Freigeben über

Tutorial: Integration des einmaligen Anmeldens von Microsoft Entra mit Andromeda

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie Andromeda in Microsoft Entra ID integrieren. Die Integration von Andromeda in Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf Andromeda hat.
  • Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei Andromeda anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Um die Microsoft Entra-Integration in Andromeda konfigurieren zu können, benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Sollten Sie über keine Microsoft Entra-Umgebung verfügen, können Sie ein kostenloses Konto verwenden.
  • Andromeda-Abonnement, für das einmaliges Anmelden aktiviert ist

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • Andromeda unterstützt SP- und IDP-initiiertes einmaliges Anmelden.
  • Andromeda unterstützt die Just-In-Time-Benutzerbereitstellung.

Zum Konfigurieren der Integration von Andromeda in Microsoft Entra ID müssen Sie Andromeda aus dem Katalog zur Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Andromeda in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich Andromeda aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für Andromeda

Konfigurieren und testen Sie das einmalige Anmelden (SSO) von Microsoft Entra mit Andromeda mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Andromeda eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra mit Andromeda die folgenden Schritte aus:

  1. Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
    1. Erstellen von Microsoft Entra-Testbenutzer*in, um das einmalige Anmelden von Microsoft Entra mit der Testbenutzerin Britta Simon zu testen.
    2. Zuweisen von Microsoft Entra-Testbenutzerin, um Britta Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für Andromeda , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
    1. Erstellen eines Andromeda-Testbenutzers, um in Andromeda ein Pendant von Britta Simon zu erhalten, das mit ihrer Darstellung in Microsoft Entra verknüpft ist.
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Andromeda>Einmaliges Anmelden.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Edit Basic SAML Configuration

  5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus, wenn Sie die Anwendung im IDP-initiierten Modus konfigurieren möchten:

    a. Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://<tenantURL>.ngcxpress.com/

    b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://<tenantURL>.ngcxpress.com/SAMLConsumer.aspx

  6. Klicken Sie auf Zusätzliche URLs festlegen, und führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten:

    Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<tenantURL>.ngcxpress.com/SAMLLogon.aspx

    Hinweis

    Hierbei handelt es sich um Beispielwerte. Sie aktualisieren den Wert mit dem tatsächlichen Bezeichner und der tatsächlichen Antwort-URL und Anmelde-URL. Dies wird später in diesem Tutorial beschrieben.

  7. Die Andromeda-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Konfigurieren Sie die folgenden Ansprüche für diese Anwendung. Sie können die Werte dieser Attribute im Abschnitt Benutzerattribute auf der Anwendungsintegrationsseite verwalten. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf die Schaltfläche Bearbeiten, um das Dialogfeld Benutzerattribute zu öffnen.

    Screenshot shows User attributes.

    Hinweis

    Löschen Sie beim Einrichten dieser Werte die NameSpace-Definitionen.

  8. Bearbeiten Sie im Dialogfeld Benutzerattribute im Abschnitt Benutzeransprüche die Ansprüche mithilfe des Symbols zum Bearbeiten, oder fügen Sie die Ansprüche über Neuen Anspruch hinzufügen hinzu, um das SAML-Tokenattribut wie in der obigen Abbildung gezeigt zu konfigurieren. Führen Sie dann die folgenden Schritte aus:

    Name Quellattribut
    Rolle (role) App-spezifische Rolle
    type App-Typ
    company CompanyName

    Hinweis

    Andromeda erwartet, dass der Anwendung Rollen für Benutzer zugewiesen werden. Richten Sie diese Rollen in Microsoft Entra ID ein, damit Benutzern die passenden Rollen zugewiesen werden können. Informationen zum Konfigurieren von Rollen in Microsoft Entra ID finden Sie hier.

    a. Klicken Sie auf Neuen Anspruch hinzufügen, um das Dialogfeld Benutzeransprüche verwalten zu öffnen.

    Screenshot shows User claims with options to Add new claim and save.

    Screenshot shows Manage user claims where you can enter values described I this step.

    b. Geben Sie im Textfeld Name den für die Zeile angezeigten Attributnamen ein.

    c. Lassen Sie den Namespace leer.

    d. Wählen Sie „Source“ als Attribut aus.

    e. Geben Sie in der Liste Quellattribut den für diese Zeile angezeigten Attributwert ein.

    f. Klicken Sie auf OK.

    g. Klicken Sie auf Speichern.

  9. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat auf Herunterladen, um das Ihrer Anforderung entsprechende Zertifikat (Base64) aus den angegebenen Optionen herunterzuladen und auf Ihrem Computer zu speichern.

    The Certificate download link

  10. Kopieren Sie im Abschnitt Andromeda einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

    Copy configuration URLs

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie B.Simon die Verwendung des einmaligen Anmeldens, indem Sie ihr Zugriff auf Andromeda gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Andromeda.
  3. Navigieren Sie auf der Übersichtsseite der App zum Abschnitt Verwalten, und wählen Sie Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
  5. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
  6. Wenn Sie die Rollen wie oben erläutert eingerichtet haben, können Sie sie in der Dropdownliste Rolle auswählen auswählen.
  7. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren des einmaligen Anmeldens für Andromeda

  1. Melden Sie sich bei Ihrer Andromeda-Unternehmenswebsite als Administrator an.

  2. Klicken Sie oben auf der Menüleiste auf Admin (Administrator), und navigieren Sie zu Administration (Verwaltung).

    Andromeda admin.

  3. Klicken Sie links auf der Symbolleiste unter Interfaces (Schnittstellen) auf SAML Configuration (SAML-Konfiguration).

    Andromeda SAML.

  4. Führen Sie auf der Seite mit dem Abschnitt SAML Configuration (SAML-Konfiguration) die folgenden Schritte aus:

    Andromeda configuration.

    a. Aktivieren Sie Enable SSO with SAML (SSO mit SAML zulassen).

    b. Kopieren Sie im Abschnitt Andromeda Information (Informationen zu Andromeda) den Wert für SP Identity (SP-Identität), und fügen Sie ihn im Abschnitt Grundlegende SAML-Konfiguration ins Textfeld Bezeichner ein.

    c. Kopieren Sie den Wert Consumer URL (Consumer-URL), und fügen Sie ihn im Abschnitt Grundlegende SAML-Konfiguration ins Textfeld Antwort-URL ein.

    d. Kopieren Sie den Wert Logon URL (Anmelde-URL), und fügen Sie ihn im Abschnitt Grundlegende SAML-Konfiguration ins Textfeld Anmelde-URL ein.

    e. Geben Sie im Abschnitt SAML Identity Provider (SAML-Identitätsanbieter) den IdP-Namen ein.

    f. Fügen Sie im Textfeld Single Sign On End Point (Endpunkt für einmaliges Anmelden) die Anmelde-URL ein, die Sie zuvor kopiert haben.

    g. Öffnen Sie das aus dem Azure-Portal heruntergeladene Base64-codierte Zertifikat im Editor, und fügen Sie es in das Textfeld X 509 Certificate (X.509-Zertifikat) ein.

    h. Weisen Sie den folgenden Attributen die entsprechenden Werte zu, um die SSO-Anmeldung über Microsoft Entra ID zu ermöglichen. Das Attribut User ID (Benutzer-ID) ist für die Anmeldung erforderlich. Für die Bereitstellung sind die Attribute Email (E-Mail), Company (Unternehmen), User Type (Benutzertyp) and Role (Rolle) erforderlich. In diesem Abschnitt definieren Sie die Zuordnung von Attributen (Namen und Werte) zu den Attributen des Azure-Portals.

    Andromeda attributes.

    i. Klicken Sie auf Speichern.

Erstellen eines Andromeda-Testbenutzers

In diesem Abschnitt wird eine Benutzerin mit dem Namen „Britta Simon“ in Andromeda erstellt. Andromeda unterstützt die Just-in-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. Für Sie steht in diesem Abschnitt kein Aktionselement zur Verfügung. Ist ein Benutzer noch nicht in Andromeda vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt. Wenn Sie einen Benutzer manuell erstellen müssen, setzen Sie sich mit dem Supportteam für den Andromeda-Client in Verbindung.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

  • Klicken Sie auf Diese Anwendung testen. Dadurch werden Sie zur Anmelde-URL von Andromeda weitergeleitet, wo Sie den Anmeldeflow initiieren können.

  • Rufen Sie direkt die Andromeda-Anmelde-URL auf, und initiieren Sie den Anmeldeflow.

IDP-initiiert:

  • Klicken Sie auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der Andromeda-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben.

  • Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Beim Klicken auf die Kachel „Andromeda“ in „Meine Apps“ geschieht Folgendes: Wenn Sie die Anwendung im SP-Modus konfiguriert haben, werden Sie zum Initiieren des Anmeldeflows zur Anmeldeseite der Anwendung weitergeleitet. Wenn Sie die Anwendung im IDP-Modus konfiguriert haben, sollten Sie automatisch bei der Andromeda-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von Andromeda können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.