Azure-Anbindung#
Die Azure-Anbindung synchronisiert ausgewählte Benutzer und Gruppen zu Microsoft Azure AD und ermöglicht die Anmeldung dieser Benutzer mit ihrem IServ-Konto.
Anbindung einrichten#
Im IServ befindet sich die Konfiguration für die Azure-Anbindung unter Verwaltung -> Module -> Azure.
Bemerkung
Es können nur neue Konten angebunden werden. Eine Migration von Konten, die bereits in Azure angelegt wurden, wird aktuell nicht unterstützt. Bei einer Anbindung werden immer alle Konten der Domain übernommen.
Bemerkung
Bekannte Einschränkungen: In einigen Desktop-Anwendungen von Microsoft (z.B. OneDrive, OneNote, …) wird man wiederholt aufgefordert sich anzumelden. Dies erfordert eine Benutzerinteraktion, jedoch in Normalfall kein erneutes Eingeben der Benutzerdaten. Im Web-Browser tritt dies nicht auf (siehe „Angemeldet bleiben“).
Domain in Azure einrichten#
Zuerst muss die Domain des IServ in Azure eingerichetet werden.
Gehen Sie zu https://portal.azure.com
„Azure Active Directory verwalten“ auswählen
„Namen der benutzerdefinierten Domänen“ in der linken Navigationsleiste auswählen
„Benutzerdefinierte Domän hinzufügen“ auswählen und Adresse des IServs eintragen.
Domain mittels DNS-Eintrag bestätigen. Wird der IServ-DNS-Server verwendet, können Sie den TXT-Eintrag in der IServ-Verwaltung hinzufügen. Andernfalls wenden Sie sich bitte an ihren Systemadministrator.
Domain als föderiert einrichten#
Nachdem die Domain eingerichtet wurde, muss diese in Azure als föderiert markiert werden, damit IServ den Login für die Konten dieser Domain übernehmen kann. Dazu muss eine Reihe von Kommandos auf einem Windowsrechner ausgeführt werden. Wir stellen ein Föderationskommando bereit, das unter Verwaltung -> Module -> Azure heruntergeladen werden kann. Stellen Sie sicher, dass sie berechtigt sind Powershellskripte auszuführen.
Das Föderationskommando setzt voraus, dass die nötigen Programme für Microsoft Azure AD installiert sind.
Die können nachinstalliert werden, indem folgende Kommandos in einer Powershell ausgeführt werden.
Install-Module MSOnline
Install-Module AzureAD
Import-Module AzureAD
Danach können Sie das Föderationskommando ausführen
.\enable-federation.ps1
Nach dem Ausführen werden sie aufgefordert, sich mit einem Konto anzumelden, welches administrativen Zugriff auf den Azure AD Mandanten hat.
Probleme beim Ausführen#
Stellen Sie folgende Einstellungen sicher, sollten sie das Föderationskommando nicht ausführen können:
Die Ausführungsrichtlinie in Windows muss das Ausführen von Powershellskripten erlauben.
Das Ausführen wird nicht durch Sicherheitseinstellungen innerhalb der Eigenschaften der Datei blockiert.
In Azure darf die Domäne nicht als Primärdomäne konfiguriert sein.
IServ-Applikation in Azure einrichten#
Damit der IServ in der Lage ist, die Benutzer und Gruppen zu synchronisieren, muss eine „App-Registrierung“ in Azure AD eingerichetet werden.
Gehen Sie zu https://portal.azure.com
„App-Registrierungen“ auswählen
„Neue Registrierung“ auswählen
Namen für die neue App-Registrierung auswählen und „Registrieren“ auswählen
Anwendungs-ID (Client) in das Feld Client-ID in IServ hinterlegen
Verzeichnis-ID (Mandant) in das Feld Mandanten-ID in IServ hinterlegen
„Zertifikate und Geheimnisse“ in der Seitenleiste auswählen
„Neuer geheimer Clientschlüssel“ auswählen
Beschreibung des Schlüssel und Ablaufzeitpunkt auswählen
„Wert“ des Schlüssels kopieren und bei „Geheimer Clientschlüssel“ in IServ hinterlegen
„API-Berechtigungen“ in der Seitenleiste auswählen
„Berechtigung hinzufügen“ auswählen
Große Schaltfläche „Microsoft Graph“ auswählen
„Anwendungsberechtigungen“ auswählen
Berechtigungen „Group.ReadWrite.All“ und „User.ReadWrite.All“ auswählen
„Berechtigung hinzufügen“ und „Administratorzustimmung erteilen“ auswählen
Zu synchronisierende Benutzer und Gruppen auswählen#
Mit dem Recht „Benutzer zu Azure synchronisieren“ wird gesteuert, welche Benutzer synchronisiert werden. Mit dem Gruppenmerkmal „Gruppe zu Azure synchronisieren“ wird gesteuert, welche Gruppen synchronisiert werden. Gruppenmitgliedschaften werden anhand beider Attribute angelegt.
Die Synchronisation erfolgt automatisch. Die erste Synchronisation kann mehr Zeit benötigen.
Angemeldet bleiben konfigurieren#
Um in den Azure-Applikationen angemeldet zu bleiben, muss diese Option innerhalb Azure aktiviert werden.
Gehen Sie zu https://portal.azure.com
„Azure Active Directory verwalten“ auswählen
„Unternehmensbranding“ in der linken Navigationsleiste auswählen
Aktuelles Gebietsschema auswählen
‚Option „Angemeldet bleiben“ anzeigen‘ auf „Ja“ stellen.