# Microsoft Entra ID für Single Sign-on (SSO) und Benutzer-Import in Salto IDM konfigurieren > Konfigurieren Sie Microsoft Entra ID im Azure Portal, um Single Sign-On (SSO) zu aktivieren und Entra ID Benutzer als Salto IDM Benutzer zu importieren. Dieser Leitfaden erklärt, welche Dienste erstellt und welche Einstellungen im [Azure Portal](https://portal.azure.com/) konfiguriert werden müssen, um Single Sign-On (SSO) zu aktivieren und Microsoft Entra ID (ehemals Azure Active Directory) Benutzer als Salto IDM Benutzer zu importieren. ## Anleitung {#instructions} Folgen Sie diesen Anweisungen, um eine App-Registrierung zu erstellen und korrekt in Salto IDM zu konfigurieren. ### Schritt 1: Registrieren Sie die Anwendung bei Ihrem Microsoft Entra ID-Mandanten {#step-1-register-the-application-with-your-microsoft-entra-id-tenant} 1. Navigieren Sie zur Seite [Azure-Portal – App-Registrierungen](https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps). 2. Wählen Sie entweder eine vorhandene Anwendung auf der Registerkarte **Alle Anwendungen** aus oder klicken Sie auf **Neue Registrierung**. 3. Wenn die Seite **Anwendung registrieren** angezeigt wird, geben Sie die Registrierungsinformationen Ihrer Anwendung ein: - Geben Sie im Abschnitt **Name** einen aussagekräftigen Namen ein, zum Beispiel `SaltoIDM-EntraID-Integration`. - Wählen Sie im Abschnitt **Unterstützte Kontotypen** eine der folgenden Optionen aus: - Um externe Benutzer und Konten aus verschiedenen Domänen und Mandanten zuzulassen, wählen Sie **Konten in einem beliebigen Organisationsverzeichnis (Beliebiger Microsoft Entra ID-Mandant – Mehrinstanzenfähig)** aus. - Um nur interne Benutzer und Konten aus Ihrer eigenen Domäne und Ihrem eigenen Mandanten zuzulassen, wählen Sie **Konten in diesem Organisationsverzeichnis (nur Ihr Mandantenname – Einzelmandant)** aus. - Wählen Sie im Abschnitt **Redirect URI (optional)** die Option **Web** aus der Dropdown-Liste aus und geben Sie die folgende URL ein: `https://{{HOSTNAME}}:{{PORT}}/signin-microsoft` ![Seite zum Registrieren einer Anwendung im Azure-Portal](images/entra-id-app-registration.png) {.border} 4. Klicken Sie auf **Registrieren**, um die Anwendung zu erstellen. {{% info-panel %}} Verwenden Sie für die **Redirect-URI** HTTPS (nicht HTTP). Ersetzen Sie `{{HOSTNAME}}` und `{{PORT}}` durch den tatsächlichen Host und Port, mit denen die Anwendung ausgeführt wird. Wenn die Produktionsumgebung auf dem Standard-HTTPS-Port 443 ausgeführt wird, müssen Sie den Port nicht angeben (zum Beispiel `https://demo.saltoidm.com/signin-microsoft`). Um Ihre Registrierungen sauber und isoliert zu halten, **erstellen Sie bitte separate App-Registrierungen für verschiedene Umgebungen** (z. B. Localhost, Produktion, Staging usw.). Dies erleichtert Ihnen die Fehlersuche und Problemlösung. {{% /info-panel %}} ### Schritt 2: Anwendungsauthentifizierung konfigurieren {#step-2-configure-application-authentication} 1. Öffnen Sie die Seite für die App-Registrierung und wählen Sie dort die Registerkarte **Authentifizierung** aus. 2. Aktualisieren Sie Ihre **Front-Channel Logout URL**, damit diese auf `https://{{HOSTNAME}}{{PORT}}/Account/Signout` verweist. 3. Aktivieren Sie die folgenden Optionen, damit der Autorisierungsendpunkt die korrekten Token ausstellen kann: - **Zugriffstoken (verwendet für implizite Abläufe)** - **ID-Token (verwendet für implizite und hybride Abläufe)** ![Registerkarte Authentifizierung mit ausgewählten Zugriffs- und ID-Token](images/entra-id-authentication-tokens.png) ### Schritt 3: Anwendungsgeheimnis konfigurieren {#step-3-configure-the-application-secret} 1. Klicken Sie auf die Registerkarte **Zertifikate & Secrets** und dann auf **Neues Client-Secret**. 2. Fügen Sie Ihrem Secret eine aussagekräftige **Beschreibung** hinzu und legen Sie ein **Ablaufdatum** gemäß Ihren eigenen Sicherheits- und Wartungsregeln fest. ![Hinzufügen eines Client-Secrets mit Beschreibung und Ablaufdatum](images/entra-id-client-secret.png) {.border} 3. Sobald Sie das Secret erstellt haben, kopieren Sie den **Secret Value** (nicht die Secret ID) und speichern Sie ihn an einem sicheren Ort, wie zum Beispiel einem Passwort-Manager. Sobald Sie diese Seite verlassen, können Sie den Wert nicht mehr sehen. Wenn Sie ihn nicht speichern, müssen Sie das Secret neu erstellen. {{% warning-panel %}} Nach Ablauf des Secrets funktioniert SSO nicht mehr. Sie müssen ein neues Secret erstellen und seinen Wert in Salto IDM aktualisieren. Stellen Sie sicher, dass Sie einen Mechanismus eingerichtet haben, der Sie vor Ablauf des Secrets benachrichtigt, um Anmeldeprobleme in Produktionsumgebungen zu vermeiden. {{% /warning-panel %}} ### Schritt 4: Anwendungsspezifische Ansprüche konfigurieren {#step-4-configure-application-claims} 1. Öffnen Sie die Registerkarte **Token-Konfiguration** und klicken Sie dort auf **Optionale Ansprüche hinzufügen**. 2. Wählen Sie für **Tokentyp** den Wert **ID** aus und aktivieren Sie die folgenden Ansprüche: - **E-Mail** - **Vorname** - **Nachname** - **Objekt-ID** ![Dialogfeld „Optionale Ansprüche“ mit ausgewählten ID-Token-Ansprüchen hinzufügen](images/entra-id-optional-claims.png) 3. Klicken Sie auf **Hinzufügen**. Ein Pop-Up wir eingeblendet und fordert Zugriff auf die benötigten API-Berechtigungen zum Lesen dieser Ansprüche an. Aktivieren Sie das Kontrollkästchen und wählen Sie dann **Hinzufügen**. ![Pop-up zum Aktivieren der Microsoft Graph-E-Mail- und Profilberechtigung](images/entra-id-graph-permission-consent.png) ### Schritt 5: API-Berechtigungen konfigurieren {#step-5-configure-api-permissions} 1. Öffnen Sie die Registerkarte **API-Berechtigungen**. Prüfen Sie, ob die folgenden Berechtigungen in den vorherigen Schritten automatisch hinzugefügt wurden. ![API-Berechtigungen automatisch für Microsoft Graph hinzugefügt](images/entra-id-api-permissions.png) 2. Wählen Sie unter **Berechtigung hinzufügen** die Option **Microsoft Graph** aus. Suchen Sie dann unter **Anwendungsberechtigungen** in den **Benutzerrechten** nach `User.Read.All` und wählen Sie es aus. Klicken Sie auf **Berechtigungen hinzufügen**. ![Auswählen der Anwendungsberechtigung zum Lesen aller Benutzer](images/entra-id-user-read-all-permission.png) {.border} 3. Erteilen Sie abschließend die **Administratoreinwilligung** für diese Berechtigungen, indem Sie die Schaltfläche über der Berechtigungstabelle anklicken. Sobald Sie die Berechtigung erteilen, wird ein Häkchen zu den Berechtigungen hinzugefügt. ![Status der erteilten Admin-Zustimmung für die Berechtigungen](images/entra-id-admin-consent.png) ### Schritt 6: Fügen Sie die App-Registrierungseinstellungen zu Salto IDM hinzu {#step-6-add-the-app-registration-settings-to-salto-idm} 1. Stellen Sie in Salto IDM sicher, dass in Ihre Lizenz die **Microsoft Entra ID** Integration aktiv ist. Kontaktieren Sie unser Support-Team, falls Ihre Installation nicht über die Integration verfügt. 2. Melden Sie sich als App-Benutzer mit Berechtigungen zum Aktualisieren von **Microsoft Entra ID** an. 3. Öffnen Sie **Verwaltung** > **Einstellungen**. Öffnen Sie im Menü auf der linken Seite **Microsoft Entra ID**. 4. Stellen Sie sicher, dass die Option **Verwende Microsoft Entra ID Single Sign-on** aktiviert ist. 5. Füllen Sie alle Werte entsprechend Ihrer App-Registrierungs-IDs in Azure und dem zuvor gespeicherten Secret aus: ![Einstellungen für Single Sign-on in Salto IDM](images/idm-entra-id-sso-credentials.png) {.border} Sie findest die **Verzeichnis-ID (Mandant)** und **Anwendungs-ID (Client)** auf der Seite **Übersicht** Ihrer App-Registrierung in Azure. ![Übersicht der App-Registrierung mit den Anwendungs- und Verzeichnis-IDs](images/entra-id-app-overview-ids.png) {{% info-panel %}} Sobald Sie die Werte speichern, ist das Feld **Client secret (value)** leer. Dies ist kein Fehler. Es wird gemacht, um zu verhindern, dass Ihre Secrets im Frontend offen gelegt werden. Wenn Sie neue Werte speichern und das Secret ändern, wird es automatisch aktualisiert. Wenn Sie es leer lassen, wird es nicht ersetzt. {{% /info-panel %}} ### Schritt 7: Anmeldung mit Microsoft Entra ID SSO {#step-7-log-in-using-microsoft-entra-id-sso} 1. Sobald diese Option aktiviert und korrekt konfiguriert ist, können Sie sich mit Ihrem Microsoft-Konto anmelden. 2. Öffnen Sie die Anmeldeseite und wählen Sie **Mit Microsoft anmelden**. ![Salto IDM-Anmeldeseite mit der Option „Mit Microsoft anmelden“](images/idm-sign-in-with-microsoft.png) {.border} 3. Folgen Sie den üblichen Schritten für die Anmeldung mit Ihrem Konto. Sobald Sie zu Salto IDM weitergeleitet werden, bestätigen Sie, dass Sie Ihr Microsoft-Konto mit einem Salto IDM-Anwendungsbenutzer verknüpfen: ![Informationen zur Verknüpfung, die die Microsoft-Kontoverknüpfung bestätigen](images/idm-account-association.png) {.border} 4. Danach können Sie sich als eingeschränkter Benutzer bei Salto IDM anmelden. Bitten Sie Ihren Administrator, Ihrem Anwendungsbenutzer die benötigten Rollen und Rechte zuzuweisen, damit Sie die erforderlichen Funktionen nutzen können. ### Schritt 8: Importieren von Microsoft Entra ID-Benutzern als Salto IDM Benutzer {#step-8-import-microsoft-entra-id-users-as-salto-idm-users} 1. Öffnen Sie **Verwaltung** > **Automatisierungen** und erstellen Sie eine neue Automatisierung. Wählen Sie die Option **Microsoft Entra ID-Import** aus und verwenden Sie die Registerkarte **Anmeldeinformationen** auf der rechten Seite, um die gespeicherten Anmeldeinformationen hinzuzufügen. ![Erstellen einer Microsoft Entra ID-Importautomatisierung in Salto IDM](images/idm-entra-id-import-automation.png) {.border} 2. Speichern Sie die Automatisierung und verwenden Sie die Registerkarte **Konfiguration**, um den Import Ihren Bedürfnissen anzupassen. ![Registerkarte Konfiguration der Automatisierung für Microsoft Entra ID Imports](images/idm-entra-id-import-configuration.png) {.border} 3. Nachdem die Automatisierung abgeschlossen ist, zum Beispiel durch manuelles Ausführen, können Sie die erstellten Benutzer unter "Benutzer" in Salto IDM sehen. ![Bestätigung, dass die Automatisierung in Salto IDM abgeschlossen wurde](images/idm-automation-success.png) {.border}