Integration des einmaligen Anmeldens (SSO) von Microsoft Entra in Contentstack
In diesem Tutorial erfahren Sie, wie Sie Contentstack mit Microsoft Entra ID integrieren. Die Integration von Contentstack mit Microsoft Entra ID ermöglicht Folgendes:
- Sie können in Microsoft Entra ID steuern, wer Zugriff auf Contentstack hat.
- Sie können Ihren Benutzern ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Contentstack anzumelden.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Voraussetzungen
Zur Integration von Microsoft Entra ID und Contentstack benötigen Sie Folgendes:
- Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
- Ein Contentstack-Abonnement, für das das einmalige Anmelden (SSO) aktiviert ist.
Beschreibung des Szenarios
In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.
- Contentstack unterstützt das durch SP und IDP initiierte einmalige Anmelden.
- Contentstack unterstützt die Just-In-Time-Benutzerbereitstellung.
Hinzufügen von Contentstack aus dem Katalog
Zum Konfigurieren der Integration von Contentstack mit Microsoft Entra ID müssen Sie Contentstack aus dem Katalog Ihrer Liste verwalteter SaaS-Apps hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
- Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Contentstack in das Suchfeld ein.
- Wählen Sie Contentstack im Ergebnisbereich aus und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.
Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für Contentstack
Konfigurieren und testen Sie das einmalige Anmelden (SSO) von Microsoft Entra mit Contentstack mithilfe einer Testbenutzerin namens B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Contentstack eingerichtet werden.
Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra mit Contentstack die folgenden Schritte aus:
- Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
- Erstellen Sie einen Microsoft Entra-Testbenutzer, um Microsoft Entra SSO mit dem Testbenutzerkonto B. Simon zu testen.
- Zuweisen der Microsoft Entra-Testbenutzerin, um B.Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
- Konfigurieren des einmaligen Anmeldens für Contentstack ‒ zum Konfigurieren der Einstellungen für einmaliges Anmelden auf der Anwendungsseite.
- Erstellen eines Contentstack-Testbenutzers ‒ für ein Pendant von B. Simon in Contentstack, das mit der Benutzerdarstellung in Microsoft Entra verknüpft ist.
- Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert
Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra
Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra im Microsoft Entra Admin Center zu aktivieren.
Melden Sie sich beim Microsoft Entra Admin Center als Cloudanwendungsadministrator an, und navigieren Sie zu Identität>Anwendungen>Enterprise-Anwendungen.
Klicken Sie nun auf + Neue Anwendung, und suchen Sie nach Contentstack, und klicken Sie dann auf " Erstellen". Nach der Erstellung wechseln Sie nun zum Single Sign-On einrichten oder klicken Sie im linken Menü auf den Single Sign-On.
Wählen Sie dann auf der Seite Single Sign-On Methode die Methode SAML aus.
Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.
Im Abschnitt Grundlegende SAML-Konfiguration müssen Sie einige Schritte ausführen. Um die für diese Schritte erforderlichen Informationen zu erhalten, müssen Sie zuerst zur Contentstack-Anwendung wechseln und den SSO-Namen und die ACS-URL wie folgt erstellen:
a. Melden Sie sich bei Ihrem Contentstack-Konto an, gehen Sie zur Seite Organisationseinstellungen und klicken Sie auf die Registerkarte Single Sign-On.
b. Geben Sie einen SSO-Namen Ihrer Wahl ein, und klicken Sie auf Erstellen.
Hinweis
Wenn Ihr Firmenname beispielsweise "Acme, Inc" lautet. geben Sie hier „acme“ ein. Dieser Name wird von den Benutzern der Organisation bei der Anmeldung als einer der Anmeldedaten verwendet. Der SSO-Name darf nur Buchstaben (in Kleinbuchstaben), Zahlen (0–9) und/oder Bindestriche (-) enthalten.
c. Wenn Sie auf Erstellen klicken, generiert dies die Assertionsverbraucherdienst-URL oder ACS-URL sowie weitere Details wie die Entitäts-ID, Attribute und das NameID-Format.
Fügen Sie wieder im Abschnitt Grundlegende SAML-Konfiguration die Entitäts-ID und die ACS-URL ein, die in den obigen Schritten generiert wurde, und speichern Sie die Einträge anhand der Abschnitte Identifier (Entitäts-ID) bzw. Antwort-URL.
Fügen Sie in das Textfeld Identifier den Wert der Entitäts-ID ein, den Sie aus Contentstack kopiert haben.
Fügen Sie im Textfeld Antwort-URL die ACS-URL ein, die Sie aus Contentstack kopiert haben.
Dieser Schritt ist optional. Wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten, geben Sie die Anmelde-URL im Abschnitt Anmelde-URL ein:
Hinweis
Sie finden die SSO-One-Click-URL (d. h. die Anmelde-URL), wenn Sie die Konfiguration von Contentstack-SSO abgeschlossen haben.
Die Contentstack-Anwendung erwartet die SAML-Assert-Anweisungen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.
Darüber hinaus erwartet die Contentstack-Anwendung, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen. Dieser Schritt ist optional.
Name Quellattribut Rollen user.assignedroles Hinweis
Bitte klicken Sie hier, um zu erfahren, wie Sie eine Rolle in Microsoft Entra ID konfigurieren.
Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zum Eintrag Zertifikat (Base64) . Wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen, und speichern Sie es auf Ihrem Computer.
Kopieren Sie im Abschnitt Contentstack einrichten die entsprechenden URLs gemäß Ihren Anforderungen.
Erstellen einer Microsoft Entra-Testbenutzerin
In diesem Abschnitt erstellen Sie im Microsoft Entra Admin Center einen Testbenutzer namens B. Simon.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
- Browsen Sie zu Identität>Benutzer>Alle Benutzer.
- Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
- Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
- Geben Sie im Feld Anzeigename den Namen
B.Simon
ein. - Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel:
B.Simon@contoso.com
. - Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
- Klicken Sie auf Überprüfen + erstellen.
- Geben Sie im Feld Anzeigename den Namen
- Klicken Sie auf Erstellen.
Zuweisen der Microsoft Entra-Testbenutzerin
In diesem Abschnitt ermöglichen Sie B. Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra, indem Sie Zugriff auf Contentstack gewähren.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Contentstack.
- Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
- Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
- Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
- Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
- Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.
Konfigurieren von Contentstack-SSO
Melden Sie sich bei der Contentstack-Unternehmenswebsite als Administrator an.
Wechseln Sie zur Seite "Organisationseinstellungen", und klicken Sie im linken Menü auf die Registerkarte "Single Sign-On".
Navigieren Sie auf der Seite Single Sign-On Configuration zum Abschnitt SSO-Configuration und führen Sie die folgenden Schritte aus:
Geben Sie einen gültigen SSO-Namen ihrer Wahl ein und gehen Sie auf Erstellen.
Hinweis
Wenn Ihr Firmenname beispielsweise "Acme, Inc" lautet. geben Sie hier „acme“ ein. Dieser Name wird von den Benutzern der Organisation bei der Anmeldung als einer der Anmeldedaten verwendet. Der SSO-Name darf nur Buchstaben (in Kleinbuchstaben), Zahlen (0–9) und/oder Bindestriche (-) enthalten.
Wenn Sie auf Erstellen klicken, werden die Assertionsverbraucherdienst-URL oder ACS URL und andere Details wie Entitäts-ID, Attribute und NameID-Format generiert. Klicken Sie danach auf Weiter.
Navigieren Sie zur Registerkarte Idp-Konfiguration, und führen Sie die folgenden Schritte aus:
Fügen Sie die Anmelde-URL, den Sie aus dem Microsoft Entra Admin Center kopiert haben, in das Textfeld Single Sign-On Url ein.
Öffnen Sie das heruntergeladene Zertifikat (Base64) aus dem Microsoft Entra Admin Center, und laden Sie es in das Feld Zertifikat hoch.
Klicken Sie auf Weiter.
Als Nächstes müssen Sie die Rollenzuordnung in Contentstack erstellen.
Hinweis
Sie können diesen Schritt nur anzeigen und ausführen, wenn die IdP-Rollenzuordnung Teil Ihres Contentstack-Plans ist.
Im Abschnitt Benutzerverwaltung der SSO-Einrichtungsseite von Contentstack sehen Sie den Strict-Modus (Zugriffsberechtigung für Benutzer der Organisation nur über SSO-Anmeldung) und Zeitüberschreitung Sitzung (Sitzungsdauer für einen über SSO angemeldeten Benutzer festlegen). Unter diesen Optionen wird auch die Option Erweiterte Einstellungen angezeigt.
Klicken Sie auf die Erweiterte Einstellungen, um den Abschnitt IdP-Rollenzuordnung zu erweitern, um IdP-Rollen dem Contentstack zuzuordnen. Dieser Schritt ist optional.
Klicken Sie im Abschnitt Rollenzuordnung hinzufügen auf den Link + ROLLENZUORDNUNG HINZUFÜGEN, um die Zuordnungsdetails einer IdP-Rolle hinzuzufügen, die die folgenden Details enthält:
Geben Sie im Feld IdP-Rollenidentifikator den IdP-Gruppen-/Rollenidentifikator ein (z. B. „Entwickler“), für den Sie den Wert aus Ihrem Manifest verwenden können.
Wählen Sie für die Organisationsrollen entweder Administrator- oder Mitgliedsrolle für die zugeordnete Gruppe/Rolle aus.
Für die Berechtigungen auf Stapelebene (optional) weisen Sie dieser Rolle Stapel und die entsprechenden Rollen auf Stapelebene zu. Ebenso können Sie weitere Rollenzuordnungen für Ihre Contentstack-Organisation hinzufügen. Wenn Sie eine neue Rollenzuordnung hinzufügen möchten, klicken Sie auf + ROLLENZUORDNUNG HINZUFÜGEN, und geben Sie die Details ein.
Lassen Sie das Rollen-Trennzeichen leer, da Microsoft Entra ID in der Regel Rollen in einem Array zurückgibt.
Aktivieren Sie schließlich das Kontrollkästchen IdP-Rollenzuordnung aktivieren, um das Feature zu aktivieren, und klicken Sie auf Weiter.
Hinweis
Weitere Informationen finden Sie in der Contentstack-SSO-Anleitung.
Bevor Sie SSO aktivieren, empfiehlt es sich, die bisher konfigurierten SSO-Einstellungen zu testen. Gehen Sie dafür wie folgt vor:
- Klicken Sie auf die Schaltfläche SSO testen, und sie gelangen über die SSO-Seite zum Anmelden von Contentstack, auf der Sie den SSO-Namen Ihrer Organisation angeben müssen.
- Klicken Sie dann auf „Weiter“, um zur IdP-Anmeldeseite zu wechseln.
- Melden Sie sich bei Ihrem Konto an. Wenn Sie sich bei Ihrem IdP anmelden können, ist Ihr Test erfolgreich.
- Bei erfolgreicher Verbindung wird eine Erfolgsmeldung wie folgt angezeigt.
Nachdem Sie Ihre SSO-Einstellungen getestet haben, klicken Sie auf SSO aktivieren, um SSO für Ihre Contentstack-Organisation zu aktivieren.
Sobald dies aktiviert ist, können Benutzer über SSO auf die Organisation zugreifen. Bei Bedarf können Sie auch auf dieser Seite SSO deaktivieren.
Erstellen eines Contentstack-Testbenutzers
In diesem Abschnitt wird in Contentstack eine Benutzerin namens Britta Simon erstellt. Contentstack unterstützt die Just-In-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. Für Sie steht in diesem Abschnitt kein Aktionselement zur Verfügung. Ist ein Benutzer noch nicht in Contentstack vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt.
Testen des einmaligen Anmeldens
In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.
SP-initiiert:
Klicken Sie im Microsoft Entra Admin Center auf Diese Anwendung testen. Dies leitet Sie zur Contentstack-Anmelde-URL weiter, wo Sie den Anmeldevorgang starten können.
Rufen Sie direkt die Contentstack-Anmelde-URL auf und initiieren Sie den Anmeldeflow.
IDP-initiiert:
- Klicken Sie im Microsoft Entra Admin Center auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der Contentstack-Instanz angemeldet werden, für die Sie das einmalige Anmelden eingerichtet haben.
Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Beim Klicken auf die Kachel „Contentstack“ in „Meine Apps“ geschieht Folgendes: Wenn Sie die Anwendung im SP-Modus konfiguriert haben, werden Sie zum Initiieren des Anmeldeflows zur Anmeldeseite der Anwendung weitergeleitet. Wenn Sie die Anwendung im IDP-Modus konfiguriert haben, sollten Sie automatisch bei der Contentstack-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.
Nächste Schritte
Nach dem Konfigurieren von Contentstack können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.