Freigeben über


Microsoft Entra-SSO-Integration mit Directory Services Protector

In diesem Tutorial erfahren Sie, wie Sie Directory Services Protector mit Microsoft Entra ID integrieren. Wenn Sie Directory Services Protector mit Microsoft Entra ID integrieren, können Sie Folgendes tun:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf Directory Services Protector hat.
  • Ermöglichen Sie es Ihren Benutzern, mit ihren Microsoft Entra-Konten automatisch bei Directory Services Protector angemeldet zu werden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Um Microsoft Entra ID mit Directory Services Protector zu integrieren, benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • Ein SSO (Single Sign-On)-fähiges Directory Services Protector-Abonnement.

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • Directory Services Protector unterstützt SP- und IDP-initiiertes SSO.
  • Directory Services Protector unterstützt die Just-In-Time-Benutzerbereitstellung.

Zum Konfigurieren der Integration von Directory Services Protector in Microsoft Entra ID müssen Sie Directory Services Protector zu Ihrer Liste der verwalteten SaaS-Apps aus dem Katalog hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Wert Directory Services Protector in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich Directory Services Protector aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra-SSO für Directory Services Protector

Konfigurieren und Testen von Microsoft Entra SSO mit Directory Services Protector mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, müssen Sie eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Directory Services Protector einrichten.

Führen Sie zum Konfigurieren und Testen von Microsoft Entra-SSO mit Directory Services Protector die folgenden Schritte aus:

  1. Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer, um Microsoft Entra SSO mit dem Testbenutzerkonto B. Simon zu testen.
    2. Zuweisen der Microsoft Entra-Testbenutzerin, um B.Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
  2. Konfigurieren Directory Services Protector-SSO, um die Einstellungen für SSO auf der Anwendungsseite zu konfigurieren.
    1. Erstellen eines Testbenutzers/einer Testbenutzerin für den Directory Services Protector, um im Directory Services Protector ein Gegenstück für B. Simon zu erhalten, das mit der Darstellung des Benutzers/der Benutzerin in Microsoft Entra verknüpft ist.
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra im Microsoft Entra Admin Center zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Directory Services Protector>SSO.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Screenshot: Bearbeiten der grundlegenden SAML-Konfiguration

  5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus, wenn Sie über eine Dienstanbieter-Metadatendatei verfügen:

    a. Klicken Sie auf Metadatendatei hochladen.

    Screenshot des Hochladens einer Metadatendatei.

    b. Klicken Sie auf das Ordnerlogo, wählen Sie die Metadatendatei aus, und klicken Sie auf Hochladen.

    Screenshot: Auswählen der Metadatendatei.

    c. Nach dem erfolgreichen Upload der Metadatendatei werden die Werte unter Bezeichner und Antwort-URL im Abschnitt „Grundlegende SAML-Konfiguration“ automatisch eingefügt.

    Screenshot der Abbildung der Metadatendatei.

    Hinweis

    Sollten die Werte Bezeichner und Antwort-URL nicht automatisch aufgefüllt werden, geben Sie die erforderlichen Werte manuell ein.

  6. Wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten, führen Sie die folgenden Schritte aus:

    Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<HOSTNAME>.<DOMAIN>.<EXTENSION>/DSP/Login/SsoLogin.

    Hinweis

    Der Wert der Anmelde-URL entspricht nicht dem tatsächlichen Wert. Ersetzen Sie diesen Wert durch die tatsächliche Anmelde-URL. Wenden Sie sich an das Supportteam von Directory Services Protector, um diesen Wert zu erhalten. Sie können sich auch die Muster im Abschnitt Grundlegende SAML-Konfiguration im Microsoft Entra Admin Center ansehen.

  7. Das Supportteam für die Directory Service Protector-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

    Screenshot: Abbildung der Attributkonfiguration

  8. Darüber hinaus wird vom Supportteam für die Directory Service Protector-Anwendung erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.

    Name Quellattribut
    Rolle (role) user.assignedroles

    Hinweis

    Bitte klicken Sie hier, um zu erfahren, wie Sie eine Rolle in Microsoft Entra ID konfigurieren.

  9. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Screenshot: Link zum Herunterladen des Zertifikats.

  10. Kopieren Sie im Abschnitt Directory Services Protector einrichten die entsprechende(n) URL(s) gemäß Ihren Anforderungen.

    Screenshot: Kopieren einer der Konfiguration entsprechenden URL.

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie im Microsoft Entra Admin Center einen Testbenutzer namens B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie B. Simon die Verwendung von Microsoft Entra-SSO, indem Sie Zugriff auf die Directory Services Protector gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Directory Services Protector.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
    1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
    2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
    3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren von Directory Services Protector-SSO

  1. Melden Sie sich bei der Unternehmenswebsite von Directory Services Protector als Administrator an.

  2. Wechseln Sie zu Einstellungen (Zahnradsymbol)>Datenverbindungen>SAML-Authentifizierung, und wechseln Sie den Schalter auf Aktiviert.

  3. In Schritt 1 – Identitätsanbieter, wählen Sie Microsoft Entra ID aus dem Dropdownmenü, und klicken Sie auf SPEICHERN.

  4. Wählen Sie in Schritt 2 – Vom SAML-Identitätsanbieter erforderliche Daten im Abschnitt Grundlegende SAML-Konfiguration im Microsoft Entra Admin Center die Schaltfläche BESTÄTIGEN und METADATEN-XML HERUNTERLADEN zum Hochladen der Metadatendatei aus, und klicken Sie auf SPEICHERN.

    Screenshot der Einstellungen des Identitätsanbieters.

  5. In Schritt 3 – Benutzerattribute und Ansprüche benötigen wir diese Informationen jetzt nicht, sodass wir mit Schritt 4 fortfahren können.

  6. In Schritt 4 – Vom SAML-Identitätsanbieter empfangene Daten unterstützt DSP sowohl das importieren aus einer Metadaten-URL als auch das Importieren einer Metadaten-XML, die von Entra ID bereitgestellt wird.

    1. Wählen Sie das Optionsfeld App-Verbundmetadaten-URL aus, fügen Sie die Metadaten-URL in das Feld in Microsoft Entra ID ein, und wählen Sie dann IMPORTIEREN aus.

    2. Wählen Sie das Optionsfeld aus, um Verbundmetadaten-XML importieren zu verwenden, und klicken Sie auf XML IMPORTIEREN, um die Verbundmetadaten-XML-Datei aus dem Microsoft Entra Admin Center hochzuladen.

    3. Klicken Sie auf SPEICHERN.

  7. Am oberen Rand des Blatts SAML-Authentifizierung in DSP sollte der Status jetzt als Konfiguriert angezeigt werden.

Erstellen eines Directory Services Protector-Testbenutzers

In diesem Abschnitt wird ein Benutzer mit dem Namen B. Simon in Directory Services Protector erstellt. Directory Services Protector unterstützt die Just-in-Time-Bereitstellung von Benutzern, was standardmäßig aktiviert ist. Für Sie steht in diesem Abschnitt kein Aktionselement zur Verfügung. Wenn in Directory Services Protector noch kein Benutzer vorhanden ist, wird nach der Authentifizierung ein neuer erstellt.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

  • Klicken Sie im Microsoft Entra Admin Center auf Diese Anwendung testen. Dadurch werden Sie zur Anmelde-URL für die Directory Services Protector umgeleitet, wo Sie den Anmeldeflow initiieren können.

  • Navigieren Sie direkt zur Anmelde-URL von Directory Services Protector, und initiieren Sie den Anmeldeflow von dort aus.

IDP-initiiert:

  • Klicken Sie im Microsoft Entra Admin Center auf Diese Anwendung testen, und Sie sollten automatisch bei der Directory Services Protector-Instanz angemeldet werden, für die Sie SSO eingerichtet haben.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie unter „Meine Apps“ auf die Kachel „Directory Services Protector“ klicken, geschieht Folgendes: Wenn Sie den SP-Modus konfiguriert haben, werden Sie zum Einleiten des Anmeldeflows zur Anmeldeseite der Anwendung weitergeleitet. Wenn Sie den IDP-Modus konfiguriert haben, sollten Sie automatisch bei der Directory Services Protector-Instanz angemeldet werden, für die Sie SSO eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von Directory Services Protector können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Daten Ihrer Organisation schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.