Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie OneStream mit Microsoft Entra ID integrieren. Wenn Sie OneStream in Microsoft Entra ID integrieren, können Sie Folgendes tun:
- Steuern Sie in Microsoft Entra ID, wer Zugriff auf OneStream hat.
- Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei OneStream anzumelden.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
- Eine der folgenden Rollen:
- Ein OneStream-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist.
Beschreibung des Szenarios
In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
- OneStream unterstützt nur das durch SP initiierte SSO.
OneStream aus der Galerie hinzufügen
Um die Integration von OneStream in Microsoft Entra ID zu konfigurieren, müssen Sie OneStream aus der Galerie zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
- Geben Sie im Abschnitt Aus Katalog hinzufügenOneStream in das Suchfeld ein.
- Wählen Sie im Ergebnisbereich OneStream aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.
Konfigurieren und Testen von Microsoft Entra-SSO für OneStream
Konfigurieren und testen Sie Microsoft Entra-SSO mit OneStream mithilfe eines Testbenutzerkontos für B.Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzerkonto und dem entsprechenden Benutzerkonto in OneStream eingerichtet werden.
Führen Sie zum Konfigurieren und Testen von Microsoft Entra-SSO mit OneStream die folgenden Schritte aus:
-
Microsoft Entra SSO konfigurieren, um Ihren Benutzern die Nutzung dieses Features zu ermöglichen.
- Erstellen eines Microsoft Entra-Testbenutzers – zum Testen des einmaligen Anmeldens von Microsoft Entra mit B.Simon.
- Erstellen eines Microsoft Entra-Testbenutzers – um B.Simon die Verwendung von Microsoft Entra single sign-on zu ermöglichen.
-
Konfigurieren von OneStream Single Sign-On - um die Single Sign-On-Einstellungen auf der Anwendungsseite zu konfigurieren.
- Erstellen Sie OneStream-Testbenutzer – um ein Gegenstück von B.Simon in OneStream zu haben, das mit der Microsoft Entra ID-Darstellung des Benutzers verknüpft ist.
- SSO testen - um zu überprüfen, ob die Konfiguration funktioniert
Konfigurieren von Microsoft Entra SSO
Führen Sie die folgenden Schritte aus, um Microsoft Entra Single Sign-On im Microsoft Entra Admin-Center zu aktivieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise-Apps>OneStream>Single Sign-On.
Auf der Seite Eine Single Sign-On-Methode auswählen wählen Sie SAML aus.
Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.
Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:
a) Geben Sie im Textfeld Bezeichner (Entitäts-ID) eine URL im folgenden Format ein:
https://<CustomerDomain>.onestreamcloud.com/OneStreamIS/federation/<Scheme>/saml.b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein:
https://<CustomerDomain>.onestreamcloud.com/OneStreamIS/federation/<Scheme>/signin-samlAbschnitt c. Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein:
https://<CustomerDomain>.onestreamcloud.com/OneStreamIS/federation/<Scheme>/signin-saml.Hinweis
Diese Werte sind nicht real. Ersetzen Sie diese Werte durch die tatsächlichen Werte für Bezeichner, Antwort-URL und Anmelde-URL. Erstellen Sie einen neuen SAML-Anbieter im OneStream Identity and Access Management Portal , um diese Werte abzurufen, die weiter unten im Abschnitt "Configure OneStream SSO" erläutert werden. Sie können sich auch die Muster im Abschnitt Grundlegende SAML-Konfiguration im Microsoft Entra Admin Center ansehen.
Die OneStream-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.
Darüber hinaus wird von der OneStream-Anwendung erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.
Name Quellattribut Vorname Benutzer.vorname Nachname benutzer.nachname E-Mail Benutzer-E-Mail Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " im Abschnitt "SAML-Signaturzertifikat " die Schaltfläche "Kopieren" aus, um die URL der App-Verbundmetadaten zu kopieren und auf Ihrem Computer zu speichern.
Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers
Befolgen Sie die Anweisungen im Quickstart zur Erstellung und Zuweisung eines Benutzerkontos, um ein Testbenutzerkonto namens B.Simon zu erstellen.
Konfigurieren von OneStream-SSO
Melden Sie sich als Administrator bei der OneStream-Unternehmenswebsite an.
Wechseln Sie zu Identitäts- und Zugriffsverwaltung, und wählen Sie die Kachel Identitätsanbieter verwalten aus.
Wählen Sie auf der Seite "Identitätsanbieter verwalten " die Option "+SAML-Anbieter hinzufügen" aus.
Führen Sie die folgenden Schritte auf der im Anschluss angegebenen Seite aus:
Geben Sie einen eindeutigen Namen für Ihren Identitätsanbieter in das Textfeld Name ein.
Wählen Sie Metadaten-URL als SAML-Konfigurationsmodus aus.
Fügen Sie im Textfeld Metadaten-URL die Verbundmetadaten-URL der App ein, die Sie aus dem Microsoft Entra Admin Center kopiert haben.
Wählen Sie die Schaltfläche SPEICHERN aus.
Hinweis
Weitere Informationen finden Sie auf der OneStream-Dokumentationswebsite unter System Guides>Identity and Access Management.
Erstellen eines OneStream-Testbenutzerkontos
Melden Sie sich in einem anderen Webbrowserfenster als Administrator bei der OneStream-Unternehmenswebsite an.
Wechseln Sie zuSystemsicherheit>>, und wählen Sie "Benutzer erstellen" aus, und führen Sie die folgenden Schritte aus:
Geben Sie in das Feld Name einen gültigen Benutzernamen ein.
Wählen Sie einen Benutzertyp entsprechend Ihren Anforderungen aus.
Wählen Sie External Authentication Provider aus der Dropdownliste aus.
Geben Sie den Benutzerprinzipalnamen aus Microsoft Entra ID in das Feld External Provider User Name ein.
Hinweis
Weitere Informationen finden Sie auf der OneStream-Dokumentationswebsite unter Design and Reference>About Managing Users and Groups>Creating and Managing Users.
Testen des einmaligen Anmeldens
In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.
Wählen Sie "Diese Anwendung testen " im Microsoft Entra Admin Center aus. Diese Option leitet zur OneStream-Anmelde-URL um, über die Sie den Anmeldefluss initiieren können.
Navigieren Sie direkt zur Anmelde-URL für OneStream, und initiieren Sie dort den Anmeldeflow.
Verwandte Inhalte
Nach dem Konfigurieren von OneStream können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.