Zum Inhalt springen

Konfigurieren der Microsoft Entra ID mithilfe von WS-Federation im Jitterbit App Builder

App Builder integriert sich über das WS-Federation-Protokoll mit Microsoft Entra ID und ermöglicht so Single Sign-On. Jede App Builder Instanz muss individuell für die Zusammenarbeit mit Microsoft Entra ID konfiguriert werden und umgekehrt. Drei Hauptaufgaben sind dabei erforderlich:

  1. App Builder als Microsoft Entra ID -Anwendung registrieren
  2. Konfigurieren Sie Microsoft Entra ID als App Builder Sicherheitsanbieter
  3. App Builder Benutzer und-Gruppen Azure Identitäten zuordnen

Anforderungen

Um fortzufahren, benötigen Sie Folgendes:

  • Administratorzugriff auf ein Azure-Konto mit einem Microsoft Entra ID -Dienst
  • Administratorzugriff auf App Builder
  • App Builder muss über HTTPS mit einem gültigen SSL-Zertifikat verfügbar sein

Eigenschaften

Dieses Dokument verweist auf die folgenden Eigenschaften.

Beispiel Hinweise
App Builder URL https://example.com/App Builder/ Der App Builder muss über HTTPS erreichbar sein. Die URL muss einen abschließenden Schrägstrich enthalten. Bei der Pfadangabe wird die Groß- und Kleinschreibung beachtet.
Anbietername Azure Normalerweise sollte der Anbietername mit dem Active Directory-Domänennamen übereinstimmen. Da der Anbietername in der Anmelde-URL (siehe unten) erscheint, vermeiden Sie Leerzeichen, Satzzeichen und Sonderzeichen.
Anmelde-URL Stammverzeichnis des App Builder /signin-[Name des Sicherheitsanbieters]

https://example.com/App Builder/signin-Azure		 Rückruf-URL wird automatisch bereitgestellt, wenn der Microsoft Entra ID Sicherheitsanbieter im App Builder erstellt wird.

Das hier bereitgestellte Beispiel geht davon aus, dass example.com der Hostname, https://example.com/App Builder/ das Stammverzeichnis der App Builder-Anwendung und Azure der Name des Azure Sicherheitsanbieters ist.

App Builder als Microsoft Entra ID -Anwendung registrieren

Die App Builder Instanz muss als Microsoft Entra ID Anwendung registriert werden. Die folgende Seite dokumentiert den Vorgang:

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications

Zusamenfassend:

  1. Melden Sie sich beim Microsoft Azure Portal an
  2. Navigieren Sie zum Azure Active Directory Admin Center
  3. Klicken Sie in der Navigation auf Azure Active Directory
  4. Klicken Sie auf App-Registrierungen
  5. Erstellen Sie eine Neue Registrierung und geben Sie den Namen als App Builder an.

  6. Geben Sie Ihre Weiterleitungs-URI als https://yourdomainname.com/signin-App Builder (Ändern Sie „App Builder“ in den Namen, den Sie innerhalb der App Builder Security Providers verwenden möchten.)

    activedirectoryredirect.png

  7. Klicken Sie auf Registrieren

  8. Öffnen Sie die neu erstellte Anwendung, die Sie registriert haben, und wählen Sie in der Seitenleiste Verwalten Manifest aus:

    1. Notieren Sie sich die AppId-Zeichenfolge, z. B. „"appId": „062e3d2f-c200-40bc-b402-5be728bcdd1a“,“
    2. Notieren Sie sich Ihre primäre Domäne, die in den „Mandanteninformationen“ Ihrer Microsoft Entra ID angezeigt wird.

    3. Bearbeiten Sie die folgenden Zeilen wie folgt:

      Bearbeiten:

      "groupMembershipClaims": null,
    "identifierUris": [],

      Zu sein:

      "groupMembershipClaims": "SecurityGroup",
    "identifierUris": [
        "https://[yourprimarydomain.com]/[appId]"
    ],

    Beispiel: Wenn die primäre Domäne für den Azure Mandanten zudy.com ist:

    admanifest.png

  9. Klicken Sie auf Speichern

  10. Klicken Sie in der Navigation auf Übersicht
  11. Klicken Sie auf die Tab Endpoints
  12. Klicken Sie bei Federation metadata document auf das Symbol In die Zwischenablage kopieren und fügen Sie den Wert an einer Stelle ein, auf die Sie später zugreifen können (z. B. im Editor).

Verbinden und Einrichten eines neuen Sicherheitsanbieters im App Builder

In diesem Schritt definieren Sie den neuen Sicherheitsanbieter für die Microsoft Entra ID. Dazu gehört die Definition des Typs als WS-Federation-Dienste, die Definition der Parameter Audience, MetadataAddress und Wtrealm (bereitgestellt von Microsoft) und die Konfiguration der von Microsoft ausgegebenen Anspruchstypen, um sie mit jeder Gruppenzuordnung im App Builder abzugleichen.

  1. Navigieren Sie zur IDE
  2. Wählen Sie Sicherheitsanbieter
  3. Klicken Sie unter Benutzerauthentifizierung auf + Benutzerauthentifizierung
  4. Wählen Sie als Typ WS-Federation
  5. Geben Sie einen Namen ein, der mit dem Namen übereinstimmt, den Sie für die Konfiguration der Umleitungs-URI verwendet haben. Beispiel: Azure

  6. Änderungsoptionen: (Für nicht aufgeführte Elemente unverändert lassen)

    • Name: (im Beispiel „** Azure**“)
    • Typ: WS-Federation
    • Aktiviert: Ja
    • Benutzerbereitstellung: Ja; Dadurch kann Azure Benutzer im App Builder erstellen.
    • Mitgliedschaft in der Verbrauchsmaterialgruppe: Ja
    • Feld „Store Claims“: Optional; Dies ermöglicht die Einsicht in die Meta-Claims-Daten, die von Microsoft an einen App Builder-Benutzer gesendet werden.

  7. Klicken Sie auf Speichern

  8. Beachten Sie, dass der App Builder beim Speichern einen eindeutigen Identifikatorwert für diesen Anbieter ausgibt

Konfigurieren der Eigenschaftenparameter

In diesem Schritt konfigurieren Sie drei Parameter, die von Microsoft Azure bereitgestellte Werte darstellen.

  1. Erstellen Sie im Eigenschaftenbereich die folgenden Ansprüche:

    • Publikum: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

      Beispiel: https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r

    • Metadatenadresse: https://login.microsoftonline.com/***Your-Tenant-ID***/federationmetadata/2007-06/federationmetadata.xml

    • Wtrealm: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

  2. Erstellen Sie unter Ansprüche Folgendes:

    • Suchen Sie nach dem Wort „Gruppen“ und wählen Sie den ersten angezeigten Eintrag aus. http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

  3. Wählen Sie unter „Verwendung“ die Option „Gruppe“ aus.

  4. Klicken Sie zum Speichern auf das Häkchen.

Zuordnen von App Builder Benutzern und-Gruppen zu Azure Identitäten

Im Bereich „Identitäten“ von „Secure“ sehen Sie nun einen Eintrag für den erstellten Sicherheitsanbieter. Wenn sich Benutzer mit diesem Sicherheitsanbieter im App Builder authentifizieren, werden alle zugehörigen Identitäten übertragen, und die entsprechenden Datensätze werden in den Bereichen „Anbietergruppen“ und „Identitäten nach Anbieter“ angezeigt.

Im Bereich „Anbietergruppen“ können Sie über das Feld „Gruppen“ Zuordnungen zwischen beliebigen App Builder-Gruppen und Azure Gruppen erstellen. Das Feld „Gruppen“ ist ein Dropdown-Menü, das alle im App Builder konfigurierten Gruppen auflistet. Dies ermöglicht Just-in-Time-Provisioning.

Mit Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung wie oben beschrieben aktiviert haben und versuchen, sich anzumelden, werden Sie möglicherweise zurück zur App Builder-Anmeldung geleitet. Im Anmeldeformular wird eine Meldung ähnlich der folgenden angezeigt:

The user account (arthur.dent@example.onmicrosoft.com) has not been granted access to an application.

Obwohl App Builder den Benutzer erfolgreich bereitstellen konnte, hat er standardmäßig keinen Zugriff auf App Builder-Anwendungen. Vorausgesetzt, der Microsoft Entra ID Benutzer wurde einer oder mehreren Gruppen hinzugefügt und die Supplies-Gruppenmitgliedschaft ist aktiviert (wie oben beschrieben), müssen Sie die Microsoft Entra ID Sicherheitsgruppen den App Builder Sicherheitsgruppen zuordnen. Gehen Sie dazu wie folgt vor:

  1. Melden Sie sich als Administrator beim App Builder an
  2. Navigieren Sie zur IDE
  3. Klicken Sie auf die Schaltfläche Benutzerverwaltung
  4. Klicken Sie auf die Tab Identitäten
  5. Markieren Sie im Bereich Anbieter Ihren neuen Microsoft Entra ID Sicherheitsanbieter
  6. Klicken Sie im Bereich Anbietergruppen auf + Gruppe

  7. Geben Sie den Namen einer Gruppe ein, die Sie innerhalb von Microsoft Entra ID haben, zusammen mit ihrer Kennung (diese finden Sie, indem Sie einen Sicherheitsgruppentyp innerhalb von Microsoft Entra ID Gruppen öffnen und sich seine Objekt-ID notieren.)

    Wählen Sie dann die App Builder Gruppe aus, zu der sie beim Anmelden automatisch als Mitglied hinzugefügt werden.

  8. Klicken Sie auf die Schaltfläche Speichern

Ohne Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung nicht aktiviert haben, schlägt die Authentifizierung mit einer Meldung ähnlich der folgenden fehl:

Although you've successfully authenticated with Azure, the account arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) is not associated with a local account.

In der obigen Nachricht ist „arthur.dent@example.onmicrosoft.com“ der Benutzername (in der anspruchsbasierten Authentifizierung „Name“ genannt). Der Teil in Klammern ist die eindeutige Kennung (in der anspruchsbasierten Authentifizierung „Namenskennung“ genannt). Sie benötigen diese beiden Informationen für den nächsten Schritt.

  1. Melden Sie sich als Administrator beim App Builder an
  2. Navigieren Sie zur IDE
  3. Klicken Sie auf die Schaltfläche Benutzerverwaltung
  4. Klicken Sie auf die Tab Benutzer
  5. Wählen Sie im Bereich Benutzer den Benutzer aus, den Sie zuordnen möchten
  6. Klicken Sie im Bereich Identitäten auf die Schaltfläche + Identität

  7. Geben Sie Folgendes an:

    • Anbieter: Name des Anbieters (siehe oben)
    • Name: Der Azure-Benutzername (siehe oben)
    • Kennung: Die Azure-Benutzernamenkennung (siehe oben)

  8. Klicken Sie auf die Schaltfläche Speichern.

Abmeldung vom App Builder

Vergewissern Sie sich, dass auf der Anmeldeseite nun die Schaltfläche „Anmelden mit …“ angezeigt wird. Dort wird der Name angezeigt, den Sie bei der Konfiguration des Sicherheitsanbieters angegeben haben.

Anmelden 0365

Beispiel einer Anmeldeschaltfläche für einen neuen Sicherheitsanbieter auf der Anmeldeseite

Testen Sie die Anmeldung. Sie sollten zur Authentifizierung mit einem Azure-Konto weitergeleitet werden.