Verbinden Sie Microsoft Entra DS mit LDAP

---

Microsoft-Eingabe ist Microsofts Cloud-basiertes Identity and Access Management (IAM)-Dienst, der Ihren Mitarbeitern die Anmeldung und den Zugriff auf Ressourcen erleichtert. miniOrange bietet eine Lösung, mit der vorhandene Identitäten in Microsoft Entra Services für Single Sign-On (SSO) in verschiedenen Cloud- und On-Premise-Anwendungen genutzt werden können. Microsoft Entra unterstützt Standard-Authentifizierungs- und Autorisierungsprotokolle wie LDAPS, SAML 2.0 und OAUTH 2.0.
Zur Interaktion mit Ihrer verwalteten Domäne von Microsoft Entra Domain Services wird meist das Lightweight Directory Access Protocol (LDAP) verwendet. Standardmäßig wird der LDAP-Datenverkehr nicht verschlüsselt, was in vielen Umgebungen ein Sicherheitsrisiko darstellt. Mit Microsoft Entra Domain Services können Sie die verwaltete Domäne so konfigurieren, dass das sichere Lightweight Directory Access Protocol (LDAPS) verwendet wird. Wenn Sie sicheres LDAP verwenden, wird der Datenverkehr verschlüsselt. Sicheres LDAP wird auch als LDAP über Secure Sockets Layer (SSL) bezeichnet.

Wie funktioniert Microsoft Entra über LDAPS?

Befolgen Sie die unten stehende Schritt-für-Schritt-Anleitung, um eine sichere LDAP-Verbindung zwischen Microsoft Entra und dem miniOrange User Store zu konfigurieren.

1. Erstellen und Konfigurieren einer Microsoft Entra Domain Services-Instanz

(Überspringen Sie dies, wenn Sie bereits eine AADDS-Instanz für ein Abonnement konfiguriert haben.)

1. Voraussetzungen

• Ein aktives Azure-Abonnement.
• Du brauchst globaler Administrator Berechtigungen in Ihrem Microsoft Entra-Mandanten, um Microsoft Entra-Domänendienste entweder synchronisiert mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis zu aktivieren.
• Du brauchst Beiträger Berechtigungen in Ihrem Azure-Abonnement, um die erforderlichen Microsoft Entra Domain Services-Ressourcen zu erstellen.

1.1 Erstellen Sie eine Instanz und konfigurieren Sie Grundeinstellungen

• Klicken Sie in der oberen linken Ecke des Azure-Portals auf + Erstellen Sie eine Ressource.
• Geben Sie Domain Services in die Suchleiste ein und wählen Sie dann Microsoft Entra-Domänendienste aus den Suchvorschlägen.



• Klicken Sie auf der Seite Microsoft Entra Domain Services auf ErschaffungDer Assistent „Microsoft Entra-Domänendienste aktivieren“ wird gestartet.



• Füllen Sie die Felder im Fenster „Grundlagen“ des Azure-Portals aus, um eine Microsoft Entra DS-Instanz zu erstellen:
  • Geben Sie unter Berücksichtigung der vorherigen Punkte einen DNS-Domänennamen für Ihre verwaltete Domäne ein.
  • Wählen Sie das Azure-Abonnement aus, in dem Sie die verwaltete Domäne erstellen möchten.
  • Wählen Sie die Ressourcengruppe aus, zu der die verwaltete Domäne gehören soll. Wählen Sie „Neu erstellen“ oder wählen Sie eine vorhandene Ressourcengruppe aus.
  • Wählen Sie den Azure-Standort aus, an dem die verwaltete Domäne erstellt werden soll.
  • Klicken Sie auf „OK“, um zum Abschnitt „Netzwerk“ zu gelangen.

1.2 Erstellen und konfigurieren Sie das virtuelle Netzwerk

• Füllen Sie die Felder im Netzwerkfenster wie folgt aus:
  • Wählen Sie im Fenster „Netzwerk“ die Option „Virtuelles Netzwerk auswählen“.
  • Wählen Sie für dieses Lernprogramm „Neues virtuelles Netzwerk erstellen, in dem Microsoft Entra DS bereitgestellt werden soll“.
  • Geben Sie einen Namen für das virtuelle Netzwerk ein, z. B. myVnet, und geben Sie dann einen Adressbereich an, z. B. 10.1.0.0/16.
  • Erstellen Sie ein dediziertes Subnetz mit einem eindeutigen Namen, z. B. DomainServices. Geben Sie einen Adressbereich an, z. B. 10.1.0.0/24.
• Nachdem das virtuelle Netzwerk und das Subnetz erstellt wurden, sollte das Subnetz automatisch ausgewählt werden, z. B. DomainServices. Sie können stattdessen ein alternatives vorhandenes Subnetz auswählen, das Teil des ausgewählten virtuellen Netzwerks ist.
• Klicken Sie auf OK um die Konfiguration des virtuellen Netzwerks zu bestätigen.

1.3 Konfigurieren Sie eine administrative Gruppe

• Der Assistent erstellt automatisch die AAD DC-Administratoren Gruppe in Ihrem Microsoft Entra-Verzeichnis. Wenn Sie eine vorhandene Gruppe mit diesem Namen in Ihrem Microsoft Entra-Verzeichnis haben, wählt der Assistent diese Gruppe aus. Sie können optional weitere Benutzer zu dieser Gruppe hinzufügen. AAD DC-Administratoren Gruppe während des Bereitstellungsprozesses.
  
  Anmerkungen: Weiter unten in diesem Dokument haben wir Mitglieder der Administratorgruppe aufgenommen.

1.4 Synchronisierung konfigurieren

• Mit Microsoft Entra Domain Services können Sie alle in Microsoft Entra verfügbaren Benutzer und Gruppen synchronisieren oder eine eingeschränkte Synchronisierung nur bestimmter Gruppen durchführen.
• Wählen Sie den Bereich aus und klicken Sie dann auf OK.
  
  Anmerkungen: Der Geltungsbereich kann später nicht mehr geändert werden. Bei Bedarf ist die Erstellung einer neuen Domain erforderlich.

1.5 Stellen Sie Ihre verwaltete Domäne bereit

• Überprüfen Sie auf der Seite „Zusammenfassung“ des Assistenten die Konfigurationseinstellungen für die verwaltete Domäne. Sie können zu jedem Schritt des Assistenten zurückkehren, um Änderungen vorzunehmen
• Um die verwaltete Domäne zu erstellen, klicken Sie auf OK.
• Der Bereitstellungsprozess Ihrer verwalteten Domäne kann bis zu einer Stunde dauern. Im Portal wird eine Benachrichtigung angezeigt, die den Fortschritt Ihrer Microsoft Entra DS-Bereitstellung anzeigt. Wählen Sie die Benachrichtigung aus, um den detaillierten Fortschritt der Bereitstellung anzuzeigen.
• Wenn die verwaltete Domäne vollständig bereitgestellt ist, wird auf der Registerkarte „Übersicht“ der Domänenstatus „Wird ausgeführt“ angezeigt.



Anmerkungen: Während des Bereitstellungsprozesses erstellt Microsoft Entra DS in Ihrem Verzeichnis zwei Unternehmensanwendungen mit den Namen „Domain Controller Services“ und „AzureActiveDirectoryDomainControllerServices“. Diese Unternehmensanwendungen werden für die Wartung Ihrer verwalteten Domäne benötigt. Es ist unbedingt erforderlich, dass diese Anwendungen zu keinem Zeitpunkt gelöscht werden.

2. Erstellen und delegieren Sie Zertifikate für sicheres LDAP

2.1 Erstellen Sie ein selbstsigniertes Zertifikat

• So verwenden Sie Sicheres LDAPwird ein digitales Zertifikat zum Verschlüsseln der Kommunikation verwendet. Dieses digitale Zertifikat wird auf Ihre von Microsoft Entra DS verwaltete Domäne angewendet.
• Öffne eine Powershell Fenster als Administrator und führen Sie die folgenden Befehle aus.
  
  Anmerkungen: Ersetzen Sie die Variable $dnsName durch den DNS-Namen, der von Ihrer eigenen verwalteten Domäne verwendet wird, z. B. exampledomain.com. Diese Domäne sollte mit Ihrer von ADDS verwalteten Domäne identisch sein.
# Define your own DNS name used by your Microsoft Entra DS managed domain $dnsName="exampledomain.com" # Get the current date to set a one-year expiration $lifetime=Get-Date # Create a self-signed certificate for use with Microsoft Entra DS New-SelfSignedCertificate -Subject *.$dnsName ` -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment ` -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

2.2 Exportieren eines Zertifikats für Microsoft Entra DS

Bevor Sie das im vorherigen Schritt erstellte digitale Zertifikat mit Ihrer von Microsoft Entra DS verwalteten Domäne verwenden können, exportieren Sie das Zertifikat in eine PFX-Zertifikatdatei, die den privaten Schlüssel enthält.


• Um das Dialogfeld „Ausführen“ zu öffnen, drücken Sie die Tasten Windows und R.
• Öffnen Sie den Microsoft Store auf Ihrem Windows-PC Microsoft-Verwaltungskonsole (MMC) indem Sie MMC im Dialogfeld „Ausführen“ eingeben und dann „OK“ auswählen.
• Klicken Sie in der Eingabeaufforderung der Benutzerkontensteuerung auf Ja um MMC als Administrator zu starten.
• Klicken Sie im Menü Datei auf Snap-in hinzufügen/entfernen…
• Im Snap-In-Assistent für Zertifikate, wählen ComputerkontoUnd wählen Sie dann > Weiter
• Wählen Sie auf der Seite „Computer auswählen“ die Option „Lokaler Computer:“ (der Computer, auf dem diese Konsole ausgeführt wird) und dann „Fertig stellen“ aus.
• Im Snap-Ins hinzufügen oder entfernen Dialog, klicken Sie auf OK um das Zertifikat-Snap-In zu MMC hinzuzufügen.
• Erweitern Sie im MMC-Fenster Konsolen-Root. Wählen Sie Zertifikate (Lokaler Computer) aus und erweitern Sie dann das Persönlicher Knoten, gefolgt von der Knoten „Zertifikate“..



• Das im vorherigen Schritt erstellte selbstsignierte Zertifikat wird angezeigt, z. B. exampledomain.com. Klicken Sie mit der rechten Maustaste auf dieses Zertifikat und wählen Sie dann Alle Aufgaben > Exportieren…



• Im Zertifikatsexport-Assistent, wählen Sie Weiter.
• Der private Schlüssel für das Zertifikat muss exportiert werden. Wenn der private Schlüssel nicht im exportierten Zertifikat enthalten ist, schlägt die Aktion zum Aktivieren von sicherem LDAP für Ihre verwaltete Domäne fehl.
  Wählen Sie auf der Seite „Privaten Schlüssel exportieren“ die Option „Ja, privaten Schlüssel exportieren“ und dann „Weiter“ aus.



• Von Microsoft Entra DS verwaltete Domänen unterstützen nur die .PFX-Zertifikatdateiformat Dazu gehört auch der private Schlüssel. Exportieren Sie das Zertifikat nicht im .CER-Zertifikatdateiformat ohne den privaten Schlüssel.
• Wählen Sie auf der Seite „Dateiformat exportieren“ die Option aus Persönlicher Informationsaustausch – PKCS #12 (.PFX) als Dateiformat für das exportierte Zertifikat. Aktivieren Sie das Kontrollkästchen „Wenn möglich alle Zertifikate in den Zertifizierungspfad einbeziehen“ und klicken Sie auf „Weiter“.



• Wählen Sie auf der Seite „Sicherheit“ die Option für Passwort zum Schutz der .PFX-Zertifikatdatei. Geben Sie ein Kennwort ein, bestätigen Sie es und wählen Sie dann Weiter. Dieses Kennwort wird im nächsten Abschnitt verwendet, um sicheres LDAP für Ihre von Microsoft Entra DS verwaltete Domäne zu aktivieren.



• Geben Sie auf der Seite „Zu exportierende Datei“ den Dateinamen und den Speicherort an, an den Sie das Zertifikat exportieren möchten, z. B C:\Benutzer\Kontoname\azure-ad-ds.pfx.
• Klicken Sie auf der Überprüfungsseite auf „Fertig stellen“. Exportieren Sie das Zertifikat in eine .PFX-Zertifikatdatei. Wenn das Zertifikat erfolgreich exportiert wurde, wird ein Bestätigungsdialog angezeigt
• Lassen Sie die MMC zur Verwendung im folgenden Abschnitt geöffnet.

2.3 Exportieren Sie ein Zertifikat für Client-Computer

Clientcomputer müssen dem Aussteller des sicheren LDAP-Zertifikats vertrauen, um mithilfe von LDAPS erfolgreich eine Verbindung zur verwalteten Domäne herstellen zu können. Die Clientcomputer benötigen ein Zertifikat, um Daten erfolgreich verschlüsseln zu können, die von Microsoft Entra DS entschlüsselt werden. Führen Sie die folgenden Schritte aus, um das selbstsignierte Zertifikat zu exportieren und anschließend im vertrauenswürdigen Zertifikatspeicher auf dem Clientcomputer zu installieren:


• Gehen Sie zurück zur MMC Zertifikate (Lokaler Computer) > Persönlich > Zertifikatsspeicher. Das in einem vorherigen Schritt erstellte selbstsignierte Zertifikat wird angezeigt, z. B. exampledomain.com. Klicken Sie mit der rechten Maustaste auf dieses Zertifikat und wählen Sie dann „Alle Aufgaben“ > „Exportieren…“.
• Wählen Sie im Zertifikatexport-Assistenten „Weiter“ aus.
• Da Sie den privaten Schlüssel für Clients nicht benötigen, ist dies der Fall Wählen Sie auf der Seite „Privaten Schlüssel exportieren“ Nein, exportieren Sie den privaten Schlüssel nicht und wählen Sie dann Weiter aus.



• Wählen Sie auf der Seite „Dateiformat exportieren“ die Option aus Base-64-kodiertes X.509 (.CER) als Dateiformat für das exportierte Zertifikat:



• Geben Sie auf der Seite „Zu exportierende Datei“ den Dateinamen und den Speicherort an, an den Sie das Zertifikat exportieren möchten, z. B. C:\Benutzer\Kontoname\client.cer.



• Wählen Sie auf der Überprüfungsseite Fertig stellen bis aus Exportieren Sie das Zertifikat in eine .CER-Zertifikatdatei. Wenn das Zertifikat erfolgreich exportiert wurde, wird ein Bestätigungsdialog angezeigt.

3. Aktivieren Sie Secure LDAP für Microsoft Entra DS

• Im Azure-Portal, suchen Sie im Feld „Ressourcen durchsuchen“ nach Domänendiensten. Wählen Microsoft Entra-Domänendienste aus dem Suchergebnis.



• Wählen Sie Ihre verwaltete Domäne aus, z. B. exampledomain.com.



• Wählen Sie auf der linken Seite des Microsoft Entra DS-Fensters Sicheres LDAP.



• Standardmäßig ist der sichere LDAP-Zugriff auf Ihre verwaltete Domäne deaktiviert. Schalten Sie „Sicheres LDAP“ auf „Aktivieren“..
• Toggle Ermöglichen Sie sicheren LDAP-Zugriff über das Internet ermöglichen.
• Wählen Sie das Ordnersymbol daneben aus .PFX-Datei mit einem sicheren LDAP-Zertifikat. Navigieren Sie zum Pfad der PFX-Datei und wählen Sie dann das in einem vorherigen Schritt erstellte Zertifikat aus, das den privaten Schlüssel enthält.
• Geben Sie das Passwort zum Entschlüsseln der PFX-Datei ein, das Sie in einem vorherigen Schritt festgelegt haben, als das Zertifikat in eine PFX-Datei exportiert wurde.
• Klicken Sie auf Gespeichert um sicheres LDAP zu aktivieren.
  
  Anmerkungen: Es wird eine Benachrichtigung angezeigt, dass sicheres LDAP für die verwaltete Domäne konfiguriert wird. Sie können andere Einstellungen für die verwaltete Domäne erst ändern, wenn dieser Vorgang abgeschlossen ist. Es dauert einige Minuten, sicheres LDAP für Ihre verwaltete Domäne zu aktivieren.



• Es wird eine Benachrichtigung angezeigt, dass sicheres LDAP für die verwaltete Domäne konfiguriert wird. Sie können andere Einstellungen für die verwaltete Domäne erst ändern, wenn dieser Vorgang abgeschlossen ist. Es dauert eine wenige Minuten um sicheres LDAP für Ihre verwaltete Domäne zu aktivieren.

4. Sicherheitsregeln hinzufügen

• Wählen Sie auf der linken Seite des Microsoft Entra DS-Fensters Eigenschaften im Vergleich.
• Wählen Sie dann das entsprechende aus Verbunden mit der Netzwerkgruppe mit dieser Domäne unter der Netzwerksicherheitsgruppe, die dem Subnetz zugeordnet ist.



• Die Liste der vorhandenen Sicherheitsregeln für eingehenden und ausgehenden Datenverkehr wird angezeigt. Wählen Sie auf der linken Seite des Netzwerksicherheitsgruppenfensters „Sicherheit“ > „Eingehende Sicherheitsregeln“.
• Auswählen Speichernund erstellen Sie dann eine Regel, um den TCP-Port 636 zuzulassen.
• Option A: Fügen Sie eine Eingangssicherheitsregel hinzu, um alle eingehenden TCP-Anfragen zuzulassen.



Einstellungen	Wert
Quelle	Jedes
Quellportbereiche	*
Reiseziel	Jedes
Zielportbereiche	636
Protokoll	TCP
Action	Erlauben
Priorität	401
Name	Erlaube LDAPS



• Option B: Fügen Sie eine Eingangssicherheitsregel hinzu, um eingehende TCP-Anfragen von einem angegebenen Satz von IP-Adressen zuzulassen.(Empfohlen)



Einstellungen	Wert
Quelle	IP-Adressen
Quell-IP-Adressen/CIDR-Bereiche	Gültige IP-Adresse oder gültiger IP-Bereich für Ihre Umgebung.
Quellportbereiche	*
Reiseziel	Jedes
Zielportbereiche	636
Protokoll	TCP
Action	Erlauben
Priorität	401
Name	Erlaube LDAPS





• Wenn Sie fertig sind, klicken Sie auf Speichern um die Regel zu speichern und anzuwenden.

5. Konfigurieren Sie DNS für den externen Zugriff

• Wenn der sichere LDAP-Zugriff über das Internet aktiviert ist, aktualisieren Sie die DNS-Zone, damit Clientcomputer diese verwaltete Domäne finden können. Die externe Secure LDAP-IP-Adresse ist auf der Registerkarte „Eigenschaften“ für Ihre von Microsoft Entra DS verwaltete Domäne aufgeführt:



• Machen Sie den folgenden Eintrag in Ihrer Hosts-Datei <Secure LDAP external IP address>ldaps.<domainname>
Replace <Secure LDAP external IP address> with the IP we get from azure portal and replace
&l;tdomainname> with the domain name for which the certificate was created.(Value used in $dnsName)
Eg: 99.129.99.939 ldaps.exampledomain.com

6. Einem Benutzer die erfolgreiche Bindung ermöglichen

• Wählen Sie auf der linken Seite des Microsoft Entra DS-Fensters Eigenschaften im Vergleich.
• Wählen Sie dann das entsprechende aus Admin-Gruppe zugeordnet mit dieser Domain.



• Dann wählen Sie Mitglieder unter der Registerkarte „Verwalten“ im linken Seitenbereich.



• Klicken Sie auf Mitglieder hinzufügen und wählen Sie das Mitglied aus, das Sie für die Bindungsoperation verwenden würden. Melden Sie sich dann mit demselben Benutzer beim Azure-Portal an, der jetzt Administrator ist. (Falls nicht bereits angemeldet)
• Wählen Sie oben rechts die Benutzereinstellung aus und klicken Sie auf Konto ansehen.



• Wählen Sie dann „Self-Service-Passwort-Reset einrichten“ und fahren Sie mit der Einrichtung fort.



• Wählen Sie nach erfolgreicher Einrichtung Azure Portal aus der Liste der Apps aus.



• Gehen Sie dann erneut zum Benutzerprofil und wählen Sie Passwort ändern.



• Sobald das Passwort erfolgreich geändert wurde, ist dieser Benutzer für den Bindungsvorgang berechtigt.

7. Konfigurieren Sie den miniOrange Identity Provider als Benutzerspeicher

• Cloud-Benutzer
• On-Premise-Benutzer

• In diesem Fall müssen Sie die Client-Zertifikat zu miniOrange und wir konfigurieren es für Sie.
• Konfigurieren Sie den Benutzerspeicher im IDP:
  • Klicken Sie auf Identitätsanbieter >> Identitätsanbieter hinzufügen im linken Menü des Dashboards.
  
  
  
  • Wählen Sie unter „Identitätsanbieter auswählen“ AD/LDAP-Verzeichnisse aus dem Dropdown.
  
  
  
  • Dann suchen Sie nach AD/LDAP und klicke es an.
  
  
  
  • LDAP-KONFIGURATION IN MINIORANGE SPEICHERN: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in miniOrange behalten möchten. Befindet sich das Active Directory hinter einer Firewall, müssen Sie die Firewall öffnen, um eingehende Anfragen an Ihr AD zuzulassen.
  • SPEICHERN SIE DIE LDAP-KONFIGURATION VOR ORT: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in Ihrem Gebäude behalten und nur den Zugriff auf AD innerhalb des Gebäudes zulassen möchten. Sie müssen herunterladen und installieren miniOrange-Gateway auf Ihrem Gelände.
  
  
  
  
  • Enter LDAP-Anzeigename und LDAP-Identifikator Namen.
  • Auswählen Verzeichnistyp as Active Directory.
  • Geben Sie die LDAP-Server-URL oder IP-Adresse in das Feld LDAP-Server-URL Feld.
  • Klicken Sie auf Verbindung testen Klicken Sie auf die Schaltfläche, um zu überprüfen, ob die Verbindung mit Ihrem LDAP-Server.
  
  
  
  • Gehen Sie in Active Directory zu den Eigenschaften von Benutzercontainern/OUs und suchen Sie nach dem Distinguished Name-AttributDas Bind-Konto sollte über die erforderlichen Mindestleseberechtigungen in Active Directory verfügen, um Verzeichnissuchen zu ermöglichen. Wenn der Anwendungsfall die Bereitstellung umfasst (z. B. Erstellen, Aktualisieren oder Löschen von Benutzern oder Gruppen), muss dem Konto auch die entsprechenden Schreibberechtigungen erteilt werden.
  
  
  
  • Geben Sie das gültige Kennwort für das Bind-Konto ein.
  • Klicken Sie auf Testen der Anmeldeinformationen für das Bind-Konto Schaltfläche, um Ihre LDAP-Bind-Anmeldeinformationen für die LDAP-Verbindung zu überprüfen.
  
  
  
  • Suchbasis ist die Stelle im Verzeichnis, an der die Suche nach einem Benutzer beginnt. Sie erhalten diese von derselben Stelle, an der Sie Ihren Distinguished Name haben.
  
  
  
  • Wählen Sie einen geeigneten Suchfilter aus dem Dropdown-Menü. Wenn Sie Benutzer im Einzelgruppenfilter or Benutzer im Mehrfachgruppenfilter, ersetze dasGruppen-DN> im Suchfilter mit dem Distinguished Name der Gruppe, in der Ihre Benutzer vorhanden sind. Um benutzerdefinierte Suchfilter zu verwenden, wählen Sie „Schreiben Sie Ihren benutzerdefinierten Filter“ Option und passen Sie sie entsprechend an.
  
  
  
  • Klicken Sie auf Nächster oder gehen Sie zum Anmeldeoptionen Tab.
  • Sie können beim Einrichten von AD auch folgende Optionen konfigurieren. Aktivieren Aktivieren Sie LDAP um Benutzer von AD/LDAP zu authentifizieren. Klicken Sie auf das Nächster Schaltfläche, um einen Benutzerspeicher hinzuzufügen.
  
  
  

  Hier ist die Liste der Attribute und was sie bewirken, wenn wir sie aktivieren. Sie können sie entsprechend aktivieren/deaktivieren.

  Attribut	Beschreibung
  Aktivieren Sie LDAP	Alle Benutzerauthentifizierungen werden mit LDAP-Anmeldeinformationen durchgeführt, wenn Sie es aktivieren
  Fallback-Authentifizierung	Wenn die LDAP-Anmeldeinformationen fehlschlagen, wird der Benutzer über miniOrange authentifiziert.
  Administratoranmeldung aktivieren	Wenn Sie dies aktivieren, wird Ihr miniOrange Administrator-Login über Ihren LDAP-Server authentifiziert.
  Benutzern IdP anzeigen	Wenn Sie diese Option aktivieren, ist dieser IdP für Benutzer sichtbar
  Benutzer in miniOrange synchronisieren	Benutzer werden in miniOrange nach der Authentifizierung mit LDAP erstellt

  • Klicken Sie auf Nächster oder gehen Sie zum Attribute Tab.

  Attributzuordnung aus AD

  • Standardmäßig sind Benutzername, Vorname, Nachname und E-Mail konfiguriert. Scrollen Sie nach unten und klicken Sie auf Konfigurationen speichernUm zusätzliche Attribute aus Active Directory abzurufen, aktivieren Sie Konfigurierte Attribute sendenGeben Sie links den Namen ein, den Sie für die Anwendungen freigeben möchten. Geben Sie rechts den Attributnamen aus Active Directory ein. Wenn Sie beispielsweise ein Firmenattribut aus Active Directory abrufen und als Organisation an konfigurierte Anwendungen senden möchten, geben Sie Folgendes ein:

    An SP gesendeter Attributname = Organisation
    Attributname vom IDP = Unternehmen

  
  
  
  
  

  Benutzerimport und Provisionierung aus AD

  • Wenn Sie die Bereitstellung einrichten möchten, hier klicken für detaillierte Informationen. Wir werden diesen Schritt vorerst überspringen.
  
  
  

  Testverbindungen

  • Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Verbindung testen.
  
  
  
  • Es wird ein Popup-Fenster angezeigt, in dem Sie aufgefordert werden, einen Benutzernamen und ein Kennwort einzugeben, um Ihre LDAP-Konfiguration zu überprüfen.
  
  
  
  • On Erfolgreich Bei der Verbindung mit dem LDAP-Server wird eine Erfolgsmeldung angezeigt.
  
  
  

  Testen Sie die Attributzuordnung

  • Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Testen Sie die Attributzuordnung.
  
  
  
  • Ein Popup wird angezeigt, in dem Sie einen Benutzernamen eingeben und auf klicken können. Test.
  
  
  
  • Das Ergebnis der Testattributzuordnung wird angezeigt.
  
  
  

  Die Konfiguration „AD als externes Verzeichnis einrichten“ ist abgeschlossen.

  
  

  Hinweis: Verweisen Sie auf unsere Entwicklung um LDAP auf einem Windows-Server einzurichten.

• Voraussetzungen:

  Installieren Sie Keytool für Windows. (Es wird mit Java installiert und befindet sich im Verzeichnis $JAVA_HOME\bin. Um es anderswo zu verwenden, fügen Sie dieses Verzeichnis der Variable PATH hinzu.)

• Um das Client-Zertifikat (.cer-Datei) zu Ihren JAVA-Cacerts hinzuzufügen, gehen Sie zu $JAVA_HOME\jre\lib\security und führen Sie in der Eingabeaufforderung als Administrator den folgenden Befehl aus:
   keytool -importcert -file -keystore cacerts -alias " "
   Beispiel: keytool -importcert -file C:\Client.cer -keystore cacerts -alias "azureclient"
Anmerkungen: Das Standardkennwort für den Schlüsselspeicher lautet: changeit




• Mit dem folgenden Befehl können Sie überprüfen, ob Ihr Zertifikat ordnungsgemäß in cacerts importiert wurde:
   keytool -list -v -keystore $JAVA_HOME/jre/lib/security/cacerts

Externe Referenzen

• Was ist LDAP?
• LDAP-Login für Wordpress
• Konfigurieren von Azure B2C SSO in mehreren Apps
• Erfahren Sie mehr über Directory as a Service (DaaS)
• Erfahren Sie, wie Palo Alto VPN 2FA funktioniert
• Bereitstellungskonfiguration für Microsoft Entra ID (Azure AD)