Single Sign-On mit Azure AD


Administratoren können Single Sign-On (SSO) für den Zugriff auf ihre Konten nutzen, indem sie einen SAML 2.0-Identitätsanbieter (IdP) auswählen. SSO macht es überflüssig, sich zusätzliche Passwörter zu merken, und vereinfacht die Anmeldeerfahrung.

So richten Sie Single Sign-On (SSO) mit Azure AD ein. Der Administrator muss:



Eine App in der Azure AD-Konsole erstellen

Wenn die IDrive360-Anwendung zuvor für SSO in Ihrem Azure-Verzeichnis heruntergeladen wurde, müssen Sie die vorhandene App löschen und eine neue Anwendung erstellen.

Um Azure AD als Identitätsanbieter für SSO zu verwenden, müssen Sie eine App in der Azure AD-Konsole erstellen.

So erstellen Sie die App:

  1. Melden Sie sich mit Ihren Azure AD-Kontodaten bei der Azure AD-Konsole an und klicken Sie auf 'Unternehmensanwendungen'.
  2. Wählen Sie die Registerkarte 'Übersicht' im linken Menü und klicken Sie auf 'Neue Anwendung'.
  3. Klicken Sie auf 'Eigene Anwendung erstellen'.
  4. Geben Sie den Anwendungsnamen unter 'Wie lautet der Name Ihrer App?' ein.
  5. Wählen Sie 'Beliebige andere Anwendung integrieren, die nicht im Katalog gefunden wird (Nicht-Katalog)' und klicken Sie auf 'Erstellen'.
  6. Ihre IDrive 360-App wurde nun zum Microsoft Azure Active Directory hinzugefügt.

SSO konfigurieren

So konfigurieren Sie SSO:

  1. Navigieren Sie zurück zu 'Microsoft Entra ID' > 'Unternehmensanwendung'.
  2. Suchen Sie nach der kürzlich hinzugefügten Anwendung und klicken Sie darauf.
  3. Navigieren Sie zu 'Verwalten' > 'Einmaliges Anmelden'.
  4. Wählen Sie 'SAML' als bevorzugte Methode für einmaliges Anmelden.
  5. Unter dem angezeigten Bildschirm 'Einmaliges Anmelden mit SAML einrichten':
    1. Klicken Sie auf 'Bearbeiten' entsprechend der 'Grundlegenden SAML-Konfiguration' und geben Sie die URLs wie folgt ein:
      • Bezeichner (Entitäts-ID): https://webapp.idrive360.com/api/sso/metadata
      • Antwort-URL (Assertionsverbraucherdienst-URL): https://webapp.idrive360.com/api/sso/process
      • Abmelde-URL: https://webapp.idrive360.com/api/v1/logout
    2. Klicken Sie im Abschnitt 'SAML-Zertifikat' auf 'Herunterladen' und speichern Sie das x509-Zertifikat (Base64).
    3. Kopieren Sie die 'Anmelde-URL' und die 'Microsoft Entra-Bezeichner-URL' und konfigurieren Sie sie mit Ihrem Cloud-Backup-Konto.

Das Cloud-Backup-Konto für Single Sign-On (SSO) konfigurieren

Der Administrator muss die empfangenen SAML 2.0-URLs und das Zertifikat von Azure AD im Formular zur Single Sign-On-Konfiguration in der Verwaltungskonsole angeben.

So konfigurieren Sie SSO:

  1. Melden Sie sich beim Cloud-Backup-Konto an und klicken Sie auf 'Zur Verwaltungskonsole wechseln'.
  2. Navigieren Sie zu 'Einstellungen' > 'Single Sign-On (SSO)'.
  3. Geben Sie die 'IDP-Aussteller-URL', die 'Single Sign-On-Anmelde-URL' ein und laden Sie das 'X.509-Zertifikat (Base64)' hoch, das Sie von Ihrer neu erstellten App in der Azure AD-Konsole erhalten haben.
    1. Aussteller-URL - Microsoft Entra-Bezeichner
    2. SSO-Endpunkt - Anmelde-URL
  4. Klicken Sie auf 'Single Sign-On konfigurieren'.

Rollen konfigurieren

App-Rollen werden im Microsoft Entra Admin Center während des App-Registrierungsprozesses definiert. Wenn sich ein Benutzer bei der Anwendung anmeldet, gibt Microsoft Entra ID für jede zugewiesene Rolle einen Rollenanspruch aus und ermöglicht so eine anspruchsbasierte Autorisierung.

Hinweis: Die von Azure erstellten Standardrollen müssen gelöscht werden. Um nicht unterstützte Rollen zu entfernen, weisen Sie zunächst einen Wert zu, deaktivieren Sie die Rolle und löschen Sie sie dann.

So erstellen Sie eine App-Rolle:

  1. Navigieren Sie zu 'Home'.
  2. Navigieren Sie zu 'Microsoft Entra ID' > 'Verwalten' > 'App-Registrierungen'.
  3. Suchen Sie auf der Registerkarte 'Alle Anwendungen' nach Ihrer kürzlich hinzugefügten App und klicken Sie auf 'App-Rollen'.
  4. Klicken Sie auf 'App-Rolle erstellen' und füllen Sie die folgenden Informationen aus:
    • Anzeigename: Kontoinhaber
    • Zulässige Mitgliedstypen: Benutzer/Gruppen
    • Wert: 1
    • Beschreibung: MSP-Administrator
  5. Klicken Sie auf 'Übernehmen', um Ihre Änderungen zu speichern.

Wiederholen Sie die obigen Schritte, um Rollen für Unternehmensadministrator, Backup-Administrator, Wiederherstellungsbenutzer, Backup-Benutzer und Backup- und Wiederherstellungsbenutzer zu erstellen.

BenutzerrollenWerte
Kontoinhaber1
Unternehmensadministrator2
Backup-Administrator7
Benutzer (Geräte hinzufügen und verwalten)3
Wiederherstellungsbenutzer4
Backup-Benutzer5
Backup- und Wiederherstellungsbenutzer6

Hinweis: Die Rollenwerte müssen genau mit den entsprechenden Rollen übereinstimmen, die im Code der Anwendung definiert sind.


Bereitstellung in Microsoft Azure AD konfigurieren

Führen Sie die folgenden Schritte aus, um die Bereitstellung zu aktivieren:

  1. Navigieren Sie im linken Navigationsbereich zu 'Bereitstellung'.
  2. Navigieren Sie zu 'Verwalten > Bereitstellung'.
  3. Wählen Sie für 'Bereitstellungsmodus' die Option 'Automatisch'.
  4. Geben Sie die folgenden Informationen an:
    Mandanten-URL: https://webapp.idrive360.com/api/scim/v2/?aadOptscim062020
    Geheimes Token: In der IDrive360-App generiertes Token.
  5. Klicken Sie auf 'Verbindung testen', um die Verbindung zwischen Azure AD und der IDrive 360-App zu überprüfen.
  6. Im Abschnitt 'Einstellungen':
  7. Im Feld 'Benachrichtigungs-E-Mail':
    1. Geben Sie die E-Mail-Adresse der Person ein, die Benachrichtigungen bei Bereitstellungsfehlern erhalten soll.
    2. Aktivieren Sie das Kontrollkästchen für 'E-Mail-Benachrichtigung bei Auftreten eines Fehlers senden'.
    3. Geben Sie den Wert für 'Schwellenwert für versehentliches Löschen' entsprechend Ihrer Unternehmensrichtlinie ein.
    4. Wählen Sie für das Feld 'Umfang' die Option 'Nur zugewiesene Benutzer und Gruppen synchronisieren'.
  8. Im Abschnitt 'Zuordnungen':
    1. Wählen Sie 'Azure Active Directory-Gruppen bereitstellen', setzen Sie das Kontrollkästchen 'Aktiviert' auf 'Nein' und klicken Sie auf 'Speichern'.
    2. Wählen Sie 'Azure Active Directory-Benutzer bereitstellen'.

      Hinweis: IDrive 360 unterstützt derzeit keine Gruppen.

    3. Lassen Sie die Felder unverändert.
    4. Klicken Sie auf 'Erweiterte Optionen anzeigen'.
    5. Wählen Sie unter 'Unterstützte Attribute' die Option 'Attributliste für customappsso bearbeiten'.
    6. Fügen Sie in der Attributliste ein Attribut namens 'Rollen' hinzu, wählen Sie als Typ 'Zeichenkette' und aktivieren Sie das Kontrollkästchen für 'Erforderlich'.
    7. Klicken Sie auf 'Speichern'.
    8. Klicken Sie im Bestätigungs-Popup auf 'Ja'.
    9. Kehren Sie zum Abschnitt 'Attributzuordnung' zurück.
    10. Klicken Sie auf 'Neue Zuordnung hinzufügen'.
    11. Wählen Sie 'Ausdruck' als Zuordnungstyp.
    12. Geben Sie als Ausdruckswert an:
      'AppRoleAssignmentsComplex([appRoleAssignments])'.
    13. Wählen Sie 'Rollen' als Zielattribut.
    14. Wählen Sie 'Nein' für 'Objekt anhand des Attributs abgleichen'.
    15. Wählen Sie, wann diese Zuordnung angewendet werden soll, und wählen Sie dann 'Immer'.
    16. Klicken Sie auf 'OK'.
    17. Die kürzlich hinzugefügte Attributzuordnung finden Sie unter 'Attributzuordnungen'.

    Nach der Konfiguration der Bereitstellungseinstellungen können Sie jeden Benutzer zuweisen, den Sie in IDrive 360 bereitstellen möchten.


    Benutzer Ihrer Anwendung zuweisen

    Um SSO für Benutzerkonten zu aktivieren, muss der Administrator Benutzer der in der Azure AD-Konsole erstellten App zuweisen.

    So weisen Sie Benutzer der Azure AD-App zu:

    1. Navigieren Sie in der neu erstellten App in der Azure AD-Verwaltungskonsole zu 'Benutzer und Gruppen' und klicken Sie auf 'Benutzer hinzufügen'.
    2. Wählen Sie die Benutzer aus, die Sie der App zuweisen möchten.
    3. Wählen Sie eine Rolle aus dem Dropdown-Menü und klicken Sie auf 'Auswählen'.

      Hinweis: Administratoren können den ausgewählten Benutzern jede Rolle zuweisen.

    4. Klicken Sie auf 'Zuweisen', um den Vorgang abzuschließen.

      Hinweis: In Azure erfolgt der automatische Bereitstellungszyklus alle 40 Minuten.