auf eine Abteilung wie Marketing oder Kundendienst beziehen. Wir verwenden dies hier nur als Beispiel. Es ist auch durchaus üblich, dass es für jedes

• Land (Österreich, Spanien, Italien, Brasilien, etc.) und/oder
• Marke (MarkeA, MarkeB, MarkeC, etc.) und/oder
• Produktlinie (Schuhe, Hemden, Jacken, etc.)

Der Anwendungsfall kann für jedes Unternehmen anders sein. Überlegen Sie also einfach, wie es für Ihr Unternehmen am sinnvollsten wäre.

• Ein IDP-User agiert dann wie ein Teamleader und kann wählen, unter welchem White-Label-User er sich anmelden möchte. So können Adam und Eve wählen, ob sie sich als White Label User Marketing oder CustomerService anmelden wollen.
  

Nachdem Sie den SSO Typ ausgewählt haben, müssen Sie die SSO IDP Descriptor URL Ihres Active Directory/Entra ID Identity Providers eingeben. Diese wird benötigt, damit wir grundlegende Informationen darüber erhalten, wie Sie Ihre Benutzer mit SAML 2.0 verbinden und authentifizieren können.

Dazu müssen Sie nur die App-Verbundmetadaten-URL (App Federation Metadata Url), die Sie zuvor gespeichert haben, in das Feld kopieren.

Nach der Eingabe der SSO IDP Descriptor URL werden die Service-URLs aus der Descriptor URL extrahiert und die Felder für die SSO Signon Service URL und die SSO Logout Service URL werden vorausgefüllt.

Wenn keine URLs angezeigt werden, geben Sie diese bitte manuell ein. Die SSO Logout Service URL ist optional. Ist die URL gesetzt, wird der Nutzer beim Abmelden von der QR Code Plattform zu dieser URL weitergeleitet. Er kann sich dann optional auch von seinem IDP abmelden.

Klicken Sie auf die Schaltfläche Verbinden am unteren Rand, um die Verbindung zu Ihrem Active Directory/Entra ID zu initialisieren.

Sie bekommen dann die Service Provider Descriptor URL angezeigt. Kopieren Sie diese URL und fügen Sie sie in den Browser ein. Laden Sie die Konfiguration in eine Datei herunter. Vergessen Sie nicht, wo Sie die Datei speichern - wir brauchen sie gleich für Ihre Active Directory/Entra ID, um sie dort hochzuladen.

Alternativ können Sie auch die Schaltfläche Download Descriptor XML verwenden, um den Konfigurationsinhalt herunterzuladen.

Wechseln Sie nun zurück zur Unternehmensanwendung (Enterprise Application), die Sie gerade erstellt haben (QR Code Plaform) und gehen Sie in den Einmaliges Anmelden (Single sign-on) Abschnitt, wo Sie zuvor die App-Verbundmetadaten-URL (App Federation Metadata Url) kopiert haben.

Im oberen Teil der Seite finden Sie eine Schaltfläche Metadatendatei hochladen (Upload metadata file). Klicken Sie darauf und wählen Sie die gerade heruntergeladene Datei aus.

Nun sehen Sie die extrahierten Daten auf dem Bildschirm. Klicken Sie auf Speichern (Save).

Wie bereits erwähnt, werden die Benutzerinformationen über eine SAML 2.0 Nachricht von Ihrem Active Directory/Entra ID (IDP) an unsere White Label Plattform (SP) gesendet. In dieser Nachricht werden die Daten in Attributen kodiert. Beim Senden der Informationen von Ihrem Active Directory/Entra ID mappt ein Outbound Mapper Ihre internen IDP-Felder, wie Vorname, Nachname, E-Mail, etc. auf SAML 2.0 Attribute.

Wenn wir Ihre SAML 2.0 Nachricht erhalten, transformiert unser Inbound Mapper die SAML 2.0 Attribute zurück in unser internes Format und wir melden den Benutzer auf unserer Plattform an.

Wir werfen nun einen Blick auf den Outbound Mapper. Klicken Sie auf den Button Bearbeiten neben 2 Attribute & Ansprüche (Attributes & Claims).

Klicken Sie auf einen Anspruch (Attribut), um den Namen zu sehen, unter dem er übertragen wird.

Auf dem Detailbildschirm können Sie den Attributnamen sehen, unter dem die E-Mail-Adresse in der SAML 2.0-Nachricht übertragen wird.

Wir benötigen diese Informationen später, um die Konfiguration in unserem Inbound Mapper auf unserem White Label Platform Service Provider abzuschließen.

Der Attributname ist eine Kombination aus Namespace und Name im Format <Namespace>/<Name>.

Für die E-Mail-Adresse bekommen wir also http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Schreiben Sie die Attributnamen für die Felder Vorname, Nachname, E-Mail-Adresse, usw., auf.

Als nächstes werden wir eine Zuordnung für Rollen hinzufügen. Klicken Sie auf die Schaltfläche Neuen Anspruch hinzufügen (Add new claim).

Geben Sie dem Anspruch (Attribut) den Namen Role und wählen Sie das Quellattribut user.assignedroles. Klicken Sie auf Speichern (Save).

Jetzt haben wir alles, was wir für die Attribute und Ansprüche brauchen. Ihr Bildschirm sollte in etwa so aussehen.

Bevor Sie mit dem nächsten Schritt fortfahren, stellen Sie sicher, dass Sie alle Attributnamen notiert haben - wir brauchen sie jetzt für die Konfiguration des Inbound Mappers.

Es ist an der Zeit, die Konfiguration der White Label Plattform (Service Provider) abzuschließen. Wechseln Sie zurück zu den Konto > SSO-Einstellungen.

Dann geben Sie die Attributnamen ein, die Sie zuvor für Vorname, Nachname, E-Mail-Adresse usw. notiert haben. Klicken Sie auf die Schaltfläche Verbinden, um die Änderungen zu speichern.

Ihr Bildschirm sollte in etwa so aussehen.

Wenn Sie den Subaccount (1:n)-Ansatz bei der Erstellung von Benutzern auf der White Label Platform verwenden möchten (wie zuvor besprochen) oder Sie SSO für Administratoren und Manager verwenden möchten, müssen Sie App-Rollen dafür konfigurieren.

Klicken Sie im Hauptbildschirm Ihres Microsoft Entra ID Dienstes auf App-Registrierungen (App registrations), wählen Sie den Reiter Alle Anwendungen (All applications) und klicken Sie in der Liste auf die zuvor erstellte Enterprise App (QR Code Platform).

Wenn Sie den SSO-Typ Subaccount (1:n) gewählt haben, müssen Sie angeben, welcher IDP-Benutzer auf welchen White Label-Benutzer Zugriff haben soll.

Zu diesem Zweck muss für jeden White Label User eine zusätzliche Rolle in Active Directory/Entra ID angelegt werden. Der Name der Rolle muss mit dem Namen des White Label-Benutzers identisch sein.

Auf dem Bildschirm App-Rollen (App roles) klicken Sie auf App-Rolle erstellen (Create app role).

Als Nächstes geben Sie den Anzeigenamen (Display name), Wert (Value) und Beschreibung (Description) ein. Achten Sie darauf, dass die Werte mit dem Whitelabel Username übereinstimmen.

In unserem Beispiel müssen wir Marketing und CustomerService erstellen.

Standardmäßig kann sich Ihr Admin-Benutzer direkt über Benutzername und Passwort bei unserer Whitelabel-Plattform anmelden. Es ist jedoch auch möglich, SSO zu verwenden, um sich als Admin oder Manager anzumelden.

Für diesen Fall gibt es 2 spezielle Rollen: whitelabel_admin und whitelabel_manager.

In unserem Beispiel haben wir 2 Benutzer in der Organisation, die ein Admin/Manager sind. Benutzer John sollte ein Admin im Whitelabel-Portal sein, benötigt also die Rolle whitelabel_admin, Benutzer Monica sollte ein Manager sein, benötigt also die Rolle whitelabel_manager.

Zu diesem Zweck müssen wir zwei zusätzliche Rollen mit den Namen whitelabel_admin und whitelabel_manager in Active Directory/Entra ID erstellen. Die Namen der Rollen müssen genau so lauten.

Als Nächstes geben Sie den Anzeigenamen (Display name), Wert (Value) und Beschreibung (Descripton) ein. Achten Sie darauf, dass die Werte genau mit whitelabel_admin und whitelabel_manager übereinstimmen.

Nachdem wir alles konfiguriert haben, ist es an der Zeit, die Benutzer der Enterprise App in Active Directory/Entra ID hinzuzufügen, damit sie auf die White Label Plattform zugreifen können.

Es gibt verschiedene Möglichkeiten, dies zu tun:

• 1) wenn Sie SSO-Typ "1:1" gewählt haben:

• 1a) bestimmte Benutzer hinzufügen und nur die Rolle User zuordnen
  
• 1b) Gruppen von Benutzern hinzufügen und nur die Rolle User zuordnen
• 1c) bestimmte Benutzer oder Gruppen hinzufügen und eine Admin-Rolle zuweisen (whitelabel_admin, whitelabel_manager) - wenn Sie Administratoren sich über SSO anmelden lassen wollen
• 2) wenn Sie SSO-Typ "1:n":

• 2a) fügen Sie bestimmte Benutzer hinzu und weisen Sie ihnen bestimmte App-Rollen zu wie Marketing oder CustomerService
• 2b) fügen Sie Gruppen von Benutzern hinzu und weisen Sie jeder Gruppe eine Rolle zu und weisen Sie ihnen bestimmte App-Rollen zu wie Marketing oder Kundenservice
• 2c) fügen Sie bestimmte Benutzer oder Gruppen hinzu und weisen Sie ihnen eine Admin-Rolle zu (whitelabel_admin, whitelabel_manager) - wenn Sie Administratoren sich über SSO anmelden lassen wollen

Schauen wir uns an, wie man Benutzer und Gruppen zu Rollen zuweist. Bevor wir fortfahren, stellen Sie sicher, dass Sie die notwendigen App-Rollen erstellt haben (siehe vorheriges Kapitel).

In der Unternehmensanwendung (Enterprise Application) (QR Code Plattform) klicken Sie auf das Menü Benutzer und Gruppen (Users and groups) (links) und dann auf die Schaltfläche Benutzer/Gruppe (Add user/group) hinzufügen.

Dann erscheint der Bildschirm Zuweisung hinzufügen (Add assignment). Je nachdem, welches Szenario Sie verfolgen möchten, wählen Sie eine der folgenden Optionen:

1a) fügen Sie spezifische Benutzer hinzu und weisen Sie einfach die Rolle User zu.

Z.B. Benutzer Adam soll mit seinem individuellen Benutzer

1b) Fügen Sie Benutzergruppen hinzu und weisen Sie einfach die Rolle User

Z.B. sollen alle Mitarbeiter aus der Marketing- und Sales-Abteilung mit ihrem einzelnen Benutzer auf die White Label Plattform zugreifen.

1c) Hinzufügen von bestimmten Benutzern oder Gruppen und Zuweisen einer Admin-Rolle (whitelabel_admin, whitelabel_manager)

z.B. Benutzer John ist ein White Label Admin.

Z.B. Benutzer Monica ist ein White Label Manager.

2a) fügen Sie spezifische Benutzer hinzu und weisen Sie ihnen bestimmte App-Rollen wie Marketing oder CustomerService zu

z.B. Benutzer Adam sollte auf den White Label User Marketing

2b) Hinzufügen von Nutzergruppen und Zuweisen von Rollen zu jeder Gruppe und Zuweisen von spezifischen App-Rollen wie Marketing oder CustomerService

Z.B. sollen alle Mitarbeiter der Marketingabteilung mit dem White Label User Marketing auf die White Label Plattform zugreifen.

2c) Hinzufügen von bestimmten Benutzern oder Gruppen und Zuweisen einer Admin-Rolle (whitelabel_admin, whitelabel_manager)

z.B. Benutzer John ist ein White Label Admin.

In diesem Abschnitt sehen Sie, wie das White-Label-Konto nach der ersten Anmeldung der Benutzer für die 2 verschiedenen SSO-Typen aussieht.

Wenn sich ein IDP-Benutzer zum ersten Mal über SSO anmeldet, wird ein White Label-Benutzer mit demselben Namen erstellt. Im folgenden Beispiel sehen Sie die 3 IDP-Benutzer Adam, Eve und Steve, die als White Label-Benutzer im Bereich Benutzer (Users) erstellt wurden.

Wenn sich ein IDP-Benutzer zum ersten Mal auf unserer Plattform anmeldet, wird ein Subaccount mit der Rolle SSO erstellt und die passenden White Label-Benutzer werden diesem Subaccount zugewiesen. Sie können die Unterkonten im Bereich Konto (Account) unter der Registerkarte Subaccounts sehen.

Der folgende Screenshot zeigt den IDP-Benutzer Adam, der den White-Label-Benutzern Marketing und CustomerService zugewiesen ist.

Um die SAML 2.0 Kommunikation zwischen Ihrem Identity Provider (IDP) und unserem Service Provider (SP) zu debuggen, können Sie das Browser Plugin SAML-tracer installieren.

• Firefox
• Chrome
  

Nachdem Sie das SAML-Tracer-Popup geöffnet haben...

1. Beginnen Sie mit einem SSO-Anmeldeprozess
2. Sie werden sehen, dass sich die Liste oben im Popup mit HTTP-Anfragen füllt.
3. Klicken Sie auf die Anfrage, die als SAML-Anfrage in oranger Farbe markiert ist.
4. Wählen Sie die Registerkarte Zusammenfassung (oder SAML für alle Details im XML-Format). Sie können überprüfen, ob die Daten (z.B. Rolle) korrekt übertragen wurden. In diesem Fall wurde die Rolle whitelabel_admin übertragen. Das ist genau das, was wir brauchen, damit sich dieser Benutzer als Whitelabel-Portal-Admin anmelden kann.