Entra-ID-Anbindung#

Die Entra-ID-Anbindung synchronisiert ausgewählte Benutzer und Gruppen zu Microsoft Entra ID und ermöglicht die Anmeldung dieser Benutzer mit ihrem IServ-Konto.

Anbindung einrichten#

Im IServ befindet sich die Konfiguration für die Entra-ID-Anbindung unter Verwaltung -> Module -> Entra-ID-Anbindung.

Bemerkung

Es können nur neue Konten angebunden werden. Eine Migration von Konten, die bereits in Entra ID angelegt wurden, wird aktuell nicht unterstützt. Bei einer Anbindung werden immer alle Konten der Domain übernommen.

Bemerkung

Bekannte Einschränkungen: In einigen Desktop-Anwendungen von Microsoft (z.B. OneDrive, OneNote, …) wird man wiederholt aufgefordert sich anzumelden. Dies erfordert eine Benutzerinteraktion, jedoch in Normalfall kein erneutes Eingeben der Benutzerdaten. Im Web-Browser tritt dies nicht auf (siehe „Angemeldet bleiben“).

Domain in Entra ID einrichten#

Zuerst muss die Domain des IServ in Entra ID eingerichetet werden.

  1. Gehen Sie zu https://portal.azure.com

  2. „Azure Active Directory verwalten“ auswählen

  3. „Namen der benutzerdefinierten Domänen“ in der linken Navigationsleiste auswählen

  4. „Benutzerdefinierte Domän hinzufügen“ auswählen und Adresse des IServs eintragen.

  5. Domain mittels DNS-Eintrag bestätigen. Wird der IServ-DNS-Server verwendet, können Sie den TXT-Eintrag in der IServ-Verwaltung hinzufügen. Andernfalls wenden Sie sich bitte an ihren Systemadministrator.

Domain als föderiert einrichten#

Nachdem die Domain eingerichtet wurde, muss diese in Entra ID als föderiert markiert werden, damit IServ den Login für die Konten dieser Domain übernehmen kann. Dazu muss eine Reihe von Kommandos auf einem Windowsrechner ausgeführt werden. Wir stellen ein Föderationskommando bereit, das unter Verwaltung -> Module -> Entra-ID-Anbindung heruntergeladen werden kann. Stellen Sie sicher, dass sie berechtigt sind Powershellskripte auszuführen.

Das Föderationskommando setzt voraus, dass die nötigen Programme für Microsoft Entra ID installiert sind.

Die können nachinstalliert werden, indem folgende Kommandos in einer Powershell ausgeführt werden.

Install-Module MSOnline
Install-Module AzureAD
Import-Module AzureAD

Danach können Sie das Föderationskommando ausführen

.\enable-federation.ps1

Nach dem Ausführen werden sie aufgefordert, sich mit einem Konto anzumelden, welches administrativen Zugriff auf den Entra ID Mandanten hat.

Probleme beim Ausführen#

Stellen Sie folgende Einstellungen sicher, sollten sie das Föderationskommando nicht ausführen können:

  1. Die Ausführungsrichtlinie in Windows muss das Ausführen von Powershellskripten erlauben.

  2. Das Ausführen wird nicht durch Sicherheitseinstellungen innerhalb der Eigenschaften der Datei blockiert.

  3. In Entra ID darf die Domäne nicht als Primärdomäne konfiguriert sein.

IServ-Applikation in Entra ID einrichten#

Damit der IServ in der Lage ist, die Benutzer und Gruppen zu synchronisieren, muss eine „App-Registrierung“ in Entra ID eingerichtet werden.

  1. Gehen Sie zu https://portal.azure.com

  2. „App-Registrierungen“ auswählen

  3. „Neue Registrierung“ auswählen

  4. Namen für die neue App-Registrierung auswählen und „Registrieren“ auswählen

  1. Anwendungs-ID (Client) in das Feld Client-ID in IServ hinterlegen

  2. Verzeichnis-ID (Mandant) in das Feld Mandanten-ID in IServ hinterlegen

  1. „Zertifikate und Geheimnisse“ in der Seitenleiste auswählen

  2. „Neuer geheimer Clientschlüssel“ auswählen

  3. Beschreibung des Schlüssel und Ablaufzeitpunkt auswählen

  4. „Wert“ des Schlüssels kopieren und bei „Geheimer Clientschlüssel“ in IServ hinterlegen

  1. „API-Berechtigungen“ in der Seitenleiste auswählen

  2. „Berechtigung hinzufügen“ auswählen

  3. Große Schaltfläche „Microsoft Graph“ auswählen

  4. „Anwendungsberechtigungen“ auswählen

  5. Berechtigungen „Group.ReadWrite.All“ und „User.ReadWrite.All“ auswählen

  6. „Berechtigung hinzufügen“ und „Administratorzustimmung erteilen“ auswählen

Zu synchronisierende Benutzer und Gruppen auswählen#

Mit dem Recht „Benutzer zu Entra ID synchronisieren“ wird gesteuert, welche Benutzer synchronisiert werden. Mit dem Gruppenmerkmal „Gruppe zu Entra ID synchronisieren“ wird gesteuert, welche Gruppen synchronisiert werden. Gruppenmitgliedschaften werden anhand beider Attribute angelegt.

Die Synchronisation erfolgt automatisch. Die erste Synchronisation kann mehr Zeit benötigen.

Angemeldet bleiben konfigurieren#

Um in den Entra ID-Applikationen angemeldet zu bleiben, muss diese Option innerhalb Entra ID aktiviert werden.

  1. Gehen Sie zu https://portal.azure.com

  2. „Azure Active Directory verwalten“ auswählen

  3. „Unternehmensbranding“ in der linken Navigationsleiste auswählen

  4. Aktuelles Gebietsschema auswählen

  5. ‚Option „Angemeldet bleiben“ anzeigen‘ auf „Ja“ stellen.