Konfigurieren von Azure Active Directory für Single Sign-On

Um eine OpenID Connect (OIDC)-basierte Anwendung in Microsoft Azure Active Directory (AzureAD) für Single Sign-On (SSO) einzurichten, führen Sie die folgenden Schritte aus.

Voraussetzungen

Stellen Sie sicher, dass Sie über ein AzureAD-Konto verfügen.

Prozedur

Melden Sie sich bei Ihrem Microsoft Azure-Konto als Admin-Benutzer an.
Der Microsoft Azure-Startbildschirm wird angezeigt.
So erstellen Sie eine neue Anwendung:
1. Suchen Sie nach dem Azure Active Directory-Dienst.
2. Navigieren Sie zu App-Registrierung (App registration) > Neue Registrierung (New registration).
  Der Bildschirm Anwendung registrieren (Register application) wird angezeigt.
3. Geben Sie im Feld Name den Namen für Ihre SASE Orchestrator-Anwendung ein.
4. Geben Sie im Feld Umleitungs-URL (Redirect URL) die Umleitungs-URL ein, die Ihre SASE Orchestrator-Anwendung als Callback-Endpoint verwendet.
  In der SASE Orchestrator-Anwendung finden Sie im unteren Bereich des Bildschirms Authentifizierung konfigurieren (Configure Authentication) den Link für die Umleitungs-URL. Idealerweise liegt die SASE Orchestrator-Umleitungs-URL in diesem Format vor: https://<Orchestrator-URL>/login/ssologin/openidCallback.
5. Klicken Sie auf Registrieren (Register).
  Ihre SASE Orchestrator-Anwendung wird registriert und auf den Registerkarten Alle Anwendungen (All applications) und Eigene Anwendungen (Owned applications) angezeigt. Stellen Sie sicher, dass Sie die Client-ID/Anwendungs-ID notieren, die während der SSO-Konfiguration in SASE Orchestrator verwendet werden soll.
6. Klicken Sie auf Endpoints und kopieren Sie die bekannte OIDC-Konfigurations-URL, die während der SSO-Konfiguration in SASE Orchestrator verwendet werden soll.
7. Um einen geheimen Clientschlüssel für Ihre SASE Orchestrator-Anwendung zu erstellen, klicken Sie auf der Registerkarte Eigene Anwendungen (Owned applications) auf Ihre SASE Orchestrator-Anwendung.
8. Navigieren Sie zu Zertifikate und geheime Schlüssel (Certificates & secrets) > Neuer geheimer Schlüssel (New client secret).
  Der Bildschirm Neuen geheimen Clientschlüssel hinzufügen (Add a client secret) wird angezeigt.
9. Geben Sie Details wie Beschreibung und Ablaufwert des geheimen Schlüssels an und klicken Sie auf Hinzufügen (Add).
  Der geheime Clientschlüssel wird für die Anwendung erstellt. Notieren Sie den Wert für den neuen geheimen Clientschlüssel, der während der SSO-Konfiguration in SASE Orchestrator verwendet wird.
10. Um die Berechtigungen für Ihre SASE Orchestrator-Anwendung zu konfigurieren, klicken Sie auf Ihre SASE Orchestrator-Anwendung und navigieren Sie zu API-Berechtigungen (API permissions) > Berechtigung hinzufügen (Add a permission).
  Der Bildschirm API-Berechtigungen anfordern (Request API permissions) wird angezeigt.
11. Klicken Sie auf Microsoft-Diagramm (Microsoft Graph) und wählen Sie Anwendungsberechtigungen (Application permissions) als Berechtigungstyp für Ihre Anwendung aus.
12. Wählen Sie unter Berechtigungen auswählen (Select permissions) im Dropdown-Menü Verzeichnis (Directory) den Eintrag Directory.Read.All und aus dem Dropdown-Menü Benutzer (User) den Eintrag User.Read.All aus.
13. Klicken Sie auf Berechtigungen hinzuzufügen (Add permissions).
14. Um Rollen im Manifest hinzuzufügen und zu speichern, klicken Sie auf Ihre SASE Orchestrator-Anwendung und klicken Sie im Anwendungsbildschirm Übersicht (Overview) auf Manifest.
  Ein webbasierter Manifest-Editor wird geöffnet, sodass Sie das Manifest im Portal bearbeiten können. Optional können Sie Herunterladen (Download) auswählen, um das Manifest lokal zu bearbeiten, und dann Hochladen (Upload) verwenden, um es erneut auf Ihre Anwendung anzuwenden.
15. Suchen Sie im Manifest nach dem appRoles-Array und fügen Sie ein oder mehrere Rollenobjekte hinzu, wie im folgenden Beispiel dargestellt, und klicken Sie auf Speichern (Save).
  
  Hinweis: Die Werteigenschaft von appRoles muss der Spalte Rollenname des Identitätsanbieters (Identity Provider Role Name) in der Tabelle Rollenzuordnung (Role Map) auf der Registerkarte Authentifizierung (Authentication) hinzugefügt werden, damit die Rollen korrekt zugeordnet werden können.
  Beispiele für Rollenobjekte
```
{
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Standard Administrator who will have sufficient privilege to manage resource",
            "displayName": "Standard Admin",
            "id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "standard"
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Super Admin who will have the full privilege on SASE Orchestrator",
            "displayName": "Super Admin",
            "id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "superuser"
        } 
```
  Hinweis: Stellen Sie sicher, dass id auf einen neu generierten GUID-Wert (Global Unique Identifier) festgelegt wird. Sie können GUIDs online mit webbasierten Tools (z. B. https://www.guidgen.com/) oder durch Ausführen der folgenden Befehle generieren:
  - Linux/OSX – uuidgen
  - Windows – powershell [guid]::NewGuid()
  Rollen werden manuell im SASE Orchestrator eingerichtet und müssen mit den im Microsoft Azure-Portal konfigurierten Rollen übereinstimmen.
So weisen Sie Ihrer SASE Orchestrator-Anwendung Gruppen und Benutzer zu:
1. Navigieren Sie zu Azure Active Directory > Enterprise-Anwendungen (Enterprise applications).
2. Suchen Sie nach der SASE Orchestrator-Anwendung und wählen Sie sie aus.
3. Klicken Sie auf Benutzer und Gruppen (Users and groups) und weisen Sie der Anwendung Benutzer und Gruppen zu.
4. Klicken Sie auf Übermitteln (Submit).

Ergebnisse

Sie haben die Einrichtung einer OIDC-basierten Anwendung in AzureAD für SSO abgeschlossen.

Nächste Maßnahme

Konfigurieren Sie Single Sign-On in SASE Orchestrator.