Tags: SSO, Azure, Active Directory, Authentifizierung
Der Administrator von Azure AD kann den Zugang zu Cloud-Applikationen wie Microsoft Dynamics pro User freischalten. Alle solcherart zugewiesenen Apps werden für die Benutzer dann über ein Web-Portal bereitgestellt. Nach der Konfiguration von Single Sign-on erfolgt die Anmeldung an der Anwendung automatisch.
Microsofts Azure Active Directory verwaltet Berechtigungen für den Zugriff auf Ressourcen in der Cloud. Grundvoraussetzung für die Zuteilung von Apps zu Benutzern und Gruppen ist eine konfigurierte Azure AD-Domäne. Die wesentlichen Schritte dafür habe ich im vorangegangen Artikel Azure Active Directory: Kostenloses Testkonto einrichten, Domäne und User anlegen beschrieben.
Alle Anwendungen in einem Portal
Doch damit die angelegten User auch Applikationen nutzen können, werden diese vom Azure AD-Administrator freigeschaltet. Gegebenenfalls räumt er ihnen auch Self-Service-Berechtigungen wie das Zurücksetzen des Kennwortes ein.
Anwendungen, welche den Benutzern zur Verfügung stehen, erreichen diese auch ohne ein eigenes Azure-Abonnement über das Access Panel mit der URL https://myapps.microsoft.com von verschiedenen Geräten aus. Zusätzlich wird der Login mit der App My Apps - Azure Active Directory auf iOS und Android unterstützt.
Einmal eingeloggt (SSO), können alle im Portal angezeigten Cloud-basierten Anwendungen durchgängig erreicht und ausgeführt werden. Eine Azure Active Directory Premium Subscription erlaubt dann weitergehende Self-Service-Funktionen und ein Branding der Anmeldeseite.
Eine Anwendung aus dem Katalog hinzufügen
Steht man im klassischen Azure Portal auf dem zuvor erstellten Azure Active Directory (AAD), dann werden Anwendungen über die Menüleiste im oberen Drittel erreicht.
Ein Hinzufügen eröffnet den Dialog um eigene Unternehmens-Apps oder jene aus dem Microsoft-Katalog auszuwählen. Wir entscheiden uns in diesem Beispiel für die von Microsoft verwalteten und bekommen so eine in Kategorien aufgeteilte Liste von derzeit über 2700 Apps präsentiert.
Darunter befinden sich Microsoft Dynamics CRM, SAP Business ByDesign, Office 365 Exchange Online, Salesforce und viele andere Größen. Auch Social Media Apps wie Facebook, LinkedIn, Pinterest oder Twitter fehlen nicht.
In meinem Labor wähle ich für eine Beispielkonfiguration die Twitter App mit einem Business Test-Account, um zu demonstrieren, wie hier ein SSO funktioniert. Nachdem die App ausgewählt wurde, ist ein Anzeigename erforderlich, bevor sie sich später in die Liste meiner Apps einreiht.
Integration einer App in Azure AD
Wurde der Anzeigename bestätigt, erscheint die Konfigurationsübersicht der entsprechenden App, in diesem Fall Twitter. Hier stehen zwei nötige Schritte zur Auswahl, zum einen ein Aktivieren des Single-Sign-on und zum anderen die Zuweisung der Benutzer für die generelle Verwendung.
Nach einem Klick auf den ersten Konfigurationsschritt für SSO folgt die Frage, nach welchem Muster dieser passieren soll. Im Fall von Twitter erscheint hier:
- Einmaliges Anmelden per Kennwort
- Vorhandenes einmaliges Anmelden
Konfiguriert man eine Verbund-App wie beispielsweise Dropbox wird folgende Frage mit aufgeführt:
- Microsoft Azure AD - einmaliges Anmelden
Die Verbundanmeldung bei Apps macht eine Umleitung zum Azure AD für die Benutzerauthentifizierung möglich und erfordert kein eigenes Kennwort des Benutzers. Die Konfiguration ist umfassender als für ein einmaliges Anmelden per Kennwort und basiert auf Zertifikaten. Alle nötigen Daten werden beim Durchlaufen des Wizards bereitgestellt. Anwendungen, welche zum Beispiel SAML 2.0 unterstützen, sind hierfür Kandidaten.
Im Fall von Twitter entscheide ich mich für die Kennwort-basierte einmalige Anmeldung ohne Verbundprotokoll und Azure AD speichert dann die nötigen Anmeldedaten für den Twitter-Account verschlüsselt ab. Der Administrator verwaltet anschließend die Zugangsdaten.
Benutzer der App zuweisen und Plug-in installieren
In der oberen Menüleiste unterhalb der Twitter-App erscheint neben dem Zugang zum Dashboard der Menüpunkt für die Benutzerzuweisung. Pickt man sich nun den gewünschten Benutzer heraus, kann er der betreffenden App im unteren Menü zugewiesen werden.
Die Anmeldeinformationen verwaltet der Administrator und diese können mit gesetztem Haken für den Twitter-Zugang eingegeben werden. Danach wird der Zugriff aktiviert und der User meldet sich im Web-Portal mit den AAD-Zugangsdaten an, in diesem Beispiel mit dem User-Login abaum@LabAAD16.onmicrosoft.com.
Nach erfolgreichem Einloggen zeigt sich die bereitgestellte App und mit einem Klick auf diese wird der Benutzer einmalig zur MSI-Installation des Access Panel Extension Plug-Ins aufgefordert.
Ist die Installations-Prozedur hierfür durchlaufen und das Plug-in aktiviert, dann wird der AAD-User mit erneutem Klick unter MyApps auf Twitter direkt zum Twitter Account umgeleitet und hier angemeldet.
Täglich Know-how für IT-Pros mit unserem Newsletter
Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infrastructure Architect unter anderem für den japanischen Konzern JTEKT/TOYODA mit Verantwortung über die Europastandorte Krefeld und Paris. Darüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Lokationen des Konzerns mit und ist spezialisiert auf hochverfügbare virtualisierte Microsoft-Umgebungen plus Hybrid Cloud Solutions. Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
// Kontakt: E-Mail, Twitter, LinkedIn //
Verwandte Beiträge
- Single Sign-On für Azure, Microsoft 365 und hybride Umgebungen: 3 Verfahren im Überblick
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
Weitere Links