Microsoft Teams SSO (Single Sign-On)-Authentifizierung
Microsoft Teams SSO-Integration von miniOrange bietet Unternehmensbenutzern sicheren Zugriff und vollständige Kontrolle über mehrere Web- und SAAS-Anwendungen. Mit Microsoft Teams SSO können Benutzer Single Sign-On in das Microsoft Teams-Konto mit einem Satz von Anmeldeinformationen einloggen, wodurch benutzerverwaltete Passwörter und das Risiko von Phishing entfallen. Microsoft Teams SSO (Single Sign-On) nutzt die vorhandene On-Premise- Azure Active Directory (AAD) Infrastruktur und bietet nahtlose Integration ohne die Notwendigkeit, mehrere Identitäten vor Ort und in der Cloud zu verwalten.
Die Single Sign-On (SSO)-Integration von miniOrange und Microsoft Teams unterstützt die folgenden Funktionen:
SP-initiiertes Single Sign-On (SSO)
Vom IdP initiiertes Single Sign-On (SSO)
Mit externer Benutzerquelle verbinden
miniOrange bietet Benutzerauthentifizierung aus verschiedenen externen Quellen, die Verzeichnisse (wie ADFS, Microsoft Active Directory, OpenLDAP, AWS usw.), Identitätsanbieter (wie Microsoft Entra ID, Okta, AWS) und viele mehr. Sie können Ihren bestehenden Verzeichnis-/Benutzerspeicher konfigurieren oder Benutzer in miniOrange hinzufügen.
Anleitung zur Videoeinrichtung
Voraussetzungen:
1. Synchronisieren Sie das lokale Active Directory mit der Microsoft Entra ID
Anmerkungen: Wenn Sie Ihr lokales Active Directory als Benutzerspeicher für die einmalige Anmeldung bei Microsoft Teams SSO verwenden möchten, befolgen Sie die nachstehenden Schritte, um Ihr AD und Ihre Microsoft Entra-ID zu synchronisieren.
Gehe zu Apps und klicken Sie auf Anwendung hinzufügen .
In Wählen Sie Anwendungstyp Klicken Sie auf App erstellen Schaltfläche im SAML/WS-FED-Anwendungstyp.
Suchen Sie im nächsten Schritt nach Office 365. Klicken Sie auf Office 365 App.
Stellen Sie sicher, dass die SP-Entitäts-ID or Aussteller ist: urn:federation:MicrosoftOnline
Stellen Sie sicher, dass die ACS-URL ist: https://login.microsoftonline.com/login.srf
Klicken Sie auf Nächster.
Konfigurieren Sie die Namens-ID basierend auf dem von Ihnen verwendeten Benutzerspeicher:
Verwenden des Active Directory-/miniOrange-Brokering-Dienstes: Wählen Sie „Externes IDP-Attribut“ aus der Dropdown-Liste und fügen Sie „ObjectGUID“ in das angezeigte Textfeld ein.
Verwenden von miniOrange als Benutzerspeicher: Wählen Sie „Benutzerdefiniertes Profilattribut“ und wählen Sie aus der Dropdown-Liste ein benutzerdefiniertes Attribut aus.
Setze die Anmelderichtlinie. Sie können 2FA für die Anmeldung aktivieren oder die Benutzer mit einem Standardbenutzernamen-Passwort anmelden lassen.
Klicken Sie auf Gespeichert um Office 365 zu konfigurieren.
2. Konfigurieren Sie Microsoft Graph Services
Klicken Sie auf das Symbol ' ' und wählen Sie Metadaten.
Klicken Sie auf Federate Domain Script herunterladen Schaltfläche unter "FÜR DIE AUTHENTIFIZIERUNG ÜBER EXTERNE IDPS ERFORDERLICHE INFORMATIONEN"
Geben Sie die Domainnamen die Sie föderieren möchten, und klicken Sie auf Herunterladen.
Hinweis: Sie können Ihre Standardeinstellungen nicht zusammenführen. „onmicrosoft.com“ Domäne. Um Ihren Microsoft Teams SSO-Mandanten zu föderieren, müssen Sie Microsoft Teams SSO eine benutzerdefinierte Domäne hinzufügen.
Nach dem Herunterladen des Skripts Öffnen Sie die PowerShell Führen Sie das Skript federate_domain aus mit: cd ./Downloads
powershell -ExecutionPolicy ByPass -File federate_domain.ps1
Ihre Domäne ist nun föderiert. Verwenden Sie die folgenden Befehle, um Ihre Föderationseinstellungen zu überprüfen: Get-MgDomain -DomainId "<domain>" | Select-Object Id, AuthenticationType
3. Melden Sie sich jetzt mit miniOrange IdP mit einem der beiden Schritte bei Ihrem Office 365 – Microsoft Teams SSO-Konto an:
1. Mit SP-initiiertem Login: -
Gehe zu Office 365 – Microsoft Teams SSO-Anmeldung und klicken Sie auf Anmelden
Sie werden zum Microsoft Graph-Portal weitergeleitet. Hier müssen Sie den UPN des Benutzers eingeben. (Er sollte die mit miniOrange verbundene Domäne enthalten.)
Jetzt werden Sie zur Anmeldeseite von miniOrange IdP weitergeleitet.
Geben Sie Ihre Anmeldedaten ein und klicken Sie auf Anmelden. Sie werden automatisch bei Ihrem Office 365-Konto angemeldet.
2. Verwenden der vom IdP initiierten Anmeldung: -
Loggen Sie sich miniOrange Selbstbedienungskonsole als Endbenutzer und klicken Sie auf das Office 365 Symbol auf deinem Konto-Dashboard.
Wenn Sie auf Office 365 klicken, müssen Sie die Anmeldeinformationen nicht erneut eingeben, Sie werden zum Office 365-Konto weitergeleitet.
4. Konfigurieren Sie Ihr Benutzerverzeichnis (optional)
miniOrange bietet Benutzerauthentifizierung aus verschiedenen externen Quellen, die Verzeichnisse (wie ADFS, Microsoft Active Directory, Microsoft Entra ID, OpenLDAP, Google, AWS Cognito usw.), Identitätsanbieter (wie Okta, Shibboleth, Ping, OneLogin, KeyCloak), Datenbanken (wie MySQL, Maria DB, PostgreSQL) und viele mehr. Sie können Ihr vorhandenes Verzeichnis/Ihren vorhandenen Benutzerspeicher konfigurieren oder Benutzer in miniOrange hinzufügen.
Klicken Sie auf Benutzer >> Benutzerliste >> Benutzer hinzufügen.
Füllen Sie hier die Benutzerdaten ohne Passwort aus und klicken Sie anschließend auf Benutzer erstellen .
Nach erfolgreicher Benutzererstellung wird eine Benachrichtigungsmeldung angezeigt „Ein Endbenutzer wurde erfolgreich hinzugefügt“ wird oben im Dashboard angezeigt.
Klicken Sie auf Registerkarte „Onboarding-Status“. Überprüfen Sie die E-Mail mit der registrierten E-Mail-ID und wählen Sie Aktion Aktivierungsmail mit Link zum Zurücksetzen des Passworts senden von Aktion auswählen Dropdown-Liste und klicken Sie dann auf Bewerben .
Öffnen Sie nun Ihre E-Mail-ID. Öffnen Sie die E-Mail, die Sie von miniOrange erhalten haben, und klicken Sie dann auf Link um Ihr Kontopasswort festzulegen.
Geben Sie auf dem nächsten Bildschirm das Passwort ein und bestätigen Sie das Passwort. Klicken Sie dann auf Single Sign-On (SSO) Kennwort zurücksetzen .
Jetzt können Sie sich durch Eingabe Ihrer Anmeldeinformationen beim MiniOrange-Konto anmelden.
2. Massenupload von Benutzern in miniOrange durch Hochladen einer CSV-Datei.
Navigieren Benutzer >> Benutzerliste. Klicken Sie auf Benutzer hinzufügen .
Massenregistrierung von Benutzern Beispiel-CSV-Format herunterladen von unserer Konsole aus und bearbeiten Sie diese CSV-Datei gemäß den Anweisungen.
Um Benutzer in großen Mengen hochzuladen, wählen Sie die Datei aus und stellen Sie sicher, dass sie in Komma-getrenntes CSV-Dateiformat Klicken Sie dann auf Hochladen.
Nach dem erfolgreichen Hochladen der CSV-Datei wird Ihnen eine Erfolgsmeldung mit einem Link angezeigt.
Klicken Sie auf diesen Link. Sie sehen eine Liste der Benutzer, denen eine Aktivierungsmail gesendet werden soll. Wählen Sie Benutzer aus, denen eine Aktivierungsmail gesendet werden soll, und klicken Sie auf „Aktivierungsmail senden“. Eine Aktivierungsmail wird an die ausgewählten Benutzer gesendet.
Klicken Sie auf Identitätsanbieter >> Identitätsanbieter hinzufügen im linken Menü des Dashboards
Wählen Sie unter „Identitätsanbieter auswählen“ AD/LDAP-Verzeichnisse aus dem Dropdown.
Dann suchen Sie nach AD/LDAP und klicke es an.
LDAP-KONFIGURATION IN MINIORANGE SPEICHERN: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in miniOrange behalten möchten. Befindet sich das Active Directory hinter einer Firewall, müssen Sie die Firewall öffnen, um eingehende Anfragen an Ihr AD zuzulassen.
SPEICHERN SIE DIE LDAP-KONFIGURATION VOR ORT: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in Ihrem Gebäude behalten und nur den Zugriff auf AD innerhalb des Gebäudes zulassen möchten. Sie müssen herunterladen und installieren miniOrange-Gateway auf Ihrem Gelände.
AD/LDAP eingeben Display Name kombiniert mit einem nachhaltigen Materialprofil. Identifizieren Namen.
Auswählen Verzeichnistyp as Active Directory.
Geben Sie die LDAP-Server-URL oder IP-Adresse für das LDAP ein Server-URL Feld.
Klicken Sie auf Verbindung testen Klicken Sie auf die Schaltfläche, um zu überprüfen, ob die Verbindung mit Ihrem LDAP-Server.
Gehen Sie in Active Directory zu den Eigenschaften von Benutzercontainern/OUs und suchen Sie nach dem Distinguished Name-AttributDas Bind-Konto sollte über die erforderlichen Mindestleseberechtigungen in Active Directory verfügen, um Verzeichnissuchen zu ermöglichen. Wenn der Anwendungsfall die Bereitstellung umfasst (z. B. Erstellen, Aktualisieren oder Löschen von Benutzern oder Gruppen), muss dem Konto auch die entsprechenden Schreibberechtigungen erteilt werden.
Geben Sie das gültige Kennwort für das Bind-Konto ein.
Klicken Sie auf Testen der Anmeldeinformationen für das Bind-Konto Schaltfläche, um Ihre LDAP-Bind-Anmeldeinformationen für die LDAP-Verbindung zu überprüfen.
Suchbasis ist die Stelle im Verzeichnis, an der die Suche nach einem Benutzer beginnt. Sie erhalten diese von derselben Stelle, an der Sie Ihren Distinguished Name haben.
Wählen Sie einen geeigneten Suchfilter aus dem Dropdown-Menü. Wenn Sie Benutzer im Einzelgruppenfilter or Benutzer im Mehrfachgruppenfilter, ersetze dasGruppen-DN> im Suchfilter mit dem Distinguished Name der Gruppe, in der Ihre Benutzer vorhanden sind. Um benutzerdefinierte Suchfilter zu verwenden, wählen Sie „Schreiben Sie Ihren benutzerdefinierten Filter“ Option und passen Sie sie entsprechend an.
Klicken Sie auf Nächster oder gehen Sie zum Anmeldeoptionen Tab.
Sie können beim Einrichten von AD auch folgende Optionen konfigurieren. Aktivieren Aktivieren Sie LDAP um Benutzer von AD/LDAP zu authentifizieren. Klicken Sie auf das Nächster Schaltfläche, um einen Benutzerspeicher hinzuzufügen.
Hier ist die Liste der Attribute und was sie bewirken, wenn wir sie aktivieren. Sie können sie entsprechend aktivieren/deaktivieren.
Attribut
Beschreibung
Aktivieren Sie LDAP
Alle Benutzerauthentifizierungen werden mit LDAP-Anmeldeinformationen durchgeführt, wenn Sie es aktivieren
Fallback-Authentifizierung
Wenn die LDAP-Anmeldeinformationen fehlschlagen, wird der Benutzer über miniOrange authentifiziert.
Administratoranmeldung aktivieren
Wenn Sie dies aktivieren, wird Ihr miniOrange Administrator-Login über Ihren LDAP-Server authentifiziert.
Benutzern IdP anzeigen
Wenn Sie diese Option aktivieren, ist dieser IdP für Benutzer sichtbar
Benutzer in miniOrange synchronisieren
Benutzer werden in miniOrange nach der Authentifizierung mit LDAP erstellt
Klicken Sie auf Nächster oder gehen Sie zum Attribute Tab.
Attributzuordnung aus AD
Standardmäßig sind Benutzername, Vorname, Nachname und E-Mail konfiguriert. Scrollen Sie nach unten und klicken Sie auf Gespeichert Schaltfläche. Um zusätzliche Attribute aus Active Directory abzurufen, aktivieren Sie Konfigurierte Attribute sendenGeben Sie links den Namen ein, den Sie für die Anwendungen freigeben möchten. Geben Sie rechts den Attributnamen aus Active Directory ein. Wenn Sie beispielsweise ein Firmenattribut aus Active Directory abrufen und als Organisation an konfigurierte Anwendungen senden möchten, geben Sie Folgendes ein:
An SP gesendeter Attributname = Organisation Attributname vom IDP = Unternehmen
Klicken Sie auf Nächster oder gehen Sie zum Provisioning Tab.
Benutzerimport und Provisionierung aus AD
Wenn Sie die Bereitstellung einrichten möchten, bitte hier klicken für detaillierte Informationen. Wir werden diesen Schritt vorerst überspringen.
Testverbindungen
Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Verbindung testen.
Es wird ein Popup-Fenster angezeigt, in dem Sie aufgefordert werden, einen Benutzernamen und ein Kennwort einzugeben, um Ihre LDAP-Konfiguration zu überprüfen.
On Erfolgreich Bei der Verbindung mit dem LDAP-Server wird eine Erfolgsmeldung angezeigt.
Testen Sie die Attributzuordnung
Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Testen Sie die Attributzuordnung.
Ein Popup wird angezeigt, in dem Sie einen Benutzernamen eingeben und auf klicken können. Test.
Das Ergebnis der Testattributzuordnung wird angezeigt.
Die Konfiguration „AD als externes Verzeichnis einrichten“ ist abgeschlossen.
Hinweis: Verweisen Sie auf unsere Guide um LDAP auf einem Windows-Server einzurichten.
miniOrange lässt sich in verschiedene externe Benutzerquellen wie Verzeichnisse, Identitätsanbieter usw. integrieren.
