Wie ein Administrator die EntraId-Anmeldung konfiguriert

Zusammenfassung

Die Verwendung von EntraId für den Login ermöglicht es Nutzern, sich automatisch mit ihrem EntraId (M365) in der STP Cloud anzumelden.
Dieses Dokument beschreibt, wie das EntraId des Kunden als externer Identitätsanbieter für den Mandanten in der STP Cloud konfiguriert wird.

Voraussetzungen

  • Der Kunde verfügt über ein Azure Active Directory-Konto
  • Zugriffsrechte in AAD, um eine App-Registrierung zu erstellen
  • Ein Mandant in der STP Cloud ist vorhanden
  • Admin-Zugriff auf diesen Mandanten

1) Lizenzierung für EntraId als eIDP

Folgende Lizenz muss dem Mandanten hinzugefügt werden.

License for EntraId as eIDP
Benötigte Lizenz für die Nutzung von EntraId

Info: Diese Lizenzen können über den STP Support angefordert werden.

2) In Azure Active Directory

2.1) App-Registrierung hinzufügen

Fügen Sie eine App-Registrierung für den STP-Cloud-Login hinzu. Dabei muss auch ein Client-Secret angegeben werden.

Info: Eine App-Registrierung kann hier vorgenommen werden: App-Registrierung in M365

Add an App Registration
App-Registrierung in M365 hinzufügen

2.2) Redirect-URL angeben

Für die STP-Login-App muss eine Redirect-URL mit der mandantenspezifischen Subdomain angegeben werden, z. B. https://meinedomain.stp-cloud.de/identity/signin-microsoft .

Add a redirect URL to App Registration
Redirect-URL zur App-Registrierung hinzufügen

2.3) Client-Secret für die App hinzufügen

Es muss ein Secret zur App hinzugefügt werden, um die Identität bei Token-Anfragen zu bestätigen.

Add a client secret to App Registration
Client-Secret zur App-Registrierung hinzufügen

Wichtig: Speichern Sie diese Client-ID und das Secret an einem sicheren Ort, da sie später nicht mehr angezeigt werden und noch benötigt werden!

2.4) API-Berechtigungen für die STP-Login-App konfigurieren

Die Standardberechtigungen und -bereiche sind ausreichend.

The permissions for the App
Berechtigungen für die App

2.5) Die Endpunkte

Sehen Sie sich die Endpunkte der App an. Der „OAuth 2.0-Autorisierungsendpunkt (v2)“ und der „OAuth 2.0-Token-Endpunkt (v2)“ werden für die weitere Konfiguration benötigt.

The endpoints of the App
Die Endpunkte der App

3) Identity Admin in der STP Cloud

The Identity Admin
Der Identity Admin

3.1) Externen Identitätsanbieter hinzufügen

Fügen Sie Azure Active Directory als Identitätsanbieter mit den oben genannten Werten hinzu.

Configure the Identity Provider
Identitätsanbieter konfigurieren

Wichtig: Es kann bis zu einer Stunde dauern, bis die Änderungen wirksam werden. Danach sollte der Login-Bildschirm wie folgt aussehen:

STP Cloud Login screen with “Microsoft 365” login button
STP Cloud Login-Bildschirm mit „Microsoft 365“-Login-Button

3.2) Individuelle Kontoverknüpfung

Beim Klick auf „Login mit Microsoft 365“ erscheint zunächst eine Fehlermeldung:

External login error “Unknown user”
Externer Login-Fehler „Unbekannter Benutzer“

Das STP Cloud-Konto muss zuerst mit dem M365-Konto verbunden werden:

3.3) Benutzerkonto verbinden

Um Ihr STP-Benutzerkonto mit dem Azure Active Directory-Konto zu verbinden, melden Sie sich zunächst mit dem lokalen Login in der STP Cloud an.
Nach dem Login gehen Sie zu https://<tenantname>.stp-cloud.de/identity/ (z. B. https://meinedomain.stp-cloud.de/identity/)

Connect identity page
Identität verbinden-Seite

Während Sie angemeldet sind, klicken Sie unter „Weitere Identitäten verbinden“ auf „Microsoft 365“. Der Browser leitet Sie zu Azure Active Directory weiter, wo Sie sich mit M365 anmelden können. Danach muss der STP-Cloud Zugriff auf das Microsoft 365-Benutzerprofil gewährt werden.

Grant access for STP-Cloud
Zugriff für STP-Cloud gewähren

Nach der Rückleitung ist das Microsoft 365-Konto nun mit dem STP-Cloud-Konto verbunden.

Info: Alternativ kann ein Administrator im Bereich API-Berechtigungen der App-Registrierung in Azure Active Directory die Zustimmung für alle Nutzer erteilen.

3.4) Verbundenes Konto testen

Um das verbundene Konto zu testen, melden Sie sich von der STP-Cloud ab und klicken Sie auf „Microsoft 365“, während Sie nicht angemeldet sind. Sie werden dann automatisch als derselbe Nutzer des verbundenen Microsoft 365-Kontos angemeldet.

3.5) Automatische Verknüpfung per E-Mail-Claim

Statt dass Nutzer ihr M365-Konto einzeln mit ihrem STP-Cloud-Konto verbinden, kann der Admin die automatische Verknüpfung per E-Mail-Claim aktivieren.
Ist diese Option aktiviert, wird das M365-Konto automatisch mit dem STP-Cloud-Konto verbunden, das dieselbe E-Mail-Adresse verwendet.

Configure auto-connect users
Automatische Benutzerverknüpfung konfigurieren

3.6) Lokalen Login verhindern

In manchen Fällen soll der Login ausschließlich über einen externen IDP wie AAD erfolgen. Der „Lokale Login“ per E-Mail und Passwort soll dann nicht mehr möglich sein.
In diesem Fall kann der IDP so eingerichtet werden, dass der lokale Login verhindert wird.

Prevent local login
Lokalen Login verhindern

Wichtig:

  • Wenn dieser IDP der einzige aktive IDP ist, wird der externe Login automatisch versucht.
  • Wenn die externe Identität noch nicht verbunden ist und „Automatische Verknüpfung per E-Mail-Claim“ deaktiviert ist, können sich neue Nutzer nicht anmelden.
  • Wenn die Konfiguration beim externen IDP widerrufen, abgelaufen oder anderweitig gestört ist, ist ein Login in die STP Cloud nicht mehr möglich.
  • In diesem Fall muss ein STP Support-Mitarbeiter die Einstellung „Lokalen Login verhindern“ manuell zurücksetzen.
  • Resource Owner Password Grant-Logins sind davon ausgenommen. Sie funktionieren weiterhin mit Benutzername und Passwort, um die Agenten-Konnektivität zu erhalten (z. B. DMS Mobile DESK, Mobile Time).

4) Bekannte Einschränkung

Wenn der externe IDP in IdentityAdmin geändert wird, um gegen einen anderen IDP zu authentifizieren, werden alle externen Identitäten dieses Mandanten ungültig, da sie im anderen IDP eine andere externe ID haben.
Da jeder Nutzer nur eine externe ID pro externem IDP verbinden kann, müssen sie ihre externe ID manuell entfernen und die neue verbinden.

Wichtig: Ist „Lokalen Login verhindern“ aktiviert, können Nutzer ihre alte externe ID nicht entfernen und sich nicht mehr anmelden.

Lösung

Statt den externen IDP zu ändern, entfernen Sie ihn und legen Sie einen neuen an.

Dadurch werden alle verbundenen externen IDs automatisch entfernt.
Die Nutzer können dann ihre externe ID manuell verbinden oder sie wird automatisch verbunden, wenn „Automatische Verknüpfung“ aktiviert ist.

Info: Der Login unter common.stp-cloud.de funktioniert nicht mit Single-Sign-On. Die gemeinsame Subdomain wird z. B. für den STP.Marketplace oder die neuen Office Addins (STP.Documents.Outlook) verwendet. Wird ein Login auf der gemeinsamen Subdomain für einen Mandanten versucht, bei dem lokale Logins verhindert werden, wird der Browser auf die spezifische Mandanten-Subdomain umgeleitet, wo der Login mit dem externen IDP abgeschlossen werden kann. Anschließend wird der Browser zurück zum authentifizierenden Dienst geleitet (aber nur, wenn diese Redirect-URI in Identity Admin auf der Allowlist steht). Dieser Dienst erhält einen Auth-Code, um ihn gegen ein Access-Token einzutauschen. Allerdings wurde das Session-Cookie des Nutzers auf die spezifische Mandanten-Subdomain gesetzt, nicht auf die gemeinsame Subdomain. Der Nutzer gilt daher auf der gemeinsamen Subdomain nicht als angemeldet.

------------------------------------------------------------------------------------------------------------------
Dieser Artikel wurde automatisch von einer KI übersetzt und kann daher Fehler enthalten.

Verknüpfung mit