Freigeben über


Konfigurieren von OpenAthens für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie OpenAthens mit Microsoft Entra ID integrieren. Die Integration von OpenAthens mit Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf OpenAthens hat.
  • Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei myAOS anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • OpenAthens-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

  • OpenAthens unterstützt IDP-initiiertes einmaliges Anmelden.
  • OpenAthens unterstützt die Just-in-Time-Benutzerbereitstellung.

Zum Konfigurieren der Integration von OpenAthens in Azure AD müssen Sie OpenAthens aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff OpenAthens in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich OpenAthens aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für askSpoke

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra (SSO) mit myAOS mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in askSpoke eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit myAOS die folgenden Schritte aus:

  1. Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
    • Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
    • Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für OpenAthens , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>OpenAthens>Single Sign-On.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Bearbeiten der SAML-Basiskonfiguration

  5. Laden Sie im Abschnitt "Grundlegende SAML-Konfiguration " die Metadatendatei des Dienstanbieters hoch, deren Schritte weiter unten in diesem Artikel erwähnt werden.

    a) Wählen Sie " Metadatendatei hochladen" aus.

    OpenAthens – Hochladen von Metadaten

    b. Wählen Sie das Ordnerlogo aus, um die Metadatendatei auszuwählen und "Hochladen" auszuwählen.

    OpenAthens – Durchsuchen des Uploads von Metadaten

    Abschnitt c. Nach dem erfolgreichen Upload der Metadatendatei wird der Wert Bezeichner automatisch in das Textfeld im Abschnitt Grundlegende SAML-Konfiguration eingefügt:

    SSO-Informationen zur Domäne und zu den URLs für OpenAthens

  6. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Downloadlink für das Zertifikat

  7. Kopieren Sie im Abschnitt OpenAthens einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

    Kopieren der Konfiguration-URLs

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für OpenAthens

  1. Melden Sie sich in einem anderen Webbrowserfenster bei der OpenAthens-Unternehmenswebsite als Administrator an.

  2. Wählen Sie in der Liste auf der Registerkarte Management (Verwaltung) die Option Connections (Verbindungen) aus.

  3. Wählen Sie SAML 1.1/2.0 aus, und klicken Sie anschließend auf die Schaltfläche Configure (Konfigurieren).

    Screenshot: Dialogfeld „Select local authentication system type.“ (Typ des lokalen Authentifizierungssystems auswählen), „SAML 1.1/2.0“ und die Schaltfläche „Konfigurieren“ sind ausgewählt.

  4. Klicken Sie zum Hinzufügen der Konfiguration auf die Schaltfläche Browse (Durchsuchen), um die Metadaten-XML-Datei hochzuladen, die Sie zuvor heruntergeladen haben, und klicken Sie anschließend auf Add (Hinzufügen).

    Screenshot: Dialogfeld „Add SAML authentication system“ (SAML-Authentifizierungssystem hinzufügen), die Aktion „Browse“ (Durchsuchen) und die Schaltfläche „Add“ (Hinzufügen) sind ausgewählt.

  5. Führen Sie auf der Registerkarte Details die folgenden Schritte aus.

    Einmaliges Anmelden konfigurieren

    a) Wählen Sie für Display name mapping (Zuordnung des Anzeigenamens) die Option Use Attribute (Attribut verwenden) aus.

    b. Geben Sie im Textfeld Display name attribute (Anzeigenamenattribut) den Wert http://schemas.microsoft.com/identity/claims/displayname ein.

    Abschnitt c. Wählen Sie für Unique user mapping (Eindeutige Benutzerzuordnung) die Option Use Attribute (Attribut verwenden) aus.

    d. Geben Sie im Textfeld Unique user attribute (Eindeutiges Benutzerattribut) den Wert http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name ein.

    e. Aktivieren Sie unter Status alle drei Kontrollkästchen.

    f. Wählen Sie in Create local accounts (Lokale Konten erstellen) die Option automatically (automatisch) aus.

    g. Klicken Sie auf Save changes (Änderungen speichern).

    h. Kopieren Sie auf der Registerkarte </> Vertrauende Seite die Metadaten-URL, und öffnen Sie die Seite im Browser, um die Datei mit der SP-Metadaten-XML herunterzuladen. Laden Sie diese SP-Metadatendatei im Abschnitt Grundlegende SAML-Konfiguration in Azure AD hoch.

    Screenshot: Ausgewählte Registerkarte „Relying party“ (Vertrauende Seite) und hervorgehobene Option „Metadata URL“ (Metadaten-URL)

Erstellen eines OpenAthens-Testbenutzers

In diesem Abschnitt wird in OpenAthens eine Benutzerin namens „Britta Simon“ erstellt. OpenAthens unterstützt die Just-in-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Ist ein Benutzer noch nicht in OpenAthens vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

  • Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei den OpenAthens angemeldet sein, für die Sie das SSO einrichten.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Kachel "OpenAthens" in den "Meine Apps" auswählen, sollten Sie automatisch bei den OpenAthens angemeldet sein, für die Sie das SSO einrichten. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nach dem Konfigurieren von OpenAthens können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.