Alle Kollektionen
Zugänge
SSO via Microsoft Azure Active Directory
SSO via Microsoft Azure Active Directory

Mit der Azure Active Directory SCIM kannst du Zugänge an deine User verteilen.

Vinz Neuner avatar
Verfasst von Vinz Neuner
Diese Woche aktualisiert

In diesem Artikel zeigen wir dir, wie du Kurszugänge mit Azure Active Directory als Identitätsanbieter verwalten kannst. Der SSO via Azure ist auch in einem Mixed Mode möglich (also ein Login per E-Mail & Passwort Login und SSO parallel).

Allgemein

SSO

Steht für Single Sign-On, diese Technik wird genutzt, damit die Nutzer des Adminbereichs einen einzigen Login für mehrere Anwendungen haben und somit keine Zeit mehr verschwenden sich jedes Mal neu einzuloggen. Ein einfaches Beispiel ist der Login via Facebook oder Google bei verschiedenen Apps.

Vor allem größere Unternehmen mit IT Abteilung sparen sich viel Zeit bei der Verwaltung von Logins mit SSO. Wird eine Anbindung an das ERP System gewünscht, bietet SSO hier die nötige Schnittstelle.

Microsoft Active Directory

Ein Active Directory ist ein unternehmensweites Verzeichnis, indem du die Accounts und Zugänge jeglicher Art jeden Mitarbeiters verwaltest.

SCIM

SCIM ist ein offenerer Standard zur automatisierten Bereitstellung von Benutzerkonten. Damit wird das automatische provisionieren (anlegen in versch. Systemen) von Benutzerkonten umgesetzt.

SSO via Microsoft Azure Active Directory

In der Azure Cloud wird eine Enterprise Application erstellt, diese steuert über SCIM das automatische Anlegen der Benutzerkonten (Provisionierung) und gewährleistet den passwortlosen Login (SSO).

  • Werden Nutzer oder Gruppen der App zugewiesen, werden diese auch entsprechend in Memberspot provisioniert (Mitglied und Zugänge). Es besteht die Möglichkeit, die App auch so einzustellen, dass alle Nutzer automatisch provisioniert werden.

  • Wird ein Nutzer der App entzogen, kann dieser sich nicht mehr bei Memberspot einloggen.

  • Wird ein Nutzer im Azure AD endgültig gelöscht, wird dieser auch bei Memberspot gelöscht.

  • Um SSO zu aktivieren, kontaktiere uns gerne über unseren Live-Chat (Feature im Enterprise Tarif enthalten).

Konfiguration

Voraussetzungen

  • Dein Unternehmen nutzt Azure Active Directory

  • Du hast eine der folgenden Berechtigungen, um die Bereitstellung in Azure AD zu konfigurieren:

    • Anwendungsadministrator

    • Cloud-Anwendungsadministrator

    • Globaler Verwalter

  • Du hast einen API-Token mit administrativem Zugriff über Memberspot generiert (wenn nicht, kannst du das unter "Einstellungen → API Keys → Erstellen" machen)

  • SSO via Microsoft Azure Active Directory ist ab dem Enterprise Tarif nutzbar.

Erstellen einer Enterprise Application

Zunächst musst du eine Enterprise Application erstellen, damit du deine Nutzer verwalten kannst.

Wir empfehlen, eine spezielle Anwendung für die Verwaltung deiner Mitglieder zu erstellen. Du kannst eine einzige Enterprise Application sowohl für SCIM als auch für SSO verwenden.

  1. Gehe in das Microsoft Azure Portal und öffne die Azure-Dienste auf Azure Active Directory.

  2. Öffne die Unternehmensanwendungen und klicke auf "Neue Anwendung".

  3. Erstelle eine "Eigene Anwendung".

  4. Gib der Anwendung einen Namen (zum Beispiel "MemberspotAccess" oder etwas Ähnliches).

  5. Wähle die Option "Eine andere Anwendung integrieren, die sich nicht in der Galerie befindet" aus.

  6. Klicke anschließend auf "Erstellen".

Verbindung zu Memberspot erstellen

Damit du Azure zur Bereitstellung von Zugängen verwenden kannst, musst du nun eine Verbindung von Azure Active Directory zu deinem Mitgliederbereich herstellen.

  1. Wähle in der Enterprise Application in der Übersicht "Provision User Accounts" -> "Get started" aus.

  2. Wähle im Dropdown-Menü "Provisioning Mode" die Option "Automatic".

  3. Füge im Feld Tenant URL die SCIM-Endpunkt-URL (https://scim.memberspot.de/scim/v2) ein.

  4. Unter "Secret Token" fügst du den API-Token mit administrativem Zugriff ein.

  5. Anschließend klickst du auf "Test Connection".

  6. Klicke dann auf "Save", wenn die Verbindung erfolgreich erstellt wurde.

Wenn die Verbindung nicht funktioniert, solltest du sicherstellen, dass:

  • die SCIM-Funktion für deine Schule aktiviert ist.

  • die SCIM-Endpunkt-URL korrekt ist.

  • das API-Token gültig ist.

Mapping

Im nächsten Schritt muss das Mapping für das User Provisioning definiert werden. Das Mapping dient dazu, dass die Memberspot App und Azure wissen, wie sie die Daten wie z.B. E-Mail, Vorname und Nachname austauschen sollen.

Das Mapping muss für die Benutzer und für die Gruppen eingestellt werden. Die Benutzer aus Active Directory werden mit den Mitgliedern in dem Mitgliederbereich verknüpft und die Gruppen mit den Zugängen.

Um das Benutzer Mapping anzupassen, muss folgendes gemacht werden:

  1. Öffne den Abschnitt Zuordnungen in der Enterprise Application und klicke auf "Provision Azure Active Directory Users".

    Mappings Section

  2. Lösche alle Attribute, außer:

    • userPrincipalName

    • Switch([IsSoftDeleted], , "False", "True", "True", "False")

    • mail

    • vorname

    • surname

  3. Klicke auf userPrincipalName, um das Fenster "Edit Attribute" zu öffnen.

  4. Wähle im Dropdown-Menü "Target Attribute" die Option "externalID".

    Der Identifier (externalId) muss als Zielattribut eingeschlossen werden, und er sollte in der Zuordnung die Priorität 1 haben. Wenn bereits User in der Plattform sind, muss sichergestellt werden, dass die Identifier richtig eingestellt sind und der eingestellten Priorität entsprechen.

    Das Attribut Quelle für die externalId kann unterschiedlich sein, je nachdem, welchen Wert externalId in deinem Mitgliederbereich haben soll.

  5. Klicke auf "OK" und dann auf "Save"

  6. Anschließend öffnest du "Edit Attributes" mit einem Klick auf "mail"

  7. Dort wählst du im "Source Attribute" Dropdown-Menü "userPrincipalName" aus.

  8. Klicke auf "OK" und dann auf "Save"

Nachdem alles eingerichtet ist, sollte die Mapping-Ansicht so aussehen:

Als nächstes, müssen die Mappings für die Gruppen angepasst werden. Nachdem das Mapping für die User gespeichert worden ist, musst du wieder zurück auf die User Provisioning Ansicht wechseln (einfach die jetzige Mapping-Ansicht mit klick auf X in der oberen rechten Ecke schließen), danach musst du folgendes tun:

  1. Öffne den Abschnitt Zuordnungen in der Enterprise Application und klicke dieses Mal auf "Provision Azure Active Directory Groups".

  2. Die Mappings für die Gruppen kannst du auf die gleiche Art bearbeiten wie auch die Mappings für die User. Der Abschnitt muss diese drei Mappings beinhalten:

    • objectId

    • displayName

    • members

  3. Die Mappings für die Gruppe sollten folgendermaßen aussehen:

  4. Nachdem das alles eingerichtet ist, muss mit Klick auf "Save" bestätigt werden und dann zurück auf die User Provisioning Ansicht gewechselt werden.

  5. In der User Provisioning Ansicht muss noch einmal gespeichert werden, sodass die Daten auch alle sicher übernommen werden.

Nutzer zuweisen

Nach dem Mapping können jetzt Benutzer zugewiesen werden.

  1. Klicke in der "Enterprise Application" auf "Users and groups".

  2. Klicke auf "Add user/group".

  3. Nachdem du auf "None Selected" klickst "Users and groups".

  4. Suche die Benutzer oder die Gruppe, die du hinzufügen möchtest, und klicke anschließend auf "Select".

  5. Nachdem du auf "Select" geklickt hast, hast du erfolgreich Benutzer bzw. Gruppen deiner Anwendung hinzugefügt.

Zugänge Bereitstellen

Jetzt kannst du testen, ob alles richtig eingestellt wurde. Versuche dazu bei ein oder zwei Usern einen Zugang zu vergeben.

  1. In der Enterprise Application öffnest du "Provisioning" und klickst dann auf "Provisioning on demand".

  2. Suche den Benutzer, den Sie bereitstellen möchten, und wähle ihn aus.

  3. Klicke auf "Provision".

Zugänge automatisch vergeben

Wenn alles funktioniert hat, kannst du das nun auch auf automatisch vergeben einstellen.

  1. In der Enterprise Application öffnest du "Provisioning" und klickst dann auf "Provisioning".

  2. Klicke auf "Start provision".

Single Sign-on einrichten

Der letzte Schritt ist das Einrichten des Single Sign On mit SAML. In dem Teil wird auch unser Handeln erforderlich, denn um alles korrekt einzurichten, müssen wir bei unserer Anwendung sagen, wie wir die Daten mit eurem Active Directory austauschen. Dazu müsst Ihr uns ein paar Daten aus der folgenden Ansicht zuschicken.

Um Single Sign-On einzurichten, müsst ihr bitte Folgendes tun:

  1. Übersicht der Enterprise Application öffnen und auf "Get started" Button in der "Set up Single Sign-On" Kachel klicken

  2. Wähle in der neuen Ansicht bitte die SAML Ansicht aus und du wirst weiter zu der "Set up Single Sign-On with SAML" Ansicht geleitet. Die Ansicht müsste ungefähr so aussehen:

  3. Unter "Basic SAML Configuration" auf Edit klicken und folgendes eintragen

    1. Identifier (Entity ID): memberspot

    2. Reply URL (Assertion Consumer Service URL): https://auth.memberspot.de/__/auth/handler

    3. Sign on URL: https://URLDEINESMITGLIEDEBREICHES/auth/sso

      1. z.b. https://academy.mymemberspot.de/auth/sso

  4. Nachdem der Identifier und die Reply URL bestätigt worden sind, wird die Gruppe "Attributes & Claims" bearbeitbar. Dort müsst Ihr auf Edit klicken und auf der folgenden Page den "Unique User Identifier (Name ID) Claim" bearbeiten. Dort muss folgendes stehen:

    • Name identifier format: Default

    • Source attribute: user.objectId

    Danach auf Save klicken, und dann aus der Attributes & Claims Ansicht wieder zurück auf die SAML-based Sign-On Ansicht wechseln (über Klick auf X in der oberen rechten Ecke)

  5. Nachdem das erledigt ist, brauchen wir folgende Daten von dir, um den SSO Provider bei uns einrichten zu können:

    1. Das Base64 Zertifikat aus "SAML Certificates"

    2. Login URL aus "Setup Memberspot Access"

    3. Azure AD Identifier aus "Setup Memberspot Access"

  6. Der Test Button wird erst funktionieren, nachdem wir alles in unserem System eingerichtet haben.

Hat dies Ihre Frage beantwortet?