einzuloggen oder  
Hallo!

Brauchen Sie Hilfe? Wir sind hier!

Unterstützungssymbol
miniOrange E-Mail-Support
Erfolg

Vielen Dank für Ihre Anfrage. Unser Team wird sich in Kürze mit Ihnen in Verbindung setzen.

Wenn Sie innerhalb von 24 Stunden nichts von uns hören, senden Sie bitte eine Folge-E-Mail an info@xecurify.com

Search Results:

×

Konfigurieren Sie die Microsoft Entra-ID als SAML- oder OAuth-IDP für SSO

Die miniOrange Identity Broker-Dienstlösung ermöglicht eine protokollübergreifende Authentifizierung. Sie können Microsoft Entra ID als IDP für Single Sign-On (SSO) in Ihren Anwendungen/Websites konfigurieren. Hier fungiert Microsoft Entra ID als Identitätsanbieter (IDP) und miniOrange wird als Makler fungieren.

Wir bieten eine vorgefertigte Lösung für die Integration mit Microsoft Entra ID, die die Implementierung vereinfacht und beschleunigt. Unser Team kann Ihnen auch dabei helfen, Microsoft Entra ID als SAML- oder OIDC-IDP für die Anmeldung bei Ihren Anwendungen einzurichten.

Kostenlose Installationshilfe


miniOrange bietet kostenlose Hilfe durch ein Beratungsgespräch mit unseren Systemingenieuren zur Konfiguration von SSO für verschiedene Apps mit Microsoft Entra ID als IDP in Ihrer Umgebung mit 30-Tage kostenlose Testversion.

Senden Sie uns hierzu einfach eine E-Mail an idpsupport@xecurify.com um einen Termin zu buchen und wir helfen Ihnen umgehend.



Voraussetzungen:

Bitte stellen Sie sicher, dass Ihr Organisations-Branding bereits unter Anpassung >> Login- und Registrierungs-Branding im linken Menü des Dashboards.


Folgen Sie der unten stehenden Schritt-für-Schritt-Anleitung für Microsoft Entra ID SSO

1. Konfigurieren Sie miniOrange als SP in Microsoft Entra ID

Nachfolgend sind die Schritte zum Konfigurieren von Microsoft Entra ID als IDP über SAML- und OAuth-Konfiguration aufgeführt. Befolgen Sie die Schritte entsprechend Ihren Anforderungen (SAML oder OAuth).


  • Gehe zu miniOrange Admin-Konsole und navigieren Sie zu Identitätsanbieter im linken Navigationsmenü. Klicken Sie dann auf Identitätsanbieter hinzufügen .
    • Microsoft Entra ID SSO: Identitätsanbieter hinzufügen

  • Klicken Sie nun auf die Hier klicken Link zum Abrufen der MiniOrange-Metadaten, wie im Bildschirm unten gezeigt.
    • Microsoft Entra ID SSO: Miniorange-Metadaten abrufen

  • Für SP – Abschnitt „Initiiertes SSO“Wählen Metadatendetails anzeigen.
    • Microsoft Entra ID als SAML IDP: SP-initiierte Metadaten

  • Klicken Sie auf Metadaten herunterladen.
    • Microsoft Entra ID SSO: SAML-Attribute

  • Melden Sie sich jetzt an bei Microsoft Entra ID Portal.
  • Auswählen Microsoft Entra-ID.
    • Microsoft Entra ID SSO: Klicken Sie auf Anzeige

  • Auswählen Unternehmensanwendung.
    • Microsoft Entra ID als IDP: Unternehmensanwendungen

  • Klicken Sie auf Neue Bewerbung.
    • Microsoft Entra ID SSO: Neue Anwendung hinzufügen

  • Klicken Sie auf Erstellen Sie Ihre eigene Anwendung für Microsoft Entra ID-Galerie durchsuchen.
    • Microsoft Entra ID als SAML IDP: Anwendung erstellen

  • Geben Sie den Namen für Ihre App ein und wählen Sie dann aus Nicht-Galerie-Anwendung Abschnitt und klicken Sie auf Erschaffung .
    • Microsoft Entra ID IDP: Nicht-Galerieanwendung

  • Klicken Sie auf Einmaliges Anmelden einrichten.
    • Microsoft Entra ID SSO-Identitätsanbieter: SSO einrichten

  • Wähle aus SAML Tab.
    • Microsoft Entra ID als IDP: Wählen Sie SAML

  • Laden Sie die heruntergeladene Metadatendatei hoch in Metadaten , um die Entitäts-ID, ACS-URLund die Einzelne Abmelde-URL von miniOrange.
    • Microsoft Entra ID SSO: SAML-Konfiguration

  • Standardmäßig Folgendes Attribute wird in der SAML-Antwort gesendet. Sie können die in der SAML-Antwort auf den Antrag gesendeten Ansprüche unter anzeigen oder bearbeiten Attribute Tab.
    • Microsoft Entra ID SSO: SAML-Attribute

  • Kopiere das App-Verbund-Metadaten-URL oder Laden Sie die Verbundmetadaten-XML-Datei um das zu bekommen Endpunkte Wird für die Konfiguration Ihres benötigt Dienstanbieter.
    • Microsoft Entra-ID als SAML-IDP: Verbundmetadatendatei

  • Weisen Sie Ihrer SAML-Anwendung Benutzer und Gruppen zu.
    • Aus Sicherheitsgründen stellt Microsoft Entra ID kein Token aus, mit dem sich ein Benutzer bei der Anwendung anmelden kann, es sei denn, Microsoft Entra ID hat dem Benutzer Zugriff gewährt. Benutzern kann der Zugriff direkt oder über eine Gruppenmitgliedschaft gewährt werden.
    • Navigieren Benutzer und Gruppen Tab und klicken Sie auf Benutzer/Gruppe hinzufügen.
      • Microsoft Entra ID als SAML IDP: Gruppen und Benutzer zuweisen

    • Klicken Sie auf Nutzer Ordnen Sie den gewünschten Benutzer zu und klicken Sie anschließend auf wählen.
      • Microsoft Entra ID SSO: Benutzer hinzufügen

    • Sie können Ihrer Bewerbung auch unten eine Rolle zuweisen Wählen Sie Rolle aus Abschnitt. Klicken Sie abschließend auf Weisen Klicken Sie auf die Schaltfläche, um diesen Benutzer oder diese Gruppe der SAML-Anwendung zuzuweisen.
  • Gehe zu miniOrange Admin-Konsole.
  • Wählen Sie in der linken Navigationsleiste aus Identitätsanbieter >> sofort klicken Identitätsanbieter hinzufügen.
    • Microsoft Entra ID SSO: Zu den Identitätsanbietern

  • Auswählen OAuth 2.0 und kopieren Sie die OAuth-Rückruf-URL die wir verwenden werden, um zu konfigurieren Microsoft Entra-ID als OAuth-Server/Provider.
    • Microsoft Entra ID Single Sign On: Wählen Sie OAuth 2.0

  • Melden Sie sich jetzt an Microsoft Entra ID Portal.
  • Auswählen Microsoft Entra-ID.
    • Wählen Sie die Microsoft Entra-ID

  • Klicken Sie im linken Navigationsbereich auf Verwalten >> App-Registrierungen.
    • Microsoft Entra ID SAML IDP: Gehen Sie zu Verwalten > App-Registrierungen

  • Klicken Sie auf Neue Registrierung.
    • Microsoft Entra ID Single Sign On: Klicken Sie auf Neue Registrierung

  • Wenn das Registrieren Sie eine Anwendung wird angezeigt. Geben Sie die Registrierungsinformationen Ihrer Anwendung ein.
    • Name: Name der Anwendung.
    • Unterstützte Kontotypen: Wählen Sie eine der aufgelisteten Optionen nach Ihrer Wahl. Sie können auch auf Auswahlhilfe eine Option, falls erforderlich.
    • Wählen Sie eine Plattform: wählen Web als Plattform und fügen Sie die kopierte Rückruf-/Umleitungs-URL (die wir kopiert haben in der über Schritt) In der Umleitungs-URI Textfeld.
  • Klicken Sie auf Registrieren.
    • Microsoft Entra ID IDP: Neue Anwendung hinzufügen

  • Microsoft Entra ID weist Ihrer Anwendung eine eindeutige Anwendungs-ID zu. Die Anwendungs-ID Ihr Kunden-ID und der Verzeichnis-ID Ihr Mieter ID, halten Sie diese Werte bereit, da Sie sie zum Konfigurieren des Dienstanbieters benötigen.
    • Microsoft Entra ID SSO: Anwendungs-ID und Verzeichnis-ID kopieren

  • Gehen Sie im linken Navigationsbereich zu Verwalten >> Zertifikate und Geheimnisse.
    • Microsoft Entra ID SAML IDP: Gehen Sie zu Verwalten > Zertifikate und Geheimnisse

  • Klicken Sie auf Neues KundengeheimnisGeben Sie Beschreibung und Ablaufzeit aus der Dropdown-Liste ein und klicken Sie auf Speichern .
    • Microsoft Entra ID SSO: Klicken Sie auf „Neues Clientgeheimnis“

  • Kopieren Sie den geheimen Schlüssel Wert und speichern Sie es, da Sie es später in Schritt 2 benötigen, um das Client Secret im miniOrange Service Provider zu konfigurieren.
    • Microsoft Entra-ID als IDP: Kopieren Sie den geheimen Wert, dies ist Ihr Client-Geheimnis.

  • Dann geh zu Übersicht >> Endpunkte, und kopieren Sie die OAuth 2.0-Autorisierungsendpunkt und OAuth 2.0-Token-Endpunkt, da diese später vergolten werden.
    • Microsoft Entra ID Single Sign On: Gehen Sie zu Übersicht > klicken Sie auf Endpunkte

2. Konfigurieren Sie Microsoft Entra ID als IDP in miniOrange


  • Gehe zu miniOrange Admin-Konsole.
  • Wählen Sie in der linken Navigationsleiste aus Identitätsanbieter.
  • Klicken Sie auf Identitätsanbieter hinzufügen .
    • Microsoft Entra ID SSO: Identitätsanbieter hinzufügen, um SSO zu konfigurieren

  • Auswählen SAML. Klicken Sie auf IDP-Metadaten importieren.
    • Wählen Sie SAML aus, um Microsoft Entra ID als IDP zu konfigurieren

  • Wählen Sie einen passenden IDP-Namen. Geben Sie die URL ein, die Sie im vorheriger Schritt von Microsoft Entra-ID.
  • Klicken Sie auf Import.
    • Microsoft Entra-ID als IdP-Importdaten

  • Wie im folgenden Bildschirm gezeigt IDP-Entitäts-ID, SAML-SSO-Anmelde-URL und x.509-Zertifikat wird aus der Metadaten-URL gefüllt, die wir gerade importiert haben.
    • Konfigurieren der Microsoft Entra-ID als IdP: SAML SSO-Anmelde-URL und x.509-Zertifikat

  • Klicken Sie auf Gespeichert.

    Befolgen Sie die Schritte, um Microsoft Entra ID per OAuth-Konfiguration als IdP zu konfigurieren.

  • Gehe zu miniOrange Admin-Konsole.
  • Wählen Sie in der linken Navigationsleiste aus Identitätsanbieter >> Identitätsanbieter hinzufügen. Wählen OAuth 2.0.
    • Microsoft Entra ID SSO: Identitätsanbieter auswählen

    Wählen Sie OAuth, um Microsoft Entra ID als IDP einzurichten

  • Geben Sie die folgenden Werte ein.
    • IdP-Name Benutzerdefinierter Anbieter
    IdP-Anzeigename Wählen Sie einen geeigneten Namen
    OAuth-Autorisierungsendpunkt https://login.microsoftonline.com/{Mieter-ID}/oauth2/autorisieren
    OAuth-Zugriffstoken-Endpunkt https://login.microsoftonline.com/{Mieter-ID}/oauth2/token
    OAuth-Endpunkt zum Abrufen von Benutzerinformationen (optional) https://graph.microsoft.com/oidc/userinfo
    Kunden-ID Ab Schritt 1
    Kundengeheimnis Ab Schritt 1
    Geltungsbereich openid-E-Mail-Profil

3. Testen Sie die Verbindung

  • Besuchen Sie Ihre URL der Anmeldeseite.
  • Gehe zu Identitätsanbieter Tab.
  • Suchen Sie Ihre App, klicken Sie auf die drei Punkte im Menü „Aktionen“ und wählen Sie aus Verbindung testen gegen den von Ihnen konfigurierten Identitätsanbieter (IDP).
    • Microsoft Entra ID-IDP-TestConnection

  • Wenn Sie gültige Microsoft Entra ID-Anmeldeinformationen eingeben (Anmeldeinformationen des Benutzers, der der in Microsoft Entra ID erstellten App zugewiesen ist), wird ein Popup-Fenster angezeigt, das im folgenden Bildschirm dargestellt ist.
    • SucessTestConn-Microsoft Entra ID-IDP

  • Daher ist Ihre Konfiguration der Microsoft Entra ID als IDP in miniOrange erfolgreich abgeschlossen.

Hinweis:

Sie können folgen dem Leitfaden, wenn Sie konfigurieren möchten SAML/WS-FED, OAuth/OIDC, JWT, Radius etc


Konfigurieren Sie die Attributzuordnung

  • Gehe zu Identitätsanbieter.
  • Klicken Sie im Menü „Aktionen“ auf die drei Punkte und wählen Sie aus Attributzuordnung gegen den von Ihnen konfigurierten Identitätsanbieter (IDP).
    • Microsoft Entra ID Single Sign-On SSO Auswählen und Konfigurieren der Attributzuordnung


Ordnet während der Just-In-Time (JIT)-Benutzererstellung Informationen wie E-Mail und Benutzername zu. Die Attribute „E-Mail“ und „Benutzername“ sind zum Erstellen des Benutzerprofils erforderlich.

  • Klicken Sie auf + Attribut hinzufügen Schaltfläche, um die Attributfelder hinzuzufügen.
    • Microsoft Entra ID Single Sign-On SSO Map USER-Attribut

  • Überprüfen Sie die Attribute im Fenster „Verbindung testen“ aus dem vorherigen Schritt. Wählen Sie unter „An SP gesendeter Attributname“ alle Attributnamen aus, die Sie an Ihre Anwendung senden möchten.
  • Geben Sie die Werte der vom IdP kommenden Attribute in das Feld „Attributname vom IdP“ auf der Xecurify-Seite ein.

EXTERNE Zuordnungen helfen dabei, eingehende Attributnamen zu ändern, bevor sie an Apps gesendet werden, und stellen sicher, dass die Daten im richtigen Format vorliegen.

  • Klicken Sie auf + Attribut hinzufügen Schaltfläche, um die Attributfelder hinzuzufügen.
    • Microsoft Entra ID Single Sign-On SSO-Zuordnung EXTERNAL-Attribut

  • Überprüfen Sie die Attribute im Fenster „Verbindung testen“ aus dem letzten Schritt. Geben Sie unter „An SP gesendeter Attributname“ die Attributnamen (beliebiger Name) ein, die Sie an Ihre Anwendung senden möchten.
  • Geben Sie den Wert der Attribute, die von IdP kommen, in das Feld „Attributname von IdP“ auf der Xecurify-Seite ein.

Konfigurieren Sie mehrere IDPs:

Sie können folgen dem Leitfaden, Wenn du möchtest Konfigurieren Sie mehrere IDPs (Identity Provider) und Geben Sie den Benutzern die Möglichkeit, den IDP auszuwählen ihrer Wahl zur Authentifizierung.


Problemlösung

Sie erhalten diese Fehlermeldung, wenn Sie versuchen, sich per SSO bei einer Anwendung anzumelden, die für die Verwendung der Microsoft Entra ID als externer IdP mit SAML- oder OAuth-basiertem Single Sign-On (SSO) eingerichtet wurde.

Fehler AADSTS50105 – Dem angemeldeten Benutzer ist keine Rolle für die Anwendung zugewiesen

Ursache:

Dem Benutzer wurde kein Zugriff auf die Anwendung in Microsoft Entra ID gewährt. Der Benutzer muss einer Gruppe angehören, die der Anwendung zugewiesen ist, oder direkt zugewiesen werden.

Auflösung:

Um einen oder mehrere Benutzer direkt einer Anwendung zuzuweisen, siehe Schnellstart: Zuweisen von Benutzern zu einer App.

Fehler AADSTS50003 – Kein Signaturschlüssel konfiguriert

Ursache:

Das Anwendungsobjekt ist beschädigt und Microsoft Entra ID erkennt das für die Anwendung konfigurierte Zertifikat nicht.

Auflösung:

Um das Zertifikat zu löschen und ein neues zu erstellen, führen Sie die folgenden Schritte aus:

  • Wählen Sie auf dem SAML-basierten SSO-Konfigurationsbildschirm im Abschnitt „SAML-Signaturzertifikat“ die Option „Neues Zertifikat erstellen“ aus.
  • Wählen Sie das Ablaufdatum aus und klicken Sie dann auf Speichern.
  • Aktivieren Sie „Neues Zertifikat aktivieren“, um das aktive Zertifikat zu überschreiben. Klicken Sie dann oben im Fenster auf „Speichern“ und akzeptieren Sie die Aktivierung des Rollover-Zertifikats.
  • Klicken Sie im Abschnitt „SAML-Signaturzertifikat“ auf „Entfernen“, um das nicht verwendete Zertifikat zu entfernen.

Fehler AADSTS50011 bei SAML-Authentifizierung - Die in der Anfrage angegebene Antwort-URL stimmt nicht überein

Ursache:

Der AssertionConsumerServiceURL-Wert in der SAML-Anforderung stimmt nicht mit dem in Microsoft Entra ID konfigurierten Wert oder Muster der Antwort-URL überein. Der AssertionConsumerServiceURL-Wert in der SAML-Anforderung ist die URL, die im Fehler angezeigt wird.

Auflösung:

Um das Problem zu beheben, führen Sie die folgenden Schritte aus:

  • Stellen Sie sicher, dass der AssertionConsumerServiceURL-Wert in der SAML-Anforderung mit dem in der Microsoft Entra-ID konfigurierten Antwort-URL-Wert übereinstimmt.
  • Überprüfen oder aktualisieren Sie den Wert im Textfeld „Antwort-URL“, damit er mit dem Wert „AssertionConsumerServiceURL“ in der SAML-Anforderung übereinstimmt.

Fehler AADSTS650056 – Falsch konfigurierte Anwendung

Ursache:

Das in der SAML-Anforderung von miniOrange an die Microsoft Entra-ID gesendete Ausstellerattribut stimmt nicht mit dem für miniOrange in der Microsoft Entra-ID konfigurierten Bezeichnerwert überein.

Auflösung:

Stellen Sie sicher, dass das Issuer-Attribut in der SAML-Anforderung mit dem in Microsoft Entra ID konfigurierten Identifier-Wert übereinstimmt.

Überprüfen Sie, ob der Wert im Textfeld „Bezeichner“ mit dem im Fehler angezeigten Bezeichnerwert übereinstimmt.

Fehler AADSTS70001 - Anwendung mit Kennung wurde nicht im Verzeichnis gefunden

Ursache:

Das von der Anwendung in der SAML-Anforderung an Microsoft Entra ID gesendete Ausstellerattribut stimmt nicht mit dem Bezeichnerwert überein, der für die Anwendung in Microsoft Entra ID konfiguriert ist.

Auflösung:

Stellen Sie sicher, dass das Issuer-Attribut in der SAML-Anforderung mit dem in Microsoft Entra ID konfigurierten Identifier-Wert übereinstimmt.

Überprüfen Sie auf der SAML-basierten SSO-Konfigurationsseite im Abschnitt Grundlegende SAML-Konfiguration, ob der Wert im Textfeld „Bezeichner“ mit dem Wert für den im Fehler angezeigten Bezeichnerwert übereinstimmt. Wenn am Ende der URL ein abschließender Schrägstrich steht, sollte dieser ebenfalls enthalten sein.

Fehler AADSTS75005 – Die Anforderung ist keine gültige Saml2-Protokollnachricht

Ursache:

Microsoft Entra ID unterstützt die von miniOrange gesendete SAML-Anforderung für einmaliges Anmelden nicht. Einige häufige Probleme sind:

  • In der SAML-Anforderung fehlen erforderliche Felder.
  • SAML-Anforderungscodierte Methode.

Auflösung:

Erfassen Sie die SAML-Anforderung im SAML Tracer.

Kontaktieren Sie uns und teilen Sie uns die folgenden Informationen mit:

Problem beim Anpassen der an miniOrange gesendeten SAML-Ansprüche

Informationen zum Anpassen der an Ihre Anwendung gesendeten SAML-Attributansprüche finden Sie unter Anspruchszuordnung in Microsoft Entra ID. Und siehe unten auch die Attributzuordnung in miniOrange.

Im Azure-Portal können Sie auf die Protokolle zugreifen, um erfolgreiche Anmeldungen zu überprüfen. Dies hilft dabei, eine Grundlage für eine erfolgreiche Authentifizierung zu schaffen. Wenn der Anmeldezugriff verweigert wird, überprüfen Sie die Anmeldeversuche in den Protokollen genau.

Microsoft Entra ID SSO: Aktivitätsklick auf Anmeldeprotokolle

Beheben von Anmeldeproblemen ohne Azure:

Sie können die SAML-Tracer-Erweiterung für Chrome verwenden, um SAML-bezogene Probleme in Operations Hub zu diagnostizieren und zu beheben. Führen Sie die folgenden Schritte aus:

  • SAML-Tracer installieren: Fügen Sie den SAML-Tracer Erweiterung für Ihren Chrome-Browser.
  • Zugriff auf SAML-Tracer: Öffnen Sie SAML-Tracer über Ihre Browsererweiterungen.
  • Reproduzieren Sie das Problem: Melden Sie sich wie gewohnt bei Operations Hub an, um das SSO-Anmeldeproblem zu reproduzieren.
  • SAML-Nachrichten prüfen: Suchen Sie im SAML-Tracer nach POST-Nachrichten
    • Wählen Sie die spezifische POST-Nachricht aus, die sich auf den SSO-Anmeldeversuch bezieht.
    • Als nächstes wählen Sie die Zusammenfassung für detaillierte Informationen zu den ausgetauschten SAML-Attributen.
    • Überprüfen Sie die während des SSO-Versuchs ausgetauschten SAML-Attributnamen und -Werte und vergleichen Sie sie mit den erwarteten Werten.
    • Wenn Sie feststellen, dass die Attributnamen der SAML-Gruppe falsch sind (siehe Screenshot), kann dies die Ursache für das Anmeldeproblem sein.
      • Microsoft Entra ID SSO: SAML Tracer

    • Ersetzen Sie die falschen Attributnamen durch die richtigen, um das Anmeldeproblem zu beheben.

Azure-Anmeldebildschirm wird abgerufen:

Falls der Azure-Anmeldebildschirm nicht angezeigt wird, gehen Sie wie folgt vor, um das Problem zu beheben:

  • Überprüfen Sie Ihre SAML Azure-Konfiguration. Überprüfen Sie den Gruppenattributnamen und den entsprechenden Gruppennamen. Jede Nichtübereinstimmung bei Attributnamen kann zu Zugriffsproblemen führen.
  • Leeren Sie Ihren Browser-Cache und melden Sie sich erneut an.

Weitere Informationen

Möchten Sie eine Demo planen?

Demo anfordern
  



Unsere anderen Identity & Access Management-Produkte

Single Sign-On

Nahtlose Anmeldung der Mitarbeiter- und Kundenidentität bei Cloud- oder On-Premise-Apps

Mehr erfahren

Multi-Faktor-Authentifizierung

Sicherer Zugriff für Identitäten mit einer zusätzlichen Authentifizierungsebene

Mehr erfahren

Adaptive Authentifizierung

Blockieren oder gewähren Sie den Benutzerzugriff basierend auf IP, Gerät, Zeit und Standort

Mehr erfahren

Lebenszyklus-Management

Verwalten und automatisieren Sie die Bereitstellung und Debereitstellung von Benutzern für Apps.

Mehr erfahren