SAML Authentifizierung einrichten mit Azure AD

Mit der Implementierung der SAML Authentifizierung können Sie das Anlegen von neuen Benutzern im vCloud Director automatisieren. Des Weiteren können Sie anhand von Gruppen und Rollen die Berechtigungen steuern. Optional kann auch Azure MFA verwendet werden, um den vCloud Director vor unbefugten Zugriffen zu schützen.

Voraussetzungen

vCloud Director Organisation Administrator Login
Azure AD Connect, falls On-Prem AD verwendet wird
Azure AD Premium P1 (oder höher), falls Azure MFA verwendet wird

Vorgehen

1. Erstellen Sie eine Gruppe (Azure AD oder On-Prem) mit einer passenden Bezeichnung.

Wichtig: On-Prem Gruppen müssen nach Azure AD synchronisiert werden.

Beispiel On-Prem

Wichtig: Bei Azure AD Gruppen (Cloud Only) muss die Object-Id kopiert werden:

2. Melden Sie sich mit Ihrem lokalen Organisations-Administrator beim vCloud Director an. Der folgende Artikel bietet Hilfestellung beim Loginprozess: Beim vCloud Director anmelden

3. Wechseln Sie zur Registerkarte «Administration» und wählen Sie unter «Identitätsanbieter» > «SAML». Klicken Sie unter SAML-Konfiguration auf «Bearbeiten».

4. Als Entitäts-ID wird die Metadaten URL kopiert und eingefügt.

5. Generieren Sie ein neues Zertifikat, indem Sie auf «Neu Generieren» und danach «Speichern» klicken.

6. Laden Sie die XML-Datei «spring_saml_metadata.xml» herunter.

7. Melden Sie sich im Azure AD an und erstellen Sie eine neue Enterprise Application.

8. Geben Sie Ihrer neuen Applikation einen sinnvollen Namen und klicken Sie auf «Create».

9. Fügen Sie die im ersten Schritt erstellte AD-Gruppe hinzu (On-Prem AD oder Azure AD).

10. Klicken Sie auf «Single sign-on» und wählen Sie als Authentifizierung SAML aus.

11. Im nächsten Schritt können Sie die XML Datei, welche Sie im 6. Schritt heruntergeladen haben, hochladen.

12. Unter «User Attributes & Claims» können Sie nun einen neuen Claim hinzufügen.

13. Fügen Sie nun einen Group Claim hinzu.

Sie erhalten danach eine Übersicht über alle Claims:

14. Nun können Sie das vCloudDirector XML herunterladen.

Nun sind alle Schritte umgesetzt und Sie können eine Testanmeldung mittels Azure AD durchführen. Sobald SAML aktiviert wurde, wird nach der Eingabe der Kundennummer eine Umleitung zum SAML Authentifizierungs-Server (in unserem Fall Azure AD) gemacht.

Falls Sie sich wieder lokal, ohne SAML, anmelden möchten, müssen Sie folgende URL aufrufen: https://vcloud.first365.net/tenant/KUNDENNUMMER/Login

Optional: Multi-Faktor-Authentifizierung (MFA) aktivieren

Optional können Sie die Multi-Faktor-Authentifizierung (MFA) aktivieren. Bitte beachten Sie, dass Sie dafür die Azure AD Premium P1 Lizenz benötigen.

1. Klicken Sie im Azure Portal unter «Enterprise applications > vCloudDirector > Conditional Access» auf

New policy

2. Benennen Sie die Policy und wählen Sie die User aus, die sich künftig mit MFA authentifizieren sollen.

3. Wählen Sie im nächsten Schritt unter «Cloud apps» die vCloudDirector» Applikation.

4. Anschliessend können Sie unter «Grant» die Option «Require multi-factor authentification» auswählen.

5. Stellen Sie sicher, dass die Policy aktiviert ist (On) und klicken Sie auf «Create».

6. Im vCloud Director unter SAML können Sie nun das vCloudDirector XML hochladen.

7. Im letzten Schritt müssen Sie im vCloud Director unter «Zugriffssteuerung» > «Gruppen» die zuvor erstellte AD-Gruppe importieren.

8. Klicken Sie auf «Speichern». Die Multi-Faktor-Authentifizierung (MFA) beim vCloud Director ist nun eingerichtet.

zurück zu first 365 vServer

SAML Authentifizierung einrichten mit Azure AD (inkl. Azure MFA)

Voraussetzungen

Vorgehen

Optional: Multi-Faktor-Authentifizierung (MFA) aktivieren

Verwante Beiträge

Haben Sie Fragen zur Kownledgebase? Zögern Sie nicht uns zu kontaktieren.