Einrichtung eines Azure AD SAML IdPs

Im folgenden beschreiben wir Schritt für Schritt wie Sie das Azure Active Directory als SAML IdP konfigurieren und VIMP daran anbinden.

Erstellen Sie bitte zuerst in VIMP die erforderlichen Zertifikate.

Rufen Sie anschließend die SAML IdP-Konfiguration auf (wenn Sie in Ihrem Portal nur einen IdP anlegen möchten):

oder erstellen Sie einen neuen IdP:

Schritt 1:

Loggen Sie sich nun in Ihren[nbsp]Azure-Account[nbsp]ein und rufen Sie das Azure Active Directory auf:

Schritt 2:

Rufen Sie die Unternehmensanwendungen auf:

Schritt 3:

Erstellen Sie eine neue Anwendung:

Schritt 4:

Erstellen Sie eine eigene Anwendung:

Schritt 5:

Vergeben Sie der eigenen Anwendung einen Namen und aktivieren Sie die Option "Integrate any other application you don't find in the gallery (Non-gallery)":

Anschließend sollte sich die neue Anwendung automatisch in der Konfiguration öffnen.

Schritt 6:

Wählen Sie nun die Single Sign On Konfiguration aus:

Schritt 7:

Wählen Sie anschließend SAML aus:

Schritt 8:

Passen Sie hier nun die Basis-Konfiguration an:

- Identifier: https://[lt]YOURDOMAIN[gt]/saml/metadata
- Reply URL: https://[lt]YOURDOMAIN[gt]/saml/acs
- Sign on URL: https://[lt]YOURDOMAIN[gt]/saml/login
- Logout URL: https://[lt]YOURDOMAIN[gt]/saml/sls

Schritt 9:

Belassen Sie die Attributkonfiguration auf ihren Default-Werten:

Achtung: Im Standardfall wird kein expliziter Benutzername übertragen. Es muss also die E-Mail als Benutzername verwendet werden.

Schritt 10:

Laden Sie als nächstes das SAML Zertifikat herunter und tragen Sie es in der VIMP SAML-Konfiguration als X509-Zertifikat ein:

Schritt 11:

Laden Sie Ihr Verifizierungszertifikat hoch:

Hierfür müssen Sie die Option "Verifizierungszeritifkate anfordern" vorübergehend aktivieren:

Ihr Verifizierungszertifikat erhalten Sie von Ihrer Zertifizierungsstelle oder können es auch selbst erstellen.

Speichern Sie das Formular anschließend ab. Danach öffnen Sie es bitte erneut, entfernen Sie den oben gesetzten Haken wieder und speichern Sie es noch einmal ab.

Tragen Sie Ihre Verifizierungzertifikat parallel in VIMP im Feld "Verschlüsselungszertifikat" ein.[nbsp]

Schritt 12:

Konfigurieren Sie in VIMP nun den Standard IdP oder den zuvor neu angelegten IdP wie folgt:

Diese URLs müssen im VIMP hinterlegt werden:

• - IdP Host: https://login.microsoftonline.com
• - IdP Entitiy ID: Die angezeigte URL unter "Azure AD-Bezeichner"
• - IdP URI zur Initialisierung der Authentifizierungsanfrage: Die Angezeigte URL unter "URL für Anmeldung"
• - IdP URI zur Initialisierung des Logouts: Die Angezeigte URL unter "Abmelde-URL"

Feldkonfiguration in VIMP:

• - Username: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
• - Mail: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
• - First name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
• - Last name/Surname: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

In diesem Fall wird für den Benutzernamen ebenfalls die E-Mail Adresse verwendet, da wir per Standardkonfiguration keinen Benutzernamen erhalten.

Schritt 13:

Nun ist auch die Metadata-URL im VIMP aufrufufbar:

https://[lt]YOURDOMAIN[gt]/saml/metadata

Das dortige XML kann noch einmal verwendet werden, um die Azure Application nachzukonfigurieren:

Schritt 14:

Azure Benutzer/gruppen zuweisen, da standardmäßig niemand dazu berechtigt ist, die neue Enterprise Application zu verwenden.

Fügen Sie Benutzer und/oder Gruppen gemäß Ihrer Anforderungen hinzu, um diese zum Login auf VIMP via SAML zu berechtigen:

Fertig - nun sollte der SAML Login in VIMP möglich sein.