Zum Inhalt springen

Konfigurieren der Microsoft Entra ID mithilfe von WS-Federation im Jitterbit App Builder

App Builder integriert sich mit Microsoft Entra ID über das WS-Federation-Protokoll und ermöglicht Single Sign-On. Jeder App Builder Instanz muss individuell konfiguriert werden, damit sie mit Microsoft Entra ID funktioniert und umgekehrt. Dabei sind drei Hauptaufgaben erforderlich:

  1. Registrieren App Builder als Microsoft Entra ID Anwendung
  2. Konfigurieren Sie Microsoft Entra ID als an App Builder Sicherheitsanbieter
  3. Karte App Builder Benutzer und Gruppen zu Azure Identitäten

Anforderungen

Um fortzufahren, benötigen Sie Folgendes:

  • Administratorzugriff auf ein Azure-Konto mit einem Microsoft Entra ID Dienst
  • Administratorzugriff auf App Builder
  • App Builder muss über HTTPS mit einem gültigen SSL-Zertifikat verfügbar sein

Eigenschaften

Dieses Dokument verweist auf die folgenden Eigenschaften.

Beispiel Hinweise
App Builder URL https://example.com/App Builder/ App Builder muss über HTTPS erreichbar sein. Die URL muss den abschließenden Schrägstrich enthalten. Bei der Angabe des Pfads wird zwischen Groß- und Kleinschreibung unterschieden.
Anbietername Azure Normalerweise sollte der Anbietername mit dem Active Directory Domänennamen übereinstimmen. Da der Anbietername in der Anmelde-URL (siehe unten) angezeigt wird, vermeiden Sie Leerzeichen, Satzzeichen und Sonderzeichen.
Anmelde-URL App Builder Stammverzeichnis/Anmeldung-[Name des Sicherheitsanbieters]

https://example.com/App Builder/signin-Azure		 Rückruf-URL wird automatisch bereitgestellt, wenn der Microsoft Entra ID Sicherheitsanbieter innerhalb von App Builder.

Das hier bereitgestellte Beispiel geht davon aus, dass: example.com der Hostname ist, https://example.com/App Builder/ ist das App Builder Stammverzeichnis der Anwendung und dass Azure der Name des Azure-Sicherheitsanbieters ist.

Registrieren App Builder als Microsoft Entra ID Anwendung

Der App Builder Instanz muss als Microsoft Entra ID Anwendung registriert werden. Die folgende Seite dokumentiert den Vorgang:

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications

Zusamenfassend:

  1. Melden Sie sich beim Microsoft Azure Portal an
  2. Navigieren Sie zum Azure Active Directory Admin Center
  3. Klicken Sie in der Navigation auf Azure Active Directory
  4. Klicken Sie auf App-Registrierungen
  5. Erstellen Sie eine Neue Registrierung und geben Sie den Namen als an App Builder

  6. Geben Sie Ihre Umleitungs-URI als https://yourdomainname.com/signin-App Builder (Ändern 'App Builder' zu dem Namen, den Sie innerhalb von App Builder Sicherheitsanbieter.)

    activedirectoryredirect.png

  7. Klicken Sie auf Registrieren

  8. Öffnen Sie die neu erstellte Anwendung, die Sie registriert haben, und wählen Sie in der Seitenleiste Verwalten Manifest aus:

    1. Notieren Sie sich die AppId-Zeichenfolge, z. B. „“appId“: „062e3d2f-c200-40bc-b402-5be728bcdd1a“,“
    2. Notieren Sie sich Ihre primäre Domäne, die in den „Mandanteninformationen“ Ihrer Microsoft Entra ID angezeigt wird.

    3. Bearbeiten Sie die folgenden Zeilen wie folgt:

      Bearbeiten:

      "groupMembershipClaims": null,
    "identifierUris": [],

      Zu sein:

      "groupMembershipClaims": "SecurityGroup",
    "identifierUris": [
        "https://[yourprimarydomain.com]/[appId]"
    ],

    Beispiel: Wenn die primäre Domäne für den Azure Mandanten zudy.com ist:

    admanifest.png

  9. Klicken Sie auf Speichern

  10. Klicken Sie in der Navigation auf Übersicht
  11. Klicken Sie auf die Tab Endpoints
  12. Klicken Sie bei Federation metadata document auf das Symbol copy to clipboard und fügen Sie den Wert an einer Stelle ein, auf die Sie später zurückgreifen können (z. B. in Notepad).

Verbinden und Einrichten eines neuen Sicherheitsanbieters in App Builder

In diesem Schritt definieren Sie den neuen Sicherheitsanbieter für Microsoft Entra ID. Dazu gehört die Definition des Typs als WS-Federation-Dienste, die Definition der Parameter Audience, MetadataAddress und Wtrealm (bereitgestellt von Microsoft) und die Konfiguration der von Microsoft ausgegebenen Anspruchstypen, um sie mit jeder Gruppenzuordnung innerhalb von abzugleichen App Builder.

  1. Navigieren Sie zur IDE
  2. Wählen Sie Sicherheitsanbieter
  3. Klicken Sie unter Benutzerauthentifizierung auf + Benutzerauthentifizierung
  4. Wählen Sie als Typ WS-Federation
  5. Geben Sie einen Namen ein, der mit dem übereinstimmt, den Sie zur Konfiguration der Umleitungs-URI verwendet haben. Beispiel: Azure

  6. Zu ändernde Optionen: (Für nicht aufgeführte Optionen unverändert lassen)

    • Name: (im Beispiel „** Azure**“)
    • Typ: WS-Federation
    • Aktiviert: Ja
    • Benutzerbereitstellung: Ja ; Dies ermöglicht Azure die Erstellung von Benutzern in App Builder.
    • Mitgliedschaft in der Supplies-Gruppe: Ja
    • Feld „Store Claims“: Optional; Dies ermöglicht die Einsicht in die Meta-Claims-Daten, die von Microsoft in an App Builder Benutzer.

  7. Klicken Sie auf Speichern

  8. Beachten Sie, dass beim Speichern App Builder gibt einen eindeutigen Identifikatorwert für diesen Anbieter aus

Konfigurieren der Eigenschaftenparameter

In diesem Schritt konfigurieren Sie drei Parameter, die von Microsoft Azure bereitgestellte Werte darstellen.

  1. Erstellen Sie im Eigenschaftenfenster die folgenden Ansprüche:

    • Publikum: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

      Beispiel: https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r

    • Metadatenadresse: https://login.microsoftonline.com/***Your-Tenant-ID***/federationmetadata/2007-06/federationmetadata.xml

    • Wtrealm: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

  2. Erstellen Sie unter Ansprüche Folgendes:

    • Suchen Sie nach dem Wort „Gruppen“ und wählen Sie den ersten angezeigten Eintrag aus http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

  3. Wählen Sie unter Verwendung Gruppe aus.

  4. Klicken Sie zum Speichern auf das Häkchensymbol.

Karte App Builder Benutzer und Gruppen zu Azure Identitäten

Im Bereich „Identitäten“ von Secure sehen Sie nun einen Eintrag für den erstellten Sicherheitsanbieter. Wenn sich Benutzer bei App Builder Wenn Sie diesen Sicherheitsanbieter verwenden, werden alle zugehörigen Identitäten durchlaufen und Sie sehen Datensätze entsprechend in den Bereichen „Anbietergruppen“ und „Identitäten nach Anbieter“ angezeigt.

Im Bereich „Anbietergruppen“ können Sie Zuordnungen zwischen allen App Builder Gruppen und Azure-Gruppen, die Sie möchten, mithilfe des Felds Gruppen. Das Feld Gruppen ist hier ein Dropdown-Menü, in dem alle Gruppen aufgelistet sind, die in App Builder. Dadurch wird Just-in-Time-Bereitstellung ermöglicht.

Mit Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung wie oben beschrieben aktiviert haben und versuchen, sich anzumelden, werden Sie möglicherweise zurück zur App Builder Anmelden. Das Anmeldeformular zeigt eine Meldung ähnlich der folgenden an:

The user account (arthur.dent@example.onmicrosoft.com) has not been granted access to an application.

Obwohl App Builder konnte den Benutzer erfolgreich bereitstellen, der Benutzer hat jedoch keinen Zugriff auf App Builder Anwendungen standardmäßig. Vorausgesetzt, der Microsoft Entra ID Benutzer wurde zu einer oder mehreren Gruppen hinzugefügt und die Supplies-Gruppenmitgliedschaft ist aktiviert (wie oben beschrieben), müssen Sie die Microsoft Entra ID Sicherheitsgruppen zuordnen zu App Builder Sicherheitsgruppen. Gehen Sie dazu wie folgt vor:

  1. Melden Sie sich an App Builder als Administrator
  2. Navigieren Sie zur IDE
  3. Klicken Sie auf die Schaltfläche Benutzerverwaltung
  4. Klicken Sie auf die Tab Identitäten
  5. Markieren Sie im Bereich Anbieter Ihren neuen Microsoft Entra ID Sicherheitsanbieter
  6. Klicken Sie im Bereich Anbietergruppen auf + Gruppe

  7. Geben Sie den Namen einer Gruppe ein, die Sie in Microsoft Entra ID haben, zusammen mit ihrer Kennung. (Diese finden Sie, indem Sie einen Sicherheitsgruppentyp in Microsoft Entra ID Gruppen öffnen und sich seine Objekt-ID notieren.)

    Wählen Sie dann die App Builder Sie werden beim Anmelden automatisch als Mitglied der Gruppe hinzugefügt.

  8. Klicken Sie auf die Schaltfläche Speichern

Ohne Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung nicht aktiviert haben, schlägt die Authentifizierung mit einer Meldung ähnlich der folgenden fehl:

Although you've successfully authenticated with Azure, the account arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) is not associated with a local account.

In der obigen Nachricht ist „arthur.dent@example.onmicrosoft.com“ der Benutzername (in der Anspruchsauthentifizierung „Name“ genannt). Der Teil in Klammern ist die eindeutige Kennung (in der Anspruchsauthentifizierung „Namenskennung“ genannt). Sie benötigen diese beiden Informationen für den nächsten Schritt.

  1. Melden Sie sich an App Builder als Administrator
  2. Navigieren Sie zur IDE
  3. Klicken Sie auf die Schaltfläche Benutzerverwaltung
  4. Klicken Sie auf die Tab Benutzer
  5. Wählen Sie im Bereich Benutzer den Benutzer aus, den Sie zuordnen möchten
  6. Klicken Sie im Bereich Identitäten auf die Schaltfläche + Identität

  7. Geben Sie Folgendes an:

    • Anbieter: Name des Anbieters (siehe oben)
    • Name: Der Azure Benutzername (siehe oben)
    • Bezeichner: Der Azure-Benutzername-Bezeichner (siehe oben)

  8. Klicken Sie auf die Schaltfläche Speichern.

Abmeldung von App Builder

Bestätigen Sie, dass jetzt auf der Anmeldeseite eine Schaltfläche „Anmelden mit …“ angezeigt wird und der Name angezeigt wird, den Sie bei der Konfiguration des Sicherheitsanbieters angegeben haben

Anmelden 0365

Beispiel einer Anmeldeschaltfläche für einen neuen Sicherheitsanbieter auf der Anmeldeseite

Testen Sie die Anmeldung. Sie sollten zur Authentifizierung mit einem Azure-Konto weitergeleitet werden.