Azure Active Directory als Identitätsprovider konfigurieren

Online bearbeiten

IBM® VerifyUm Microsoft™ Azure Active Directory zur Verwaltung der Benutzer-IDs und Passwörter zu nutzen, die über das föderierte Single Sign-On auf Anwendungen zugreifen, müssen Sie diese als Identitätsanbieter konfigurieren.

Vorbereitende Schritte

Sie müssen über einen Azure Active Directory-Account mit Verwaltungszugriff verfügen.

Vorgehensweise

  1. Melden Sie sich beim Azure AD-Portal als Administrator an.
    https://portal.azure.com/
  2. Klicken Sie im linken Navigationsbereich auf „ Azure “ und dann auf „ Active Directory “.
    Das Bild zeigt den Navigationsbereich des AD-Portals „ Azure “.
  3. Klicken Sie auf „Unternehmensanwendungen “.
    Das Bild zeigt den Navigationsbereich von „ Azure “ Active Directory.
  4. Klicken Sie auf der Seite „Unternehmensanwendungen“ auf „Neue Anwendung “.
    Das Bild zeigt die Auswahlmöglichkeiten auf der Seite „Enterprise-Anwendungen“.
  5. Klicken Sie auf „Alle“ > „Anwendung außerhalb der Galerie “.
    Das Bild zeigt die neuen Anwendungsmöglichkeiten.
  6. Geben Sie einen Namen für die Anwendung ein und klicken Sie auf „Hinzufügen “.
    Beispiel:
    Das Bild zeigt das Feld „Name“.
    Die Erstellung der Anwendung kann einige Minuten in Anspruch nehmen. Nach der Erstellung wird eine Verwaltungsseite angezeigt.
  7. Klicken Sie auf „Eigenschaften“ und wählen Sie dann bei „Benutzerzuordnung erforderlich“ die Option „Ja“ aus.
    Das Bild zeigt das Feld „Name“.
  8. Klicken Sie auf „Speichern “.
  9. Klicken Sie in der Navigationsleiste „Verwalten“ auf „Benutzer und Gruppen “.
    Ordnen Sie die Benutzer und Gruppen zu, die für diese Anwendung berechtigt werden sollen.
    1. Klicken Sie auf „Benutzer und Gruppen “ > „Benutzer hinzufügen “ > „Keine Auswahl “.
    2. Wählen Sie die Benutzer und Gruppen aus, die berechtigt werden sollen.
    3. Klicken Sie auf „Zuweisen “.
    1. Klicken Sie auf „Speichern “.
  10. Klicken Sie auf „Single Sign-On “.
    1. Wählen Sie im Menü „Single-Sign-On-Modus“ die Option „ SAML -basierte Anmeldung“ aus.
    2. IBM VerifyHier finden Sie Informationen zum „ SAML “ ( EntityID ) und zum „Assertion Consumer Service“ ( URL ).
      1. Melden Sie sich bei IBM Verify an.
      2. Klicken Sie auf „Konfiguration“ > „Identitätsquellen “ > „Identitätsquelle hinzufügen “.
        Das Bild zeigt den Schritt bei der Erstellung einer Identitätsquelle in „ IBM Verify “, in dem die Entitäts-ID und die „Assertion Consumer Service“- URL en abgerufen werden.
      3. Kehren Sie zu Azure Active Directory zurück.
    3. Geben Sie die folgenden Einstellungen an.
      ID
      IBM VerifyGeben Sie die Adresse SAML EntityID an.
      Antwort-URL
      Geben Sie die Assertion-Consumer-Service- URL von IBM Verify. an.
      Beispiel:
      Das Bild zeigt die Felder „Identifier“ und „Reply- URL “.
    4. Wählen Sie im Abschnitt „Benutzerattribute“ aus dem Menü „Benutzerkennung“ das Attribut aus, das als Betreff der E-Mail „ SAML “ gesendet werden soll.
      Wählen Sie beispielsweise „ user.userprincipalname “ aus.
      Das Bild zeigt das Feld „Benutzer-ID“.
    5. Aktivieren Sie das Kontrollkästchen „Alle anderen Benutzerattribute anzeigen und bearbeiten“, um die im Token „ SAML “ an die Anwendung übermittelten Ansprüche anzuzeigen oder zu bearbeiten.
      Die Abbildung zeigt die Attribute des Tokens „ SAML “.
    6. Wählen Sie "Neues Zertifikat erstellen" aus.
      Das Bild zeigt die Optionen zur Zertifikatsverwaltung, wobei die Option „Neues Zertifikat erstellen“ hervorgehoben ist.
    7. Klicken Sie auf „Speichern“ > „OK“, um ein neues Zertifikat zu erstellen.
      Das Bild zeigt die Optionen zur Zertifikatsverwaltung, wobei die Option „Neues Zertifikat erstellen“ hervorgehoben ist.
    8. Aktivieren Sie das Kontrollkästchen „Neues Zertifikat aktivieren “.
    9. Klicken Sie in der Spalte „DOWNLOAD“ des Abschnitts „ SAML -Signaturzertifikat“ auf „Metadaten-XML“, um die Metadaten des Identitätsanbieters herunterzuladen, die auf der Seite des Dienstanbieters importiert werden sollen (Verify).
      Das Bild zeigt die Optionen zur Zertifikatsverwaltung, wobei „Metadata XML“ hervorgehoben ist.
    10. Aktivieren Sie das Kontrollkästchen „Erweiterte Einstellungen für die Zertifikatssignierung anzeigen“ und nehmen Sie die folgenden Einstellungen vor.
      Signaturoption
      Wählen Sie die Option, die Ihre Anforderungen erfüllt, aus der Dropdown-Liste aus.
      Signaturalgorithmus
      Wählen Sie SHA-256 oder SHA-1 aus der Dropdown-Liste aus.
      Das Bild zeigt die Optionen zur Zertifikatsverwaltung.
    11. Optional: Ändern Sie den Wert für die Benachrichtigungs-E-Mail.
    12. Klicken Sie auf „Speichern “.