Wie können wir Ihnen heute helfen?

SAML-Single-Sign-On-Konfiguration – Entra-ID (Azure AD)

Du bist da:
< Zurück

Die Anweisungen in diesem Artikel gelten nur für MyWorkDrive-Installationen, die Active Directory für die Benutzeridentität verwenden. Die SAML-SSO-Konfiguration ist nur bei Verwendung von Active Directory erforderlich/unterstützt. Entra ID-Installationen verwenden eine native Microsoft-Anmeldung.

MyWorkDrive Entra ID (früher Azure AD) SAML SSO Übersicht

MyWorkDrive unterstützt für alle erforderlichen Anmeldungen das SAML-basierte Single Sign On (SSO) des Web File Managers für Entra ID anstelle der herkömmlichen Active Directory-Authentifizierung.

In diesem Artikel wird das Einrichten von Entra ID SSO mit einer öffentlichen URL beschrieben. Wenn Sie eine interne URL verwenden möchten, müssen Sie ein Azure Application Gateway bereitstellen.

Für SAML fungiert MyWorkDrive als Service Provider (SP), während Entra ID als Identitätsanbieter (IDP) fungiert. In einem typischen Szenario synchronisieren Kunden ihre Active Directory-Anmeldeinformationen mit Entra ID. Benutzeranmeldungen sind so eingestellt, dass sie für die Anmeldung bei Active Directory dasselbe UPN-Suffix verwenden wie bei Entra ID (in den meisten Fällen ist dies das Office 365-Abonnement des Unternehmens).

 

Einmaliges Anmelden bei Azure AD SAML MyWorkDrive

Durch die Konfiguration mit diesen Anweisungen können Sie bedingte Zugriffsrichtlinien für Funktionen in Entra wie Pre-Auth und MFA auf diese Unternehmensanwendung aktivieren/anwenden.

 

MyWorkDrive Entra ID SAML-Einrichtung

Bevor du anfängst:
Stellen Sie sicher, dass der MyWorkDrive-Server für die Delegierung gemäß unserer vertrauenswürdig ist Delegationsartikel

MyWorkDrive ist als zugelassene Unternehmensanwendung in Entra ID aufgeführt – Informationslink: https://azuremarketplace.microsoft.com/marketplace/apps/aad.myworkdrive?tab=Overview

Sehen Sie sich die Anweisungen im Tutorial und die Informationslinks von Microsoft hier an:
https://docs.microsoft.com/azure/active-directory/saas-apps/myworkdrive-tutorial

Voraussetzungen

  • Stellen Sie sicher, dass für die Domänennamen der Benutzer ein UPN-Suffix angewendet wurde, das mit dem Entra-ID-Anmeldenamen übereinstimmt, damit sie sich mit ihrer E-Mail-Adresse bei Ihrem MyWorkDrive-Server anmelden können (die meisten Unternehmen synchronisieren ihr Active Directory mit demselben Entra-ID-Verzeichnis, das sie für die Anmeldung bei Office 365 verwenden).
  • Stellen Sie sicher, dass der MyWorkDrive-Server für die Delegierung gemäß unserer vertrauenswürdig ist Delegationsartikel
  • Stellen Sie sicher, dass Ihr MyWorkDrive-Server im Internet für die Client-Anmeldung zugänglich ist (Web, Mobil, Kartenlaufwerk). Aktivieren Sie den Cloud Web Connector oder richten Sie Ihr eigenes öffentliches SSL-Zertifikat und Ihren eigenen Hostnamen ein, der über Port 443 (SSL) auf Ihren MyWorkDrive-Server verweist. Support-Artikel anzeigen.

Einrichtungsschritte

  • Melden Sie sich als Administrator bei portal.azure.com an und stellen Sie eine Verbindung zur Entra ID-Domäne her (wenn Sie Office 365 verwenden, ist dies dasselbe Konto, das Sie für die Anmeldung bei portal.office.com verwenden).
  • Klicken Sie auf Azure Active Directory, Unternehmensanwendungen – Neue Anwendung – Suchen Sie nach „MyWorkDrive“ – MyWorkDrive als Unternehmens-App hinzufügen.

  • Klicken Sie im Menü auf der linken Seite auf Single Sign-On und wählen Sie SAML (Sie müssen SAML nur auswählen, wenn Sie zum ersten Mal mit der Konfiguration beginnen).

 

  • Ignorieren Sie die Konfigurationsanleitung oben auf der Seite. Dies ist hilfreich, wenn Sie ein SSO von Grund auf neu einrichten, bietet jedoch unnötige Schritte, wenn Sie die von uns bereitgestellte Vorlage verwenden.

 

  • Bearbeiten Sie zunächst die Informationen in Feld 1. Wählen Sie Bearbeiten.

  • Akzeptieren Sie die standardmäßige Entitäts-ID von „MyWorkDrive“.
    Dies muss nur geändert werden, wenn Sie mehrere MyWorkDrive-Server in Ihrem Entra eingerichtet haben, da Entra ID erfordert, dass jede Unternehmens-App eine eindeutige Entity-ID hat. Wenn diese geändert wird, muss sie auch so geändert werden, dass sie mit dem Feld „Name des Dienstanbieters“ der SSO-Einrichtung im MyWorkDrive-Administrator übereinstimmt. Wenn die Entity-IDs nicht korrekt eingestellt sind, wird bei der Benutzeranmeldung eine Fehlermeldung über eine Nichtübereinstimmung angezeigt.
  • Geben Sie Ihre Antwort-URL ein – dies ist Ihr Hostname, gefolgt von /SAML/AssertionConsumerService.aspx
    zum Beispiel: https://yourserver.yourdomain.com/SAML/AssertionConsumerService.aspx
    Wenn Sie beabsichtigen, mehrere Domänennamen für den Server zu unterstützen – z. B. sowohl einen Cloud Web Connector als auch eine Direktverbindungsadresse, müssen Sie alle als mögliche Antwort-/Antwort-URLs eingeben.
  • Geben Sie Ihre Anmelde-URL ein, wenn sich Benutzer direkt bei MyWorkDrive anmelden (statt oder zusätzlich zum Zugriff über das myapps.microsoft.com-Portal) mit Ihrem Hostnamen, gefolgt von: /Account/login-saml
    zum Beispiel: https://yourserver.yourdomain.com/Account/login-saml.
    Beachten Sie, dass dies technisch optional ist, da Sie ein herkömmliches Login beibehalten können, während Sie SSO nur als Option anbieten, obwohl Sie es meistens so einrichten möchten.
  • Einzelne Abmelde-URL. Wenn Sie die einmalige Abmeldung verwenden möchten, legen Sie Ihre Abmelde-URL als https://yourserver.yourdomain.com/SAML/SLOService.aspx fest
    Beachten Sie die zusätzlichen Informationen unten darüber, wie AzureAD die einmalige Abmeldung verarbeitet.
  • In das Feld Relaisstatus muss nichts eingegeben werden, lassen Sie es leer.

 

  • Machen Sie als Nächstes den neuen MyWorkDrive-Server für Benutzer verfügbar. Nur Benutzer, die tatsächlich über NTFS und gemäß den Freigabeberechtigungen in MyWorkDrive Berechtigungen für Freigaben haben, können sich erfolgreich anmelden, unabhängig davon, wie Sie den Zugriff hier aktivieren. Sie haben zwei Möglichkeiten: Alle zulassen ODER bestimmte Benutzer manuell auswählen. Um alle zuzulassen, klicken Sie im linken Menü auf Eigenschaften und setzen Sie dann im Text „Benutzerzuweisung erforderlich“ auf Nein. Dies ist die normalste Konfiguration, da sie doppelte Verwaltung vermeidet. Fügen Sie Benutzer einfach zu AD und den entsprechenden Gruppen hinzu. Vorausgesetzt, Sie synchronisieren Ihr lokales AD mit Entra, können sich diese Benutzer beim MyWorkDrive-Server anmelden und die Freigaben abrufen, für die sie gemäß der Konfiguration in MyWorkDrive Berechtigungen erhalten, ohne sie einzeln der Enterprise-App zuweisen zu müssen.ODER Weisen Sie der neuen MyWorkDrive-App manuell Benutzer und Gruppen im Azure Active Directory-Portal zu
    Wählen Sie Benutzer und Gruppen aus dem linken Menü aus und verwenden Sie dann das Element Benutzer/Gruppe hinzufügen oben auf dem Bildschirm.
    Notiz Domänenbenutzergruppen werden standardmäßig nicht mit Entra synchronisiert. Wenn Sie Benutzer manuell zuweisen, werden Sie die Benutzer in den meisten Fällen nach Namen zuweisen.
  • Kopieren Sie in Feld 3 die Metadaten-URL des App Federation Signing Certificate in die Zwischenablage. In Feld 3 sind keine weiteren Änderungen erforderlich, Sie müssen nichts bearbeiten, kopieren Sie einfach die URL mit dem Kopiersymbol.

 

  • Ignorieren Sie die Felder 4, 5 und 6. Wie die obigen Konfigurationsanweisungen ist dies hilfreich, wenn Sie ein SSO von Grund auf neu einrichten – da diese Anweisungen unsere Vorlage verwenden, sind Aktionen in diesen Feldern nicht erforderlich.

  • Aktivieren Sie auf dem MyWorkDrive-Server im Admin-Bereich „Enterprise“ SAML/ADFS SSO, wählen Sie „Entra ID (Azure AD) SAML“ und fügen Sie die Azure App Federation Metadata-URL ein, die Sie aus Feld 3 kopiert haben.
  • Klicken Sie optional auf „SSO-Anmeldung erforderlich“ (dadurch werden alle Verbindungen automatisch zur Entra ID SAML-Anmeldung umgeleitet).
    Wenn Sie „SSO-Anmeldung erforderlich“ nicht auswählen, melden sich Benutzer beim Aufrufen der URL Ihres MyWorkDrive-Servers mit ihrer herkömmlichen Domänenanmeldung an. Die Entra-ID-Anmeldung wird nur verwendet, wenn sie als Link im Office-Portal oder in MyApps angeklickt wird.
  • Wählen Sie optional Einmalige Abmeldung aktivieren aus, siehe Hinweis unten zur Handhabung der Abmeldung in AzureAD
  • Wenn Sie die Entity-ID im Entra-ID-Setup-Feld 1 geändert haben, ändern Sie optional den Namen des Dienstanbieters so, dass er mit dem Namen übereinstimmt. exakt was Sie im Entra-ID-Setup eingegeben haben.
  • Klicken Sie auf Speichern. Dadurch werden das Entra SSL-Zertifikat und die Einstellungen automatisch heruntergeladen.

Zugriff testen

  • Wir empfehlen, zunächst mit dem Webbrowser zu testen, bevor Sie mit dem Testen der anderen Clients fortfahren.
  • Möglicherweise möchten Sie einen anderen Browser als den verwenden, den Sie normalerweise verwenden bzw. bei dem Sie angemeldet sind, ODER den privaten Browsermodus, um das Anmeldeerlebnis mit der Entra ID und alle Conditional Access-Richtlinien für MFA, die Sie möglicherweise angewendet haben, zu validieren.
  • Wenn Sie „SSO-Anmeldung erforderlich“ aktiviert haben, navigieren Sie zur Anmelde-URL Ihres Servers, z. B. https://IhrServer.Unternehmen.com. Sie werden zur Anmeldung zu Entra ID SAML weitergeleitet.
    Wenn Sie SSO-Anmeldung erforderlich nicht aktiviert haben, müssen Sie die SAML-Anmelde-URL angeben, z. B. https://yourserver.company.com/account/login-saml.m
  • Melden Sie sich mit der Entra-ID an. Nach erfolgreicher Anmeldung wird Ihr Testbenutzer von Ihrer MyWorkDrive-Website weitergeleitet und die ihm zugewiesenen Dateifreigaben werden angezeigt.
  • Alternative, Wenn Sie der App Benutzer in Entra ID zuweisen, können Sie sich als zugewiesener Benutzer anmelden, um https://myapps.microsoft.com. Wählen Sie die MyWorkDrive-Anwendung aus.

Der Benutzer wird automatisch bei Ihrem MyWorkDrive-Browser Web File Manager angemeldet.

Wenn die Freigaben des Benutzers bei der Anmeldung vorhanden sind, aber leer sind, wenn Sie darauf klicken, ist dies ein Hinweis darauf, dass die Delegierung nicht richtig eingestellt ist. Weitere Informationen finden Sie im Artikel Einrichtung der Delegierung. Beachten Sie, dass es 15 Minuten oder länger dauern kann, bis Änderungen an der Delegierung in AD weitergegeben werden. In Fällen einer großen AD wurden mehrere Stunden für die Delegierung notiert, um sich vollständig auszubreiten.

 

SSO-Anmeldungen sind vollständig kompatibel mit allen MyWorkDrive-Funktionen, einschließlich

  • alle Clients (Web, mobiles Web, Windows Map Drive, Mac Map Drive, iOS, Android und Teams)
  • der Cloud Web Connector
  • Bearbeiten in Local Office über den Webclient
  • und Orte in Mobile Office.

SAML-Abmeldung

Azure Active Directory unterstützt keine SAML-Abmeldung. SP-initiiertes SLO, bei dem eine SAML-Abmeldeanforderung an Entra ID gesendet wird, führt nicht dazu, dass eine Abmeldeantwort zurückgegeben wird. Stattdessen zeigt Entra ID eine Meldung an, die angibt, dass der Benutzer abgemeldet ist und dass die Browserfenster geschlossen werden sollten. Die Abmeldung von Entra ID führt nicht dazu, dass eine Abmeldeanforderung an den Dienstanbieter gesendet wird. Entra ID unterstützt nicht die Konfiguration einer SAML-Abmeldedienst-URL für den Dienstanbieter.

Fehlerbehebung

  • Stellen Sie sicher, dass Sie einen Browser zum Testen privat oder inkognito verwenden, um Caching-Probleme zu vermeiden
  • Vergewissern Sie sich, dass sich der Benutzer ohne SAML anmelden kann und dass er eine E-Mail-Adresse verwendet, die mit seinem UPN in Active Directory übereinstimmt
  • Benutzer erhält Fehler: Dem angemeldeten Benutzer xxx@xxx.com ist keine Rolle für die Anwendung zugewiesen – wie oben in den Einrichtungshinweisen beschrieben: Weisen Sie der neuen MyWorkDrive-App (Enterprise Anwendungen – Alle Anwendungen – MyWorkDrive – Single Sign-On -SAML-based Sign-On) Benutzer und Gruppen oder deaktivieren Sie die erforderliche Benutzerzuweisung, indem Sie sie auf Nein setzen.
  • Ordner werden nach der Anmeldung des Benutzers leer angezeigt: Stellen Sie sicher, dass der MyWorkDrive-Server für die Delegierung gemäß unserer vertrauenswürdig ist Delegationsartikel
  • Der Benutzer erhält eine Fehlermeldung: Die in der Anfrage angegebene Antwort-URL stimmt nicht mit der für die Anwendung konfigurierten Antwort-URL überein. Überprüfen Sie, ob die in Entra ID SAML angegebene URL mit der öffentlichen Webadresse des Servers übereinstimmt und ob bei Verwendung von Reverse-Proxys die URL nicht neu geschrieben wird. Wenn Sie außerdem Ihren eigenen Hostnamen verwenden – z. B. https://IhrServer.IhreDomain.com –, deaktivieren Sie unbedingt MyWorkDrive Cloud Web Connect unter den Einstellungen auf Ihrem MyWorkDrive-Server (wenn Cloud Web Connector aktiviert ist, gehen wir davon aus, dass Sie unser *.myworkdrive.net verwenden, und nehmen entsprechende Änderungen an der Antwort-URL vor).
  • Wenn Sie während der Anmeldung mehrere MFA-Aufforderungen erhalten, stellen Sie sicher, dass Sie die Zwei-Faktor-Authentifizierung in MyWorkDrive Enterprise deaktivieren, nachdem Sie „SSO erforderlich“ aktiviert haben. Wenn Sie eine MFA-Anforderung in Entra ID haben, wird diese als Teil der Anmeldung über Entra ID aufgerufen und es sind keine Einstellungen in MyWorkDrive erforderlich, um sie zu aktivieren.

 

Erneuerung Ihres Zertifikats

Das von Microsoft ausgestellte und von MyWorkDrive zur Sicherung der Kommunikation zwischen Entra ID und Ihrem MyWorkDrive-Server verwendete SSO-Zertifikat läuft regelmäßig ab. Die Standardlaufzeit beträgt 3 Jahre, Sie können bei der Erstellung jedoch auch eine kürzere Laufzeit wählen.

Wenn Ihr Zertifikat abläuft, erhalten Sie eine E-Mail mit einigen allgemeinen Richtlinien von Microsoft. Dank der Integrationsarbeit, die wir geleistet haben, um die Bereitstellung von Entra ID zu vereinfachen, ist es jedoch tatsächlich einfacher, als von Microsoft beschrieben.

Die E-Mail erhalten Sie Notizen 5 Schritte.

 

Die beiden Änderungen an der Anleitung sind zu

  • Löschen Sie das alte Zertifikat aus Entra/Azure
  • Verwenden Sie MyWorkDrive, um das neue Zertifikat herunterzuladen, es ist nicht erforderlich, das Zertifikat manuell zu platzieren

 

Nach Schritt 4,

Löschen Sie Ihr altes Zertifikat in AzureAD.
Sie werden MyWorkDrive im nächsten Schritt sofort mit dem neuen aktualisieren, also machen Sie das neue aktiv (falls es nicht automatisch geschieht) und löschen Sie das alte, da es nicht mehr benötigt wird.
Auf der altes/inaktives Zertifikat, klicken Sie auf das 3-Punkte-Menü am linken Rand der Zertifikatszeile und wählen Sie Zertifikat löschen.

Statt Schritt 5

Wenn nun nur ein Zertifikat in Ihrer MyWorkDrive Entra ID-Konfiguration angezeigt wird, speichern Sie die Entra ID-Seite, melden Sie sich dann beim MyWorkDrive-Administrationsbereich auf dem MyWorkDrive-Server an und navigieren Sie zur Registerkarte „Enterprise“.

Bestätigen Sie, dass Sie Entra ID konfiguriert haben, und speichern Sie dann einfach die Seite.

 

MyWorkDrive verwendet die integrierte Entra-ID-Konfiguration, um eine Verbindung zu Ihrer Entra-ID herzustellen und das Zertifikat herunterzuladen und zu aktualisieren. Sie müssen das neue Zertifikat nicht manuell im Dateisystem platzieren oder „auf MyWorkDrive hochladen“, MyWorkDrive übernimmt das für Sie.

Das SAML-Zertifikat kann abhängig von Ihrer Version von MyWorkDrive und davon, ob Sie Clustering aktiviert haben, an verschiedenen Orten gespeichert werden.

 

Beachten Sie: Wenn Sie eine Fehlermeldung über mehrere öffentliche Signaturzertifikate erhalten, ist dies ein Hinweis darauf, dass Sie das alte Zertifikat nicht aus Entra ID gelöscht haben. Melden Sie sich erneut bei Azure/Entra an und überprüfen Sie, ob das neue Zertifikat aktiviert und das alte Zertifikat gelöscht wurde.

 

 

 

SAML-Single-Sign-On-Konfiguration – OktaOutlook Online-Dateifreigabe