Warum Azure AD?

Immer mehr Unternehmen setzen auf Cloud-Dienste. Dabei wird auch die Verwaltung der Benutzer ausgelagert. Anstatt eines konventionellen Active Directory via LDAP wird immer häufiger ein Azure AD verwendet. Hierfür bietet Password Safe die Möglichkeit, Benutzer und Rollen aus Azure zu übernehmen. Um Benutzer und Rollen aus mehreren Azure ADs anzubinden, können mehrere Profile angelegt werden.

Unterschiede zur LDAP-Anbindung

Die Anbindung zum Azure AD unterscheidet sich in einem speziellen Punkt von der Anbindung an konventionelles Active Directory. Während sich beim konventionellen AD Password Safe aktiv die Informationen über Benutzer, Gruppen und Rollen abfrägt, überträgt das Azure AD diese automatisch an den Password Safe Server. Hierfür wird ein so genannter SCIM-Service verwendet.

Um sich an Password Safe anzumelden, öffnet sich nach der Eingabe des Benutzernamens ein Popup für die Anmeldung mit dem angegebenen Microsoft-Konto. Hier wird auch ein gegebenenfalls konfigurierter zweiter Faktor abgefragt. Die Anmeldung wird über das Open ID Connect-Protokoll durchgeführt.

Azure AD Anbindung

Im Folgenden finden Sie eine Anleitung, wie Azure AD an Password Safe angebunden werden kann. Besuchen Sie im Azure-Portal die Verwaltung Ihres Azure Active Directory. Verwenden Sie hierfür ein Konto mit administrativen Berechtigungen. Melden Sie sich parallel in Password Safe mit einem Konto an, dessen Benutzerrechte “Organisationsstruktur Modul anzeigen”, “Kann Azure AD Profile verwalten” sowie “Kann neue Azure AD Profile anlegen“ aktiv sind.

Vorbereitungen im Azure-Portal

  1. Notieren Sie sich die “Mandanten-ID” des Azure AD – diese benötigen Sie später zur Konfiguration innerhalb von Password Safe
  2. Navigieren Sie in Ihrem Azure AD zu den “Unternehmensanwendungen”
  3. Fügen Sie eine neue eigene Anwendung hinzu, die nicht in der Azure Gallery zu finden ist – in unserem Beispiel nennen wir sie “MATESO Password Safe”
    Anmerkung: Ein wesentliches Feature von Password Safe ist, dass es bei unseren Kunden selbst gehostet ist. Um in der Azure Gallery gelistet zu werden, wird jedoch ein SaaS Modell vorausgesetzt. Deshalb ist Password Safe nicht in der Azure Gallery verfügbar.
  4. Sobald die Anwendung erfolgreich erstellt wurde, werden Sie automatisch zu dieser weitergeleitet
  5. Notieren Sie sich die “Anwendungs-ID” – auch diese wird gleich benötigt
  6. Klicken Sie in der Navigation auf “Benutzer und Gruppen”
  7. Fügen Sie die Benutzer und Gruppen hinzu, die in Password Safe verfügbar sein sollen
  8. Navigieren Sie zu dem Punkt “Bereitstellung”
  9. Stellen Sie den Bereitstellungsmodus auf “Automatisch”
  10. Lassen Sie das Browser-Tab geöffnet und wechseln Sie zu Password Safe

Erstellen eines Azure AD-Profils in Password Safe

  1. Navigieren Sie in das Modul “Organisationsstruktur” oder “Rollen”
  2. Klicken Sie in der Toolbar auf “Profile verwalten” in der Kategorie “Azure AD“
  3. Legen Sie ein Profil mit den gewünschten Informationen an
  4. Fügen Sie die Mandanten-ID und Anwendungs-ID an, die in Azure angezeigt wurden
  5. Sobald das Profil gespeichert wurde, öffnet sich ein Popup zur Generierung eines Tokens
  6. Wählen Sie ein gewünschtes Ablaufdatum (max. 10 Jahre) und klicken Sie auf “Token generieren”
  7. Notieren Sie die Werte der Felder “Mandanten-URL” und “Geheimes Token”
  8. Wechseln Sie zurück zum Azure-Portal

Konfiguration der Bereitstellung

  1. Füllen Sie die Felder “Mandanten-URL” und “Geheimes Token” mit den Informationen aus Password Safe
  2. Klicken Sie auf “Verbindung testen”
  3. Wenn der Test erfolgreich abgeschlossen wurde, klicken Sie oben auf “Speichern”
  4. Zurück auf der “Bereitstellung”-Seite klicken Sie auf “Bereitstellung starten”
  5. Prüfen Sie in den Einstellungen der Bereitstellung, ob der “Bereitstellungsstatus” auf “Ein” konfiguriert ist
  6. Alle zugeordneten Benutzer und Gruppen werden nun in Password Safe angelegt

Konfiguration des Logins

  1. Damit sich die Azure-Benutzer in Password Safe anmelden können, sind ein paar weitere Konfigurationen notwendig.
  2. Navigieren Sie in Azure auf die Übersichtsseite Ihres Azure ADs
  3. Navigieren Sie weiter zu “App-Registrierungen”
  4. Falls keine Anwendung angezeigt wird, klicken Sie den Button “Alle Anwendungen anzeigen”
  5. Klicken Sie auf “MATESO Password Safe” und navigieren Sie dann zu “Authentifizierung“
  6. Klicken Sie hier auf “Plattform hinzufügen”, wählen Sie “Mobilgerät- und Desktopanwendungen“ und konfigurieren Sie die benötigten URLs
Für welchen Client? Welche URL ist benötigt?
WebClient Benutzerdefinierte URL: https://WEBCLIENT_URL/authentication/login-via-oidc
FullClient & SSO Agent https://login.microsoftonline.com/common/oauth2/nativeclient
iOS & Android Benutzerdefinierte URL: psrmobile://auth
Google Chrome Extension Benutzerdefinierte URL: https://bpjfchmapbmjeklgmlkabfepflgfckip.chromiumapp.org
Microsoft Edge Extension Benutzerdefinierte URL: https://ahdfobpkkckhdhbmnpjehdkepaddfhek.chromiumapp.org
Firefox Extension Benutzerdefinierte URL: https://28c91153e2d5b36394cfb1543c897e447d0f1017.extensions.allizom.org/

API-Berechtigungen setzen

Zuletzt müssen noch die API-Berechtigungen für die Azure-API gesetzt werden, damit die Anmeldung an Password Safe vollständig durchgeführt werden kann.

  1. Navigieren Sie zu “API-Berechtigungen“ und klicken Sie “Berechtigung hinzufügen”
  2. Wählen Sie “Microsoft Graph” und dann “Delegierte Berechtigungen”
  3. Setzen Sie unter “OpenId-Berechtigungen“ die Haken bei “openid” und “profile”
  4. Klicken Sie auf “Berechtigungen hinzufügen”
  5. Klicken Sie auf “Administratorzustimmung für ‘IHR_AD_NAME’ erteilen”

Häufig gestellte Fragen

Ist eine Migration von LDAP zu Azure AD möglich?

Eine automatische Migration von LDAP-Benutzern (sowohl E2E als auch Master Key) zu Azure AD-Benutzern ist zum aktuellen Zeitpunkt nicht möglich!

Welcher Port wird für den SCIM-Endpunkt für die Bereitstellung von Benutzern/Gruppen von Azure AD zu Password Safe Application Server verwendet?

11015 ist der Port, der für die Kommunikation von Azure AD zu Password Safe verwendet wird.

Unterstützt die Password Safe Azure AD Anbindung verschachtelte Gruppen?

Aufgrund technischer Einschränkungen von Azure unterstützt Password Safe keine verschachtelten Gruppen.

Funktioniert Azure AD auf Servern, die nur intern erreichbar sind?

Auf Servern, auf die von extern nicht zugegriffen werden kann, ist eine Integration von Azure AD ebenfalls möglich. Verwenden Sie hierfür den Bereitstellungs-Agent. Dieser kann auf allen oder nur auf einem Anwendungsserver installiert werden. Dabei muss beachtet werden, dass die IP oder der DNS-Name der in der später erstellten Unternehmensanwendung angegebenen “Mandanten-URL” in den alternativen Antragstellernamen im Serverzertifikat vorhanden ist.
Tipp: als “Mandanten-URL” kann auch “https://127.0.0.1:11015/scim” angegeben werden, dabei muss 127.0.0.1 wiederum in den alternativen Antragstellernamen im Serverzertifikat vorhanden sein.

  1. Laden Sie den Provisioning Agent herunter von hier
  2. Installieren Sie den Provisioning Agent auf dem Server mit dem Password Safe Server.
  3. Starten Sie den “AAD Connect Provisioning Agent Wizard”.
  4. Wählen Sie “On-premises application provisioning Azure AD to application”, klicken Sie auf “Next”.
  5. Klicken Sie auf “Authenticate” und authentifizieren Sie sich mit einem Benutzer, der ein Hybrid-Administrator oder ein globaler Administrator sein sollte.
  6. Klicken Sie auf “Bestätigen”.
  7. Warten Sie, bis die Anwendung die Registrierung in Azure abgeschlossen hat.
  8. Wechseln Sie zum Azure-Portal.
  9. Klicken Sie auf “Azure Active Directory”.
  10. Klicken Sie auf “Unternehmensanwendungen”.
  11. Klicken Sie auf “Neue Anwendung”.
  12. Suchen Sie nach “On-premises SCIM app”.
  13. Klicken Sie auf “On-premises SCIM app”.
  14. Passen Sie den Namen an.
  15. Klicken Sie auf “Erstellen”.
  16. Warten Sie, bis der Vorgang abgeschlossen ist.
  17. Klicken Sie auf die erstellte Anwendung in der Übersicht der “Unternehmensanwendungen”.
  18. Klicken Sie auf “Provisioning”.
  19. Klicken Sie auf “Get started”.
  20. Stellen Sie den Bereitstellungsmodus “Automatisch” ein.
  21. Blenden Sie “On-Premises Connectivity” ein.
  22. Weisen Sie den soeben installierten Agenten dieser Anwendung zu, indem Sie ihn auswählen und auf “Assign Agent(s)” klicken.
  23. Es dauert circa 20 Minuten bis der Agent korrekt mit Ihrer Anwendung verbunden ist und Sie weitermachen können
  24. Weiter mit “Provisioning configuration” auf dieser Hilfeseite oben

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.