Konfigurieren von Insel für einmaliges Anmelden mit Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie Island mit Microsoft Entra ID integrieren. Das einmalige Anmelden von Microsoft Entra ermöglicht Endbenutzer*innen über die Microsoft Entra-Authentifizierung den direkten Zugriff auf Island, den Enterprise-Browser. Administrator*innen können auch Benutzer*innen hinzufügen oder entfernen und Attribute aus Microsoft Entra ID aktualisieren. Die Integration von Island in Microsoft Entra ID ermöglicht Folgendes:

• Steuern Sie Microsoft Entra ID, wer Zugriff auf Island hat.
• Sie können Ihren Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Island anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Sie konfigurieren und testen das einmalige Anmelden von Microsoft Entra für Island in einer Testumgebung. Island unterstützt sowohl SP als auch IDP initiiertes einmaliges Anmelden und Just-in-Time-Benutzerbereitstellung.

Voraussetzungen

Um Microsoft Entra ID in Island zu integrieren, benötigen Sie Folgendes:

• Ein Microsoft Entra-Benutzerkonto. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen: Anwendungsadministrator, Cloudanwendungsadministrator oder Anwendungsbesitzer.
• Ein Microsoft Entra-Abonnement. Wenn Sie kein Abonnement haben, können Sie ein kostenloses Konto erhalten.
• Ein Island-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist.

Hinzufügen einer Anwendung und Zuweisen eines Testbenutzers

Bevor Sie mit dem Konfigurieren des einmaligen Anmeldens beginnen, müssen Sie die Island-Anwendung aus dem Microsoft Entra-Katalog hinzufügen. Sie benötigen ein Testbenutzerkonto, um der Anwendung zuzuweisen und die Konfiguration für einmaliges Anmelden zu testen.

Hinzufügen von Island aus dem Microsoft Entra-Katalog

Fügen Sie Island aus dem Microsoft Entra-Anwendungskatalog hinzu, um das einmalige Anmelden bei Island zu konfigurieren. Weitere Informationen zum Hinzufügen von Anwendungen aus dem Katalog finden Sie in der Schnellstartanleitung: Hinzufügen einer Anwendung aus dem Katalog.

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Richtlinien im Erstellen und Zuweisen eines Benutzerkontoartikels zum Erstellen eines Testbenutzerkontos namens B.Simon.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Einrichtungsassistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen und Rollen zuweisen. Der Assistent stellt außerdem einen Link zum Konfigurationsbereich für Single Sign-On (SSO) bereit. Erfahren Sie mehr über Microsoft 365-Assistenten..

Microsoft Entra SSO konfigurieren

Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise Apps>Island>Single Sign-On.

3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie im Abschnitt "Grundlegende SAML-Konfiguration " die folgenden Schritte aus:

   a) Geben Sie im Textfeld „Bezeichner“ eine URL nach dem folgenden Muster ein: urn:auth0:za-production:<TENANTID>-saml-browser-prod

   b. Geben Sie im Textfeld "Antwort-URL " eine URL mit dem folgenden Muster ein: https://login.island.io/login/callback?connection=<TENANTID>-saml-browser-prod

6. Wenn Sie die Anwendung im initiierten SP-Modus konfigurieren möchten, führen Sie den folgenden Schritt aus:

   Geben Sie im Textfeld "Anmelde-URL " die URL ein: https://download.island.io

   Hinweis

   Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner und der Antwort-URL. Wenden Sie sich an das Island Client-Supportteam , um diese Werte abzurufen. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

7. Die Island-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt ein Beispiel dafür. Der Standardwert des eindeutigen Benutzerbezeichners ist "user.userprincipalname ", aber Island erwartet, dass dies mit der Objekt-ID des Benutzers zugeordnet wird und die Einstellung für das Namensbezeichnerformat in " Persistent" geändert wird. Dazu können Sie das Attribut "user.objectid " aus der Liste verwenden oder den entsprechenden Attributwert basierend auf ihrer Organisationskonfiguration verwenden.

   

   Hinweis

   Bearbeiten Sie in der Liste der Standardattribute die folgenden Ansprüche manuell:

   1. Wählen Sie den Vornamenanspruch (user.givenname) aus, ändern Sie die Namenseinstellung in given_name , und wählen Sie " Speichern" aus.
   2. Wählen Sie den Namen (user.userprincipalname) aus, ändern Sie die Einstellung "Quelle" zu Transformation, und bearbeiten Sie die Transformationseinstellungen wie folgt.
   3. Wählen Sie „Transformation“ und dann „Join()“ aus. Wählen Sie „user.givenname“ als Parameter 1 aus, fügen Sie ein einzelnes Leerzeichen als Trennzeichen hinzu, und wählen Sie „user.surname“ als Parameter 2 aus.
   4. Wählen Sie "Hinzufügen" und "Speichern" aus, um die Konfiguration abzuschließen.

8. Darüber hinaus wird von der Island-Anwendung erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.

   Name	Quellenattribut
   E-Mail	Benutzer-E-Mail
   Familienname	benutzer.nachname
   Gruppen	benutzer.gruppen [Alle]

9. Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten" im Abschnitt "SAML-Signaturzertifikat" das Zertifikat (Base64), und wählen Sie "Herunterladen" aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

   

10. Kopieren Sie im Abschnitt "Insel einrichten " die entsprechenden URLs basierend auf Ihrer Anforderung.

    

Konfigurieren des einmaligen Anmeldens in Island

Um einmaliges Anmelden auf Inselseite zu konfigurieren, müssen Sie das heruntergeladene Zertifikat (Base64) und die entsprechenden kopierten URLs aus der Anwendungskonfiguration an das Island-Supportteam senden. Sie konfigurieren diese Einstellung, um sicherzustellen, dass die SAML-SSO-Verbindung auf beiden Seiten ordnungsgemäß funktioniert.

Erstellen einer Island-Testbenutzerin

In diesem Abschnitt wird in Island eine Benutzerin namens B. Simon erstellt. Island unterstützt die standardmäßig aktivierte Just-In-Time-Benutzerbereitstellung. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Benutzer*innen, die nicht bereits in Island vorhanden sind, werden im Allgemeinen nach der Authentifizierung neu erstellt.

Testen von SSO

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.

Von SP initiiert

• Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur Inselanmeldungs-URL um, unter der Sie den Anmeldefluss initiieren können.

• Rufen Sie direkt die Anmelde-URL für Island auf, und initiieren Sie von dort den Anmeldeflow.

Das IDP wurde initiiert:

• Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei der Insel angemeldet sein, für die Sie das SSO einrichten.

Sie können auch Microsoft My Apps verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie die Kachel "Insel" in den "Meine Anwendungen" auswählen, werden Sie, wenn Sie im SP-Modus konfiguriert sind, zur Anmeldeseite umgeleitet, um den Anmeldevorgang zu initiieren, und wenn Sie im IDP-Modus konfiguriert sind, sollten Sie automatisch auf der Insel angemeldet sein, für die Sie das SSO eingerichtet haben. Weitere Informationen finden Sie unter Microsoft Entra My Apps.

Weitere Ressourcen

• Was ist single sign-on mit Microsoft Entra ID?
• Planen Sie eine Single Sign-on-Bereitstellung.

Verwandte Inhalte

Nach dem Konfigurieren von Island können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Cloud App Security erzwingen.