Azure Active Directory: Anwendungen zuweisen, SSO konfigurieren


    Tags: , , ,

    Apps auf Microsoft AzureDer Admini­strator von Azure AD kann den Zu­gang zu Cloud-Appli­kationen wie Microsoft Dynamics pro User freischalten. Alle solcher­art zuge­wie­senen Apps werden für die Benutzer dann über ein Web-Portal bereit­gestellt. Nach der Konfi­gu­ration von Single Sign-on erfolgt die An­meldung an der Anwen­dung automa­tisch.

    Microsofts Azure Active Directory verwaltet Berechtigungen für den Zugriff auf Ressourcen in der Cloud. Grund­voraus­setzung für die Zuteilung von Apps zu Benutzern und Gruppen ist eine konfigurierte Azure AD-Domäne. Die wesentlichen Schritte dafür habe ich im vorangegangen Artikel Azure Active Directory: Kostenloses Testkonto einrichten, Domäne und User anlegen be­schrie­ben.

    Alle Anwendungen in einem Portal

    Doch damit die angelegten User auch Applikationen nutzen können, werden diese vom Azure AD-Administrator freigeschaltet. Gegebenenfalls räumt er ihnen auch Self-Service-Berechtigungen wie das Zurücksetzen des Kennwortes ein.

    Anwendungen, welche den Benutzern zur Verfügung stehen, erreichen diese auch ohne ein eigenes Azure-Abonnement über das Access Panel mit der URL https://myapps.microsoft.com von verschiedenen Geräten aus. Zusätzlich wird der Login mit der App My Apps - Azure Active Directory auf iOS und Android unterstützt.

    Einmal eingeloggt (SSO), können alle im Portal angezeigten Cloud-basierten Anwendungen durchgängig erreicht und ausgeführt werden. Eine Azure Active Directory Premium Subscription erlaubt dann weitergehende Self-Service-Funktionen und ein Branding der Anmeldeseite.

    Eine Anwendung aus dem Katalog hinzufügen

    Steht man im klassischen Azure Portal auf dem zuvor erstellten Azure Active Directory (AAD), dann werden Anwendungen über die Menüleiste im oberen Drittel erreicht.

    Der Azure AD-Administrator fügt Cloud-basierte Apps über das Portal hinzu.

    Ein Hinzufügen eröffnet den Dialog um eigene Unternehmens-Apps oder jene aus dem Microsoft-Katalog auszuwählen. Wir entscheiden uns in diesem Beispiel für die von Microsoft verwalteten und bekommen so eine in Kategorien aufgeteilte Liste von derzeit über 2700 Apps präsentiert.

    Apps aus dem Microsoft-Katalog hinzufügen

    Darunter befinden sich Microsoft Dynamics CRM, SAP Business ByDesign, Office 365 Exchange Online, Salesforce und viele andere Größen. Auch Social Media Apps wie Facebook, LinkedIn, Pinterest oder Twitter fehlen nicht.

    In meinem Labor wähle ich für eine Beispiel­konfiguration die Twitter App mit einem Business Test-Account, um zu demonstrieren, wie hier ein SSO funktioniert. Nachdem die App ausgewählt wurde, ist ein Anzeigename erforderlich, bevor sie sich später in die Liste meiner Apps einreiht.

    Integration einer App in Azure AD

    Wurde der Anzeigename bestätigt, erscheint die Konfigurations­übersicht der entsprechenden App, in diesem Fall Twitter. Hier stehen zwei nötige Schritte zur Auswahl, zum einen ein Aktivieren des Single-Sign-on und zum anderen die Zuweisung der Benutzer für die generelle Verwendung.

    Nach einem Klick auf den ersten Konfigurations­schritt für SSO folgt die Frage, nach welchem Muster dieser passieren soll. Im Fall von Twitter erscheint hier:

    • Einmaliges Anmelden per Kennwort
    • Vorhandenes einmaliges Anmelden

    Konfiguriert man eine Verbund-App wie beispielsweise Dropbox wird folgende Frage mit aufgeführt:

    • Microsoft Azure AD - einmaliges Anmelden

    Die Verbund­anmeldung bei Apps macht eine Umleitung zum Azure AD für die Benutzer­authentifizierung möglich und erfordert kein eigenes Kennwort des Benutzers. Die Konfiguration ist umfassender als für ein einmaliges Anmelden per Kennwort und basiert auf Zertifikaten. Alle nötigen Daten werden beim Durchlaufen des Wizards bereitgestellt. Anwendungen, welche zum Beispiel SAML 2.0 unterstützen, sind hierfür Kandidaten.

     Eine App wurde hinzugefügt und ist bereit für die Konfiguration des SSO und der Zuweisung von Usern.

    Im Fall von Twitter entscheide ich mich für die Kennwort-basierte einmalige Anmeldung ohne Verbund­protokoll und Azure AD speichert dann die nötigen Anmeldedaten für den Twitter-Account verschlüsselt ab. Der Administrator verwaltet anschließend die Zugangsdaten.

    Benutzer der App zuweisen und Plug-in installieren

    In der oberen Menüleiste unterhalb der Twitter-App erscheint neben dem Zugang zum Dashboard der Menüpunkt für die Benutzer­zuweisung. Pickt man sich nun den gewünschten Benutzer heraus, kann er der betreffenden App im unteren Menü zugewiesen werden.

    Zugangsdaten für die App in Azure AD speichern.

    Die Anmelde­informationen verwaltet der Administrator und diese können mit gesetztem Haken für den Twitter-Zugang eingegeben werden. Danach wird der Zugriff aktiviert und der User meldet sich im Web-Portal mit den AAD-Zugangsdaten an, in diesem Beispiel mit dem User-Login abaum@LabAAD16.onmicrosoft.com.

    Nach erfolgreichem Einloggen zeigt sich die bereit­gestellte App und mit einem Klick auf diese wird der Benutzer einmalig zur MSI-Installation des Access Panel Extension Plug-Ins aufgefordert.

    Ist die Installations-Prozedur hierfür durchlaufen und das Plug-in aktiviert, dann wird der AAD-User mit erneutem Klick unter MyApps auf Twitter direkt zum Twitter Account umgeleitet und hier angemeldet.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Marcel Küppers

    Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infra­structure Architect unter anderem für den japani­schen Konzern JTEKT/TOYODA mit Verant­wortung über die Europa­standorte Krefeld und Paris. Da­rüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Loka­tionen des Kon­zerns mit und ist spezia­lisiert auf hoch­verfügbare virtuali­sierte Microsoft-Umgebungen plus Hybrid Cloud Solutions. Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
    // Kontakt: E-Mail, Twitter, LinkedIn //

    Verwandte Beiträge

    Weitere Links