Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren von SSO mit Microsoft Azure als IdP

Dieser Abschnitt enthält Anweisungen zum Konfigurieren von SSO mit Microsoft Azure Active Directory als Identitätsanbieter (IdP).

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über ein Microsoft Azure-Konto mit Administratorzugriff verfügen.

Schritt 1: Konfigurieren von SSO-Einstellungen in CSO

Konfigurieren Sie den SSO-Server:

  1. Wählen Sie im globalen, OpCo- oder Mandantenbereich die Option Verwaltung > Authentifizierung aus.

    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie auf das Pluszeichen (+) im Abschnitt Single Sign-On-Server.

    Die Seite Single Sign-On-Server hinzufügen wird angezeigt.

  3. Geben Sie die Informationen für die folgenden Felder ein:

    • SSO-Servername: Geben Sie den Namen des SSO-Servers an. Sie können eine Zeichenfolge aus alphanumerischen Zeichen, Sonderzeichen wie dem Unterstrich (_) oder dem Punkt (.) und Leerzeichen verwenden. Die maximale Länge beträgt 40 Zeichen.

    • Beschreibung: Fügen Sie eine Beschreibung für den SSO-Server hinzu

    • Metadaten-URL: Sie müssen diese URL von Microsoft Azure abrufen. Sie können die SSO-Servereinstellungen später bearbeiten, um diese URL hinzuzufügen.

    • Benutzeridentifikation: Wählen Sie das SAML-Attribut aus, und geben Sie das Attribut als E-Mail ein.

  4. Klicken Sie auf OK, um die Änderungen zu speichern. Der SSO-Server wird auf der Seite Authentifizierung im Abschnitt Server für einmaliges Anmelden aufgeführt.
  5. Wählen Sie den SSO-Server aus und klicken Sie auf SAML-Einstellungen anzeigen. Verwenden Sie diese Einstellungen, um den IdP zu konfigurieren.

Schritt 2: Konfigurieren von Microsoft Azure als Identitätsanbieter

  1. Melden Sie sich beim Microsoft Azure-Portal als Administrator an.
  2. Wählen Sie im Menü auf der linken Seite Unternehmensanwendungen aus.
  3. Klicken Sie auf + Neue Anwendung > + Eigene Anwendung erstellen .
  4. Geben Sie den Anwendungsnamen für CSO ein, und klicken Sie auf Erstellen. Die neue Anwendung wird auf der Seite Alle Anwendungen aufgeführt. Sie können entweder denselben SSO-Servernamen verwenden, den Sie in CSO konfiguriert haben, oder einen anderen Namen.
  5. Klicken Sie auf den Namen der Anwendung. Die Seite "Übersicht" wird angezeigt.
  6. Klicken Sie auf den Link in der Option Benutzer und Gruppen zuweisen. Die Seite Benutzer und Gruppen wird angezeigt.
  7. Klicken Sie auf Benutzer/Gruppe hinzufügen. Die Seite "Zuweisung hinzufügen" wird angezeigt.
  8. Klicken Sie auf Keine ausgewählt. Wählen Sie die Benutzer und Gruppen aus der Liste Benutzer und Gruppen aus, und klicken Sie auf Auswählen.
  9. Klicken Sie auf Zuweisen.
  10. Klicken Sie auf der Seite Übersicht auf den Link Erste Schritte unter der Option Einmaliges Anmelden einrichten. Die SAML-basierte Anmeldeseite wird angezeigt.

    1. Klicken Sie auf Bearbeiten und geben Sie die SAML-Einstellungen von CSO im Abschnitt Grundlegende SAML-Konfiguration ein.

      Feldbeschreibung
      Kennung (Entitäts-ID) Geben Sie den Wert Zielgruppen-URI (SP-Entitäts-ID) ein.

      Beispiel: https://<CSO_hostname> oder <CSO_FQDN>/Shibboleth

      Antwort-URL (Assertion-Consumer-Service-URL) Geben Sie den Wert für die URL für einmaliges Anmelden ein.

      Beispiel: https://<CSO_hostname> oder <CSO_FQDN>/sso/<sso_server_name>/SAML2/POST
      Anmelde-URL Geben Sie den Wert für die URL für einmaliges Anmelden ein.

      Beispiel: https://<CSO_hostname> oder <CSO_FQDN>/sso/<sso_server_name>/SAML2/POST
      Relais-Status Geben Sie den Wert für die URL für einmaliges Anmelden ein.

      Beispiel: https://<CSO_hostname> oder <CSO_FQDN>/sso/<sso_server_name>/SAML2/POST
      Abmelde-URL Geben Sie den Wert für die URL für die einzelne Abmeldung ein.

      Beispiel: https://<CSO_hostname> oder <CSO_FQDN>/Splogout

    2. Bearbeiten Sie den Abschnitt Benutzerattribute und Ansprüche. Dies sind Parameter, die die Zugriffssteuerungsgruppen definieren, die CSO zugeordnet werden sollen. Die Zugriffssteuerungsgruppen sind CSO-Rollen zugeordnet.

      Um ein neues Attribut hinzuzufügen, klicken Sie auf +Neuen Anspruch hinzufügen:

      1. Geben Sie den Attributnamen als email und den Wert als ein user.email. Der Attributname muss mit dem SAML-Attribut identisch sein, das in Schritt 1: Konfigurieren von SSO-Einstellungen in CSO konfiguriert wurde.

        Lassen Sie das Feld Namespace leer.

      2. Wählen Sie Attribut als Quelle aus.

      3. Wählen Sie das Quellatribut aus der Dropdown-Liste aus.

      4. Klicken Sie auf Speichern.

    Wenn Sie den SSO-Server nur für die Authentifizierung konfiguriert haben, legen Sie nur das E-Mail-Attribut (user.mail) fest

    Wenn Sie den SSO-Server sowohl für die Authentifizierung als auch für die Autorisierung konfiguriert haben, müssen Sie zusätzlich zum E-Mail-Attribut (name=role; quellattribut=tadmin) ein Rollenattribut erstellen.

    Wenn Sie die OSS_Tenant_ID für den Mandanten konfiguriert haben, erstellen Sie ein Mandantattribut (Name=Mandant; Quelladress=Mandanten-ID).

  11. Kopieren Sie den Wert für die Metadaten-URL des App-Verbunds im Abschnitt SAML-Signaturzertifikat. Sie müssen diesen Wert in den SSO-Servereinstellungen in CSO eingeben.

Schritt 3: Aktualisieren der CSO-SSO-Serverkonfiguration

Bearbeiten Sie auf der Seite Authentifizierung des CSO-Portals die SSO-Servereinstellungen, um die Metadaten-URL für den App-Verbund (Wert aus dem Microsoft Azure-Portal) hinzuzufügen.

Schritt 4: Testen der SSO-Konfiguration

Bevor Sie mit dem Testen der SSO-Konfiguration fortfahren, stellen Sie sicher, dass die Benutzerkonten (E-Mail-Adresse, die im Microsoft Azure-Konto verwendet wird) hinzugefügt wurden. Sie können die Benutzerkonten auf der Seite Verwaltung > Benutzer anzeigen.

Auf der Seite Authentifizierung im CSO-Portal. Wählen Sie den SSO-Server aus und klicken Sie auf Anmeldung testen. Die Microsoft Azure-Anmeldeseite wird angezeigt.