Konfigurieren iLMS für Einmalanmeldung mit der Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie iLMS mit Microsoft Entra ID integrieren. Die Integration von iLMS in Microsoft Entra ID ermöglicht Folgendes:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf iLMS hat.
• Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei iLMS anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• iLMS-Abonnement für das einmaliges Anmelden (SSO) aktiviert ist

Szenariobeschreibung

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

• iLMS unterstützt SP- und IDP-initiierte SSO.

Hinweis

Der Bezeichner dieser Anwendung ist ein fester Zeichenfolgenwert, sodass nur eine Instanz in einem Mandanten konfiguriert werden kann.

Hinzufügen von iLMS aus dem Katalog

Um die Integration von iLMS in Microsoft Entra ID zu konfigurieren, müssen Sie iLMS aus dem Katalog Ihrer Liste mit verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt "Aus Katalog hinzufügen " iLMS in das Suchfeld ein.
4. Wählen Sie iLMS aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Weitere Informationen zu Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für iLMS

Konfigurieren und testen Sie Microsoft Entra SSO mit iLMS mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in iLMS eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit iLMS die folgenden Schritte aus:

1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon das Einmalige Anmelden von Microsoft Entra verwenden kann.
2. Konfigurieren Sie iLMS-SSO – um die Einstellungen für einmaliges Anmelden auf Anwendungsseite zu konfigurieren.
   1. Erstellen Sie iLMS-Testbenutzer – um ein Gegenstück von B.Simon in iLMS zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Microsoft Entra SSO konfigurieren

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zurILMS-Anwendungsintegrationsseite der >>, suchen Sie den Abschnitt "Verwalten", und wählen Sie "Einmaliges Anmelden" aus.

3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

4. Wählen Sie auf der Seite " Einzel-Sign-On mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie auf der Seite "Grundlegende SAML-Konfiguration " die folgenden Schritte aus, wenn Sie die Anwendung im initiierten IDP-Modus konfigurieren möchten:

   a) Fügen Sie im Textfeld "Bezeichner" den Bezeichnerwert ein, den Sie aus dem Abschnitt "Dienstanbieter" der SAML-Einstellungen im iLMS-Verwaltungsportal kopieren.

   b. Fügen Sie im Textfeld "Antwort-URL" den Endpunktwert (URL) ein, den Sie aus dem Abschnitt "Dienstanbieter" der SAML-Einstellungen im iLMS-Verwaltungsportal mit dem folgenden Muster kopieren: https://www.inspiredlms.com/Login/<INSTANCE_NAME>/consumer.aspx

6. Wählen Sie "Zusätzliche URLs festlegen" aus, und führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im initiierten SP-Modus konfigurieren möchten:

   Fügen Sie im Textfeld "Anmelde-URL" den Endpunktwert (URL) ein, den Sie aus dem Abschnitt Service Provider der SAML-Einstellungen im iLMS-Verwaltungsportal kopierenhttps://www.inspiredlms.com/Login/<INSTANCE_NAME>/consumer.aspx.

7. Für die Aktivierung der JIT-Bereitstellung erwartet Ihre iLMS-Anwendung die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute. Wählen Sie das Symbol "Bearbeiten " aus, um das Dialogfeld "Benutzerattribute" zu öffnen.

   Hinweis

   Sie müssen das Erstellen eines nicht erkannten Benutzerkontos in iLMS aktivieren, um diese Attribute zuzuordnen. Folgen Sie den Anweisungen hier , um eine Vorstellung der Konfiguration von Attributen zu erhalten.

8. Darüber hinaus wird von der iLMS-Anwendung erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden. Führen Sie im Abschnitt "Benutzeransprüche " im Dialogfeld " Benutzerattribute " die folgenden Schritte aus, um das SAML-Token-Attribut hinzuzufügen, wie in der folgenden Tabelle gezeigt:

   Name	Quellenattribut
   division	Benutzerabteilung
   region	user.state
   department	user.jobtitle

   a) Wählen Sie "Neuen Anspruch hinzufügen " aus, um das Dialogfeld " Benutzeransprüche verwalten" zu öffnen.

   b. Geben Sie im Textfeld "Name " den für diese Zeile angezeigten Attributnamen ein.

   c. Lassen Sie den Namespace leer.

   d. Wählen Sie "Quelle als Attribut" aus.

   e. Geben Sie in der Quell-Attributliste den für diese Zeile angezeigten Attributwert ein.

   f. Ok auswählen

   g. Wählen Sie "Speichern" aus.

9. Wählen Sie auf der Seite „Einzelne Sign-On mit SAML einrichten“ im Abschnitt „SAML-Signaturzertifikat“ die Option „Herunterladen“ aus den angegebenen Optionen aus, um das Federation Metadata XML herunterzuladen, und speichern Sie diese auf Ihrem Computer.

   

10. Kopieren Sie im Abschnitt "Einrichten von iLMS " die entsprechenden URL(n) gemäß Ihrer Anforderung.

    

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen im Erstellen und Zuweisen eines Benutzerkontos Schnellstart, um ein Testbenutzerkonto mit dem Namen B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für iLMS

1. Melden Sie sich in einem anderen Webbrowserfenster als Administrator bei Ihrem iLMS-Verwaltungsportal an.

2. Wählen Sie SSO:SAML auf der Registerkarte "Einstellungen " aus, um SAML-Einstellungen zu öffnen und die folgenden Schritte auszuführen:

   

3. Erweitern Sie den Abschnitt "Dienstanbieter ", und kopieren Sie den Wert "Identifier " und "Endpoint( URL) ".

   

4. Wählen Sie im Abschnitt "Identitätsanbieter " die Option "Metadaten importieren" aus.

5. Wählen Sie die Verbundmetadatendatei aus, die aus dem ABSCHNITT "SAML-Signaturzertifikat " heruntergeladen wurde.

   

6. Wenn Sie die JIT-Bereitstellung aktivieren möchten, um iLMS-Konten für unbekannte Benutzer zu erstellen, führen Sie die folgenden Schritte aus:

   a) Aktivieren Sie das Kontrollkästchen Create Un-recognized User Account.

   

   b. Ordnen Sie die Attribute in Microsoft Entra ID den Attributen in iLMS zu. Geben Sie in der Spalte mit den Attributen den Attributnamen oder den Standardwert an.

   c. Wechseln Sie zur Registerkarte "Geschäftsregeln ", und führen Sie die folgenden Schritte aus:

   

   d. Aktivieren Sie das Kontrollkästchen Create Un-recognized Regions, Divisions and Departments, um Regionen, Sparten und Abteilungen zu erstellen, die zum Zeitpunkt des einmaligen Anmeldens noch nicht vorhanden waren.

   e. Überprüfen Sie Aktualisierung des Benutzerprofils bei der Anmeldung, um anzugeben, ob das Profil des Benutzers bei jeder SSO-Anmeldung aktualisiert wird.

   f. Wenn die Option " Leere Werte für nicht obligatorische Felder in Benutzerprofil aktualisieren" aktiviert ist, werden optionale Profilfelder, die bei der Anmeldung leer sind, auch dazu führen, dass das iLMS-Profil des Benutzers leere Werte für diese Felder enthält.

   g. Prüfen Sie Fehlerbenachrichtigungs-E-Mail senden und geben Sie die E-Mail des Benutzers an, an den Sie die Fehlerbenachrichtigungs-E-Mail erhalten möchten.

7. Wählen Sie die Schaltfläche " Speichern " aus, um die Einstellungen zu speichern.

   

Erstellen eines iLMS-Testbenutzers

Die Anwendung unterstützt die Just-in-Time-Benutzerbereitstellung (JIT). Nach der Authentifizierung werden Benutzer in der Anwendung automatisch erstellt. JIT funktioniert, wenn Sie das Kontrollkästchen " Nicht erkanntes Benutzerkonto erstellen " während der SAML-Konfigurationseinstellung im iLMS-Verwaltungsportal aktiviert haben.

Wenn Sie manuell Benutzer*innen erstellen müssen, führen Sie die folgenden Schritte aus:

1. Melden Sie sich bei der iLMS-Unternehmenswebsite als Administrator an.

2. Wählen Sie " Benutzer registrieren" auf der Registerkarte " Benutzer " aus, um die Seite " Benutzer registrieren " zu öffnen.

   

3. Führen Sie auf der Seite "Benutzer registrieren " die folgenden Schritte aus.

   

   a) Geben Sie im Textfeld "Vorname " den Vornamen wie Britta ein.

   b. Geben Sie im Textfeld " Nachname " den Nachnamen wie Simon ein.

   c. Geben Sie im Textfeld " E-Mail-ID " die E-Mail-Adresse des Benutzers wie BrittaSimon@contoso.comfolgt ein.

   d. Wählen Sie im Dropdownmenü "Region " den Wert für die Region aus.

   e. Wählen Sie in der Dropdownliste "Division " den Wert für die Division aus.

   f. Wählen Sie im Dropdownmenü "Abteilung " den Wert für die Abteilung aus.

   g. Wählen Sie "Speichern" aus.

   Hinweis

   Sie können Registrierungs-E-Mails an benutzer senden, indem Sie das Kontrollkästchen " Registrierungs-E-Mail senden " aktivieren.

Testen von SSO

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.

SP-initiiert:

• Wählen Sie "Diese Anwendung testen" aus. Diese Option leitet zur iLMS-Anmelde-URL um, in der Sie den Anmeldefluss initiieren können.

• Navigieren Sie direkt zur Anmelde-URL für iLMS, und initiieren Sie dort den Anmeldeflow.

IDP-initiiert:

• Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei dem iLMS angemeldet sein, für das Sie das SSO einrichten.

Sie können auch Microsoft My Apps verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie die iLMS-Kachel in den "Meine Apps" auswählen, werden Sie, wenn sie im SP-Modus konfiguriert sind, zur Anmeldeseite weitergeleitet, um den Anmeldefluss zu initiieren, und wenn sie im IDP-Modus konfiguriert ist, sollten Sie automatisch bei dem iLMS angemeldet sein, für das Sie das SSO einrichten. Weitere Informationen zu "Meine Apps" finden Sie in der Einführung in "Meine Apps".

Verwandte Inhalte

Nach dem Konfigurieren von iLMS können Sie Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.