Zum Inhalt springen

Konfigurieren von Microsoft Entra ID mit WS-Federation im Jitterbit App Builder

Der App Builder integriert sich mit Microsoft Entra ID über das WS-Federation-Protokoll und ermöglicht so die einmalige Anmeldung. Jede Instanz des App Builders muss individuell konfiguriert werden, um mit Microsoft Entra ID zu arbeiten, und umgekehrt. Es sind drei Hauptaufgaben erforderlich:

  1. Registrieren Sie den App Builder als Microsoft Entra ID-Anwendung
  2. Konfigurieren Sie Microsoft Entra ID als Sicherheitsanbieter des App Builders
  3. Ordnen Sie App Builder-Benutzer und -Gruppen Azure-Identitäten zu

Anforderungen

Um fortzufahren, benötigen Sie Folgendes:

  • Administratorzugang zu einem Azure-Konto mit einem Microsoft Entra ID-Dienst
  • Administratorzugang zum App Builder
  • Der App Builder muss über HTTPS mit einem gültigen SSL-Zertifikat verfügbar sein

Eigenschaften

Dieses Dokument verweist auf die folgenden Eigenschaften.

Beispiel Hinweise
App Builder URL https://example.com/Vinyl/ Der App Builder muss über HTTPS zugänglich sein. Die URL muss den abschließenden Schrägstrich enthalten. Der Pfad ist groß- und kleinschreibungsempfindlich.
Anbietername Azure Typischerweise sollte der Anbietername mit dem Active Directory-Domainnamen übereinstimmen. Da der Anbietername in der Anmelde-URL erscheinen wird (siehe unten), vermeiden Sie Leerzeichen, Interpunktion und Sonderzeichen.
Anmelde-URL Wurzelverzeichnis des App Builders/signin-[Name des Sicherheitsanbieters]

https://example.com/Vinyl/signin-Azure		 Callback-URL, die automatisch erstellt wird, wenn der Microsoft Entra ID-Sicherheitsanbieter im App Builder erstellt wird.

Das hier angegebene Beispiel geht davon aus, dass: example.com der Hostname ist, https://example.com/Vinyl/ das Wurzelverzeichnis der App Builder-Anwendung ist und Azure der Name des Azure-Sicherheitsanbieters ist.

Registrieren Sie den App Builder als Microsoft Entra ID-Anwendung

Die Instanz des App Builders muss als Microsoft Entra ID-Anwendung registriert werden. Die folgende Seite dokumentiert den Prozess:

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications

Kurz gesagt:

  1. Melden Sie sich im Microsoft Azure-Portal an
  2. Navigieren Sie zum Azure Active Directory-Admin-Center
  3. Klicken Sie im Navigationsbereich auf Azure Active Directory
  4. Klicken Sie auf App-Registrierungen
  5. Erstellen Sie eine Neue Registrierung und geben Sie den Namen als App Builder an

  6. Geben Sie Ihre Weiterleitungs-URI als https://yourdomainname.com/signin-App Builder ein (Ändern Sie 'App Builder' in den Namen, den Sie innerhalb der App Builder-Sicherheitsanbieter verwenden möchten.)

    activedirectoryredirect.png

  7. Klicken Sie auf Registrieren

  8. Öffnen Sie die neu erstellte Anwendung, die Sie registriert haben, und wählen Sie im Verwalten-Seitenbereich Manifest:

    1. Notieren Sie sich die appId-Zeichenfolge, wie '"appId": "062e3d2f-c200-40bc-b402-5be728bcdd1a",'
    2. Notieren Sie sich Ihre primäre Domain, die in Ihren Microsoft Entra ID 'Mandanteninformationen' angezeigt wird.

    3. Bearbeiten Sie die folgenden Zeilen wie folgt:

      Bearbeiten:

      "groupMembershipClaims": null,
    "identifierUris": [],

      So wird es sein:

      "groupMembershipClaims": "SecurityGroup",
    "identifierUris": [
        "https://[yourprimarydomain.com]/[appId]"
    ],

    Beispiel: Wenn die primäre Domain für den Azure-Mandanten zudy.com ist:

    admanifest.png

  9. Klicken Sie auf Speichern

  10. Klicken Sie im Navigationsbereich auf Übersicht
  11. Klicken Sie auf die Registerkarte Endpunkte
  12. Wo Federationsmetadokument steht, klicken Sie auf das Symbol "In die Zwischenablage kopieren" und fügen Sie den Wert an einem Ort ein, auf den Sie später zugreifen können (z. B. Notepad)

Verbinden und Einrichten eines neuen Sicherheitsanbieters im App Builder

In diesem Schritt definieren Sie den neuen Sicherheitsanbieter für Microsoft Entra ID. Dazu gehört die Festlegung des Typs als WS-Federation-Dienste, die Definition der Parameter Audience, MetadataAddress und Wtrealm (bereitgestellt von Microsoft) sowie die Konfiguration der von Microsoft ausgegebenen Anspruchstypen, um mit der Gruppenabbildung im App Builder übereinzustimmen.

  1. Navigieren Sie zu IDE
  2. Wählen Sie Sicherheitsanbieter
  3. Klicken Sie auf + Benutzerauthentifizierung unter Benutzerauthentifizierung
  4. Wählen Sie den Typ als WS-Federation
  5. Geben Sie einen Namen an, der mit dem übereinstimmt, was Sie zur Konfiguration der Umleitungs-URI verwendet haben. Zum Beispiel: Azure

  6. Optionen zur Änderung: (Unverändert lassen für nicht aufgelistete)

    • Name: ('Azure' im Beispiel)
    • Typ: WS-Federation
    • Aktiviert: Ja
    • Benutzerbereitstellung: Ja ; Dies ermöglicht es Azure, Benutzer im App Builder zu erstellen.
    • Liefert Gruppenmitgliedschaften: Ja
    • Anspruchsfeld speichern: Optional ; Dies ermöglicht die Sichtbarkeit der Metadatenansprüche, die von Microsoft in einen App Builder-Benutzer kommen.

  7. Klicken Sie auf Speichern

  8. Beachten Sie, dass App Builder beim Speichern einen eindeutigen Identifikatorwert für diesen Anbieter ausgibt

Konfigurieren Sie die Eigenschaftenparameter

In diesem Schritt konfigurieren Sie 3 Parameter, die Werte darstellen, die von Microsoft Azure bereitgestellt werden.

  1. Erstellen Sie im Eigenschaftenbereich die folgenden Ansprüche:

    • Audience: https://**IhrAzureHauptdomain.com**/**App-id-von-azure-app-reg**

      Beispiel: https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r

    • MetadataAddress: https://login.microsoftonline.com/***Ihre-Mandanten-ID***/federationmetadata/2007-06/federationmetadata.xml

    • Wtrealm: https://**IhrAzureHauptdomain.com**/**App-id-von-azure-app-reg**

  2. Unter Ansprüche erstellen Sie Folgendes:

    • Suchen Sie nach dem Wort "groups" und wählen Sie den ersten Eintrag aus, der erscheint, nämlich http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

  3. Wählen Sie für die Verwendung Gruppe

  4. Klicken Sie auf das Häkchen-Symbol, um zu speichern

App Builder-Benutzer und -Gruppen mit Azure-Identitäten abgleichen

Aus dem Bereich Identitäten von Secure sehen Sie jetzt einen Eintrag für den erstellten Sicherheitsanbieter. Wenn sich Benutzer über diesen Sicherheitsanbieter in App Builder authentifizieren, werden alle zugehörigen Identitäten übertragen und Sie werden entsprechende Datensätze in den Panels Anbietergruppen und Identitäten nach Anbieter sehen.

Im Panel Anbietergruppen können Sie Zuordnungen zwischen beliebigen App Builder-Gruppen und Azure-Gruppen vornehmen, die Sie möchten, indem Sie das Feld Gruppen verwenden. Das Feld Gruppen ist ein Dropdown-Menü, das alle in App Builder konfigurierten Gruppen auflistet. Dies ermöglicht eine bedarfsgerechte Bereitstellung.

Mit Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung wie oben beschrieben aktiviert haben und versuchen, sich anzumelden, werden Sie möglicherweise zurück zur Anmeldeseite von App Builder umgeleitet. Das Anmeldeformular zeigt eine Nachricht ähnlich der folgenden an:

Das Benutzerkonto (arthur.dent@example.onmicrosoft.com) hat keinen Zugriff auf eine Anwendung erhalten.

Obwohl App Builder den Benutzer erfolgreich bereitstellen konnte, hat der Benutzer standardmäßig keinen Zugriff auf irgendwelche App Builder-Anwendungen. Vorausgesetzt, der Microsoft Entra ID-Benutzer wurde einer oder mehreren Gruppen hinzugefügt und die Gruppenmitgliedschaft für Supplies ist aktiviert (wie oben beschrieben), müssen Sie die Microsoft Entra ID-Sicherheitsgruppen den App Builder-Sicherheitsgruppen zuordnen. Gehen Sie dazu wie folgt vor:

  1. Melden Sie sich als Administrator bei App Builder an
  2. Navigieren Sie zur IDE
  3. Klicken Sie auf die Schaltfläche Benutzermanagement
  4. Klicken Sie auf die Registerkarte Identitäten
  5. Heben Sie im Panel Anbieter Ihren neuen Microsoft Entra ID-Sicherheitsanbieter hervor
  6. Klicken Sie im Panel Anbietergruppen auf + Gruppe

  7. Geben Sie den Namen einer Gruppe ein, die Sie innerhalb von Microsoft Entra ID haben, zusammen mit ihrer Kennung (Diese finden Sie, indem Sie einen Sicherheitstyp innerhalb der Microsoft Entra ID-Gruppen öffnen und die Objekt-ID notieren.)

    Wählen Sie dann die App Builder-Gruppe aus, der sie beim Anmelden automatisch als Mitglied hinzugefügt werden.

  8. Klicken Sie auf die Schaltfläche Speichern

Ohne Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung nicht aktiviert haben, ist die Authentifizierung mit einer Nachricht ähnlich der folgenden fehlgeschlagen:

Obwohl Sie sich erfolgreich bei Azure authentifiziert haben, ist das Konto arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) nicht mit einem lokalen Konto verknüpft.

In der obigen Nachricht ist "arthur.dent@example.onmicrosoft.com" der Benutzername (in der Anspruchs-Authentifizierung als "name" bezeichnet). Der Teil in Klammern ist der eindeutige Identifikator (in der Anspruchs-Authentifizierung als "name identifier" bezeichnet). Sie benötigen diese beiden Informationen für den nächsten Schritt.

  1. Melden Sie sich als Administrator im App Builder an
  2. Navigieren Sie zur IDE
  3. Klicken Sie auf die Schaltfläche Benutzermanagement
  4. Klicken Sie auf die Registerkarte Benutzer
  5. Wählen Sie im Panel Benutzer den Benutzer aus, den Sie zuordnen möchten
  6. Klicken Sie im Panel Identitäten auf die Schaltfläche + Identität

  7. Geben Sie Folgendes an:

    • Provider: Anbietername (siehe oben)
    • Name: Der Azure-Benutzername (siehe oben)
    • Identifier: Der Azure-Benutzernamen-Identifikator (siehe oben)

  8. Klicken Sie auf die Schaltfläche Speichern.

Abmelden vom App Builder

Bestätigen Sie, dass jetzt auf der Anmeldeseite eine Schaltfläche "Anmelden mit …" erscheint, die den Namen anzeigt, den Sie bei der Konfiguration des Sicherheitsanbieters angegeben haben.

Signin 0365

Beispiel für die Anmeldeschaltfläche für den neuen Sicherheitsanbieter auf der Anmeldeseite

Testen Sie die Anmeldung, Sie sollten umgeleitet werden, um sich mit einem Azure-Konto zu authentifizieren.