Einige der technischen Inhalte auf dieser Seite sind nur in englischer Sprache verfügbar.

Microsoft Entra ID für SSO und Benutzerimport konfigurieren

Dieser Leitfaden erklärt, welche Dienste erstellt und welche Einstellungen im Azure Portal konfiguriert werden müssen, um Single Sign-On (SSO) zu aktivieren und Microsoft Entra ID (ehemals Azure Active Directory) Benutzer als Salto IDM Benutzer zu importieren.

Anleitung

Folgen Sie diesen Anweisungen, um eine App-Registrierung zu erstellen und korrekt in Salto IDM zu konfigurieren.

Schritt 1: Registrieren Sie die Anwendung bei Ihrem Microsoft Entra ID-Mandanten

  1. Navigieren Sie zur Seite Azure-Portal – App-Registrierungen.

  2. Wählen Sie entweder eine vorhandene Anwendung auf der Registerkarte Alle Anwendungen aus oder klicken Sie auf Neue Registrierung.

  3. Wenn die Seite Anwendung registrieren angezeigt wird, geben Sie die Registrierungsinformationen Ihrer Anwendung ein:

    • Geben Sie im Abschnitt Name einen aussagekräftigen Namen ein, zum Beispiel SaltoIDM-EntraID-Integration.
    • Wählen Sie im Abschnitt Unterstützte Kontotypen eine der folgenden Optionen aus:
      • Um externe Benutzer und Konten aus verschiedenen Domänen und Mandanten zuzulassen, wählen Sie Konten in einem beliebigen Organisationsverzeichnis (Beliebiger Microsoft Entra ID-Mandant – Mehrinstanzenfähig) aus.
      • Um nur interne Benutzer und Konten aus Ihrer eigenen Domäne und Ihrem eigenen Mandanten zuzulassen, wählen Sie Konten in diesem Organisationsverzeichnis (nur Ihr Mandantenname – Einzelmandant) aus.
    • Wählen Sie im Abschnitt Redirect URI (optional) die Option Web aus der Dropdown-Liste aus und geben Sie die folgende URL ein: https://{{HOSTNAME}}:{{PORT}}/signin-microsoft

    Seite zum Registrieren einer Anwendung im Azure-Portal

  4. Klicken Sie auf Registrieren, um die Anwendung zu erstellen.

Verwenden Sie für die Redirect-URI HTTPS (nicht HTTP). Ersetzen Sie {{HOSTNAME}} und {{PORT}} durch den tatsächlichen Host und Port, mit denen die Anwendung ausgeführt wird.

Wenn die Produktionsumgebung auf dem Standard-HTTPS-Port 443 ausgeführt wird, müssen Sie den Port nicht angeben (zum Beispiel https://demo.saltoidm.com/signin-microsoft).

Um Ihre Registrierungen sauber und isoliert zu halten, erstellen Sie bitte separate App-Registrierungen für verschiedene Umgebungen (z. B. Localhost, Produktion, Staging usw.). Dies erleichtert Ihnen die Fehlersuche und Problemlösung.

Schritt 2: Anwendungsauthentifizierung konfigurieren

  1. Öffnen Sie die Seite für die App-Registrierung und wählen Sie dort die Registerkarte Authentifizierung aus.

  2. Aktualisieren Sie Ihre Front-Channel Logout URL, damit diese auf https://{{HOSTNAME}}{{PORT}}/Account/Signout verweist.

  3. Aktivieren Sie die folgenden Optionen, damit der Autorisierungsendpunkt die korrekten Token ausstellen kann:

    • Zugriffstoken (verwendet für implizite Abläufe)
    • ID-Token (verwendet für implizite und hybride Abläufe)

    Registerkarte Authentifizierung mit ausgewählten Zugriffs- und ID-Token

Schritt 3: Anwendungsgeheimnis konfigurieren

  1. Klicken Sie auf die Registerkarte Zertifikate & Secrets und dann auf Neues Client-Secret.

  2. Fügen Sie Ihrem Secret eine aussagekräftige Beschreibung hinzu und legen Sie ein Ablaufdatum gemäß Ihren eigenen Sicherheits- und Wartungsregeln fest.

    Hinzufügen eines Client-Secrets mit Beschreibung und Ablaufdatum

  3. Sobald Sie das Secret erstellt haben, kopieren Sie den Secret Value (nicht die Secret ID) und speichern Sie ihn an einem sicheren Ort, wie zum Beispiel einem Passwort-Manager. Sobald Sie diese Seite verlassen, können Sie den Wert nicht mehr sehen. Wenn Sie ihn nicht speichern, müssen Sie das Secret neu erstellen.

Nach Ablauf des Secrets funktioniert SSO nicht mehr. Sie müssen ein neues Secret erstellen und seinen Wert in Salto IDM aktualisieren.

Stellen Sie sicher, dass Sie einen Mechanismus eingerichtet haben, der Sie vor Ablauf des Secrets benachrichtigt, um Anmeldeprobleme in Produktionsumgebungen zu vermeiden.

Schritt 4: Anwendungsspezifische Ansprüche konfigurieren

  1. Öffnen Sie die Registerkarte Token-Konfiguration und klicken Sie dort auf Optionale Ansprüche hinzufügen.

  2. Wählen Sie für Tokentyp den Wert ID aus und aktivieren Sie die folgenden Ansprüche:

    • E-Mail
    • Vorname
    • Nachname
    • Objekt-ID

    Dialogfeld „Optionale Ansprüche“ mit ausgewählten ID-Token-Ansprüchen hinzufügen

  3. Klicken Sie auf Hinzufügen. Ein Pop-Up wir eingeblendet und fordert Zugriff auf die benötigten API-Berechtigungen zum Lesen dieser Ansprüche an. Aktivieren Sie das Kontrollkästchen und wählen Sie dann Hinzufügen.

    Pop-up zum Aktivieren der Microsoft Graph-E-Mail- und Profilberechtigung

Schritt 5: API-Berechtigungen konfigurieren

  1. Öffnen Sie die Registerkarte API-Berechtigungen. Prüfen Sie, ob die folgenden Berechtigungen in den vorherigen Schritten automatisch hinzugefügt wurden.

    API-Berechtigungen automatisch für Microsoft Graph hinzugefügt

  2. Wählen Sie unter Berechtigung hinzufügen die Option Microsoft Graph aus. Suchen Sie dann unter Anwendungsberechtigungen in den Benutzerrechten nach User.Read.All und wählen Sie es aus. Klicken Sie auf Berechtigungen hinzufügen.

    Auswählen der Anwendungsberechtigung zum Lesen aller Benutzer

  3. Erteilen Sie abschließend die Administratoreinwilligung für diese Berechtigungen, indem Sie die Schaltfläche über der Berechtigungstabelle anklicken. Sobald Sie die Berechtigung erteilen, wird ein Häkchen zu den Berechtigungen hinzugefügt.

    Status der erteilten Admin-Zustimmung für die Berechtigungen

Schritt 6: Fügen Sie die App-Registrierungseinstellungen zu Salto IDM hinzu

  1. Stellen Sie in Salto IDM sicher, dass in Ihre Lizenz die Microsoft Entra ID Integration aktiv ist. Kontaktieren Sie unser Support-Team, falls Ihre Installation nicht über die Integration verfügt.

  2. Melden Sie sich als App-Benutzer mit Berechtigungen zum Aktualisieren von Microsoft Entra ID an.

  3. Öffnen Sie Verwaltung > Einstellungen. Öffnen Sie im Menü auf der linken Seite Microsoft Entra ID.

  4. Stellen Sie sicher, dass die Option Verwende Microsoft Entra ID Single Sign-on aktiviert ist.

  5. Füllen Sie alle Werte entsprechend Ihrer App-Registrierungs-IDs in Azure und dem zuvor gespeicherten Secret aus:

    Einstellungen für Single Sign-on in Salto IDM

    Sie findest die Verzeichnis-ID (Mandant) und Anwendungs-ID (Client) auf der Seite Übersicht Ihrer App-Registrierung in Azure.

    Übersicht der App-Registrierung mit den Anwendungs- und Verzeichnis-IDs

Sobald Sie die Werte speichern, ist das Feld Client secret (value) leer. Dies ist kein Fehler. Es wird gemacht, um zu verhindern, dass Ihre Secrets im Frontend offen gelegt werden.

Wenn Sie neue Werte speichern und das Secret ändern, wird es automatisch aktualisiert. Wenn Sie es leer lassen, wird es nicht ersetzt.

Schritt 7: Anmeldung mit Microsoft Entra ID SSO

  1. Sobald diese Option aktiviert und korrekt konfiguriert ist, können Sie sich mit Ihrem Microsoft-Konto anmelden.

  2. Öffnen Sie die Anmeldeseite und wählen Sie Mit Microsoft anmelden.

    Salto IDM-Anmeldeseite mit der Option „Mit Microsoft anmelden“

  3. Folgen Sie den üblichen Schritten für die Anmeldung mit Ihrem Konto. Sobald Sie zu Salto IDM weitergeleitet werden, bestätigen Sie, dass Sie Ihr Microsoft-Konto mit einem Salto IDM-Anwendungsbenutzer verknüpfen:

    Informationen zur Verknüpfung, die die Microsoft-Kontoverknüpfung bestätigen

  4. Danach können Sie sich als eingeschränkter Benutzer bei Salto IDM anmelden. Bitten Sie Ihren Administrator, Ihrem Anwendungsbenutzer die benötigten Rollen und Rechte zuzuweisen, damit Sie die erforderlichen Funktionen nutzen können.

Schritt 8: Importieren von Microsoft Entra ID-Benutzern als Salto IDM Benutzer

  1. Öffnen Sie Verwaltung > Automatisierungen und erstellen Sie eine neue Automatisierung. Wählen Sie die Option Microsoft Entra ID-Import aus und verwenden Sie die Registerkarte Anmeldeinformationen auf der rechten Seite, um die gespeicherten Anmeldeinformationen hinzuzufügen.

    Erstellen einer Microsoft Entra ID-Importautomatisierung in Salto IDM

  2. Speichern Sie die Automatisierung und verwenden Sie die Registerkarte Konfiguration, um den Import Ihren Bedürfnissen anzupassen.

    Registerkarte Konfiguration der Automatisierung für Microsoft Entra ID Imports

  3. Nachdem die Automatisierung abgeschlossen ist, zum Beispiel durch manuelles Ausführen, können Sie die erstellten Benutzer unter "Benutzer" in Salto IDM sehen.

    Bestätigung, dass die Automatisierung in Salto IDM abgeschlossen wurde

Salto Systems, S. L. verwendet Datenspeicher- und -abrufgeräte von Drittanbietern, um ein sicheres Surfen zu ermöglichen und ein besseres Verständnis darüber zu gewinnen, wie Benutzer mit der Website interagieren, um unsere Dienste zu verbessern. Sie können alle Cookies akzeptieren, indem Sie auf die Schaltfläche „Cookies akzeptieren“ klicken, oder deren Verwendung ablehnen, indem Sie auf die Schaltfläche „Cookies ablehnen“ klicken. Weitere Informationen finden Sie auf unserer Cookie-Richtlinie