Tutorial: Integration des einmaligen Anmeldens (Single Sign-On, SSO) von Microsoft Entra mit Cloud Academy
In diesem Tutorial erfahren Sie, wie Sie Cloud Academy in Microsoft Entra ID integrieren. Die Integration von Cloud Academy mit Microsoft Entra ID ermöglicht Folgendes:
- Steuern Sie mithilfe von Microsoft Entra ID, wer auf Cloud Academy zugreifen kann.
- Ermöglichen Sie es Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei Cloud Academy anzumelden.
- Verwalten Sie Ihre Konten zentral im Azure-Portal.
Voraussetzungen
Für die ersten Schritte benötigen Sie Folgendes:
- Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
- Ein Abonnement für Cloud Academy, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist
Beschreibung des Tutorials
In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.
- Cloud Academy unterstützt SP-initiiertes einmaliges Anmelden.
- Cloud Academy unterstützt die Just-In-Time-Benutzerbereitstellung.
- Cloud Academy unterstützt die automatische Benutzerbereitstellung.
Hinzufügen von Cloud Academy aus dem Katalog
Zum Konfigurieren der Integration von Cloud Academy in Microsoft Entra ID müssen Sie Cloud Academy aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzufügen:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
- Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Cloud Academy in das Suchfeld ein.
- Wählen Sie im Ergebnisbereich Cloud Academy aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.
Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für Cloud Academy
Sie konfigurieren und testen das einmalige Anmelden von Microsoft Entra mit Cloud Academy mithilfe eines Testbenutzers mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Cloud Academy eingerichtet werden.
Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit Cloud Academy diese allgemeinen Schritte aus:
- Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra, um Ihren Benutzer*innen die Verwendung des Features zu ermöglichen.
- Erstellen von Microsoft Entra-Testbenutzer*in, um das einmalige Anmelden von Microsoft Entra zu testen.
- Gewähren der Zugriffsberechtigungen für den Testbenutzer, um dem Benutzer die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
- Konfigurieren des einmaligen Anmeldens für Cloud Academy auf der Anwendungsseite
- Erstellen eines Testbenutzers für Cloud Academy als Pendant zur Microsoft Entra-Darstellung des Benutzers.
- Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert.
Konfigurieren des einmaligen Anmeldens für Microsoft Entra
Gehen Sie wie folgt vor, um Microsoft Entra SSO über das Azure-Portal zu aktivieren:
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie über Identität>Anwendungen>Unternehmensanwendungen>Cloud Academy zur Anwendungsintegrationsseite, und wählen Sie dort im Abschnitt Verwalten die Option Einmaliges Anmelden aus.
Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.
Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten das Stiftsymbol für Grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten:
Aktualisieren Sie im Abschnitt Grundlegende SAML-Konfiguration das Textfeld Bezeichner, geben Sie die folgenden URLs ein, und fahren Sie fort:
Bezeichner urn:federation:cloudacademy
Aktualisieren Sie im Abschnitt Grundlegende SAML-Konfiguration das Textfeld Antwort-URL, geben Sie eine der folgenden URLs ein, und fahren Sie fort:
Antwort-URL https://cloudacademy.com/labs/social/complete/saml/
https://app.qa.com/labs/social/complete/saml/
Aktualisieren Sie im Abschnitt Grundlegende SAML-Konfiguration das Textfeld Anmelde-URL, geben Sie eine der folgenden URLs ein, und speichern Sie sie:
Anmelde-URL https://cloudacademy.com/login/enterprise/
https://app.qa.com/login/enterprise/
Klicken Sie auf das Stiftsymbol für SAML-Signaturzertifikat, um die Einstellungen zu bearbeiten.
Laden Sie das PEM-Zertifikat herunter:
Kopieren Sie im Abschnitt Set up Cloud Academy (Cloud Academy einrichten) die URL für Anmeldung:
Erstellen einer Microsoft Entra-Testbenutzerin
In diesem Abschnitt wird eine Testbenutzerin namens B.Simon erstellt.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
- Browsen Sie zu Identität>Benutzer>Alle Benutzer.
- Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
- Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
- Geben Sie im Feld Anzeigename den Namen
B.Simon
ein. - Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel:
B.Simon@contoso.com
. - Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
- Klicken Sie auf Überprüfen + erstellen.
- Geben Sie im Feld Anzeigename den Namen
- Klicken Sie auf Erstellen.
Gewähren von Zugriff für den Testbenutzer
In diesem Abschnitt ermöglichen Sie B. Simon die Verwendung des einmaligen Anmeldens von Azure, indem Sie Benutzerzugriff auf Cloud Academy gewähren.
- Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
- Wählen Sie in der Anwendungsliste Cloud Academy aus.
- Navigieren Sie auf der Übersichtsseite der App zum Abschnitt Verwalten, und wählen Sie Benutzer und Gruppen aus:
- Wählen Sie die Schaltfläche Benutzer hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus:
- Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste Benutzer den Eintrag B. Simon aus, und klicken Sie dann am unteren Bildschirmrand auf die Schaltfläche Auswählen.
- Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie in der Dropdownliste Rolle auswählen die gewünschte Rolle auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
- Wählen Sie im Dialogfeld Zuweisung hinzufügen die Option Zuweisen aus.
Konfigurieren des einmaligen Anmeldens für Cloud Academy
Melden Sie sich in einem anderen Browserfenster bei der Unternehmenswebsite von Cloud Academy als Administrator an.
Klicken Sie auf der Startseite auf das Symbol für das Azure-Integrationsteam, und wählen Sie dann im linken Menü Settings (Einstellungen) aus.
Wählen Sie auf der Registerkarte INTEGRATIONS (INTEGRATIONEN) die Karte SSO aus.
Klicken Sie auf Start Configuring (Mit Konfiguration beginnen).
Führen Sie auf der Seite General Settings (Allgemeine Einstellungen) die folgenden Schritte aus:
Fügen Sie in das Feld für SSO-URL (Standort) die Anmelde-URL ein, die Sie in Schritt 9 von Konfigurieren von Microsoft Entra ID-SSO kopiert haben.
Öffnen Sie das heruntergeladene Base64-Zertifikat in Editor. Fügen Sie den Inhalt in das Feld Certificate (Zertifikat) ein.
Führen Sie die folgenden Schritte auf der im Anschluss angegebenen Seite aus:
Füllen Sie im Abschnitt SAML Attributes Mapping (SAML-Attributzuordnungen) die erforderlichen Felder mit den Quellattributwerten aus:
http://schemas.microsoft.com/identity/claims/objectidentifier
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Aktivieren Sie im Abschnitt Security Settings (Sicherheitseinstellungen) das Kontrollkästchen Authentication Requests Signed? (Authentifizierungsanforderungen signiert?), um diesen Wert auf True festzulegen.
Geben Sie im Abschnitt Zusätzliche Einstellungen (Optional) in das Feld für Abmelde-URL die Abmelde-URL ein, die Sie in Schritt 9 von Konfigurieren von Microsoft Entra ID-SSO kopiert haben.
Klicken Sie auf Save and Test (Speichern und testen).
Als Nächstes wird ein Dialogfeld mit den Informationen zum Dienstanbieter angezeigt. Laden Sie die XML-Datei herunter:
Da Sie nun über die XML-Datei des Dienstanbieters verfügen, müssen Sie zurück zur Anwendung wechseln, die Sie erstellt haben. Laden Sie im Abschnitt Einmaliges Anmelden (SSO) die Metadatendatei hoch:
Nachdem Sie die Metadaten des Dienstanbieters aktualisiert haben, können Sie zum SSO-Bereich Ihrer Cloud Academy-Unternehmenswebsite zurückkehren und mit Test und Aktivierung fortfahren. Klicken Sie im Dialogfeld zum Dienstanbieter auf Continue (Weiter):
Klicken Sie auf Test SSO connection (SSO-Verbindung testen), um den Testflow zu starten:
Hinweis
Wenn Sie mit dem erstellten Testbenutzerkonto bei Cloud Academy angemeldet sind, fahren Sie mit dem Testflow fort. Schließen Sie andernfalls das Dialogfeld, scrollen Sie nach oben zu General Settings (Allgemeine Einstellungen), kopieren Sie die Unterdomänen-URL, fügen Sie sie im Browser in eine private oder Inkognitoregisterkarte ein, und melden Sie sich dann als Testbenutzer*in an. Ist die Anmeldung erfolgreich, können Sie die Browserregisterkarte schließen und auf Save and Test klicken. Das Dialogfeld zum Dienstanbieter wird erneut in einer Browserregisterkarte geöffnet. Klicken Sie auf Continue und dann erneut auf Test SSO connection. Klicken Sie abschließend auf Test was successful (Test war erfolgreich), da Sie die Anmeldung bereits mithilfe einer privaten oder Inkognitoregisterkarte getestet haben.
Fahren Sie mit dem nächsten Schritt fort.
Wenn die Anmeldung erfolgreich verläuft, können Sie die SSO-Integration für die gesamte Organisation aktivieren:
Hinweis
Weitere Informationen zum Konfigurieren von Cloud Academy finden Sie im Artikel zum Einrichten des einmaligen Anmeldens.
Erstellen eines Cloud Academy-Testbenutzers
In diesem Abschnitt wird in Cloud Academy eine Benutzerin namens B. Simon erstellt. Cloud Academy unterstützt die Just-in-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. Für Sie steht in diesem Abschnitt kein Aktionselement zur Verfügung. Wenn in Cloud Academy noch kein Benutzer vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt.
Cloud Academy unterstützt auch die automatische Benutzerbereitstellung. Weitere Informationen finden Sie im Tutorial zur Bereitstellung des Cloud Academy-SSO.
Testen des einmaligen Anmeldens
In diesem Abschnitt testen Sie die Konfiguration Ihres Microsoft Entra ID-SSO mit einer der folgenden Optionen:
Wählen Sie im Azure-Portal die Option Diese Anwendung testen aus. Sie werden zur Cloud Academy-Anmelde-URL weitergeleitet und können den Anmeldeflow initiieren.
Navigieren Sie direkt zur Anmelde-URL für Cloud Academy, und initiieren Sie den Anmeldeflow.
Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie im Portal „Meine Apps“auf die Kachel „Cloud Academy“ klicken, werden Sie zur Anmelde-URL für Cloud Academy weitergeleitet. Weitere Informationen zum Portal „Meine Apps“ finden Sie in dieser Einführung.
Nächste Schritte
Nach dem Konfigurieren von Cloud Academy können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Ex- und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Hier erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Cloud App Security erzwingen.