Siehe auch: SSO (Einmalige Anmeldung)
Diese Anleitung führt Sie durch eine vollständige Azure-SSO-Einrichtung. Sie oder Ihr Systemadministrator erfassen die Werte im Microsoft Azure-Portal. Sie tragen sie in die Lobster Data Platform ein. Anschließend testen und aktivieren Sie die Konfiguration.
SSO (Single Sign-On, d. h. einmaliges Anmelden) nutzt OAuth2 / OpenID Connect, um Benutzer über einen externen Identitätsanbieter zu authentifizieren. Dieses Beispiel verwendet Microsoft Azure (Entra ID).
Voraussetzungen
In Ihrem Azure-Mandanten ist eine App-Registrierung vorhanden.
Sie haben Adminzugriff auf das Microsoft Azure-Portal.
Sie verfügen in der Lobster Data Platform über die Berechtigung
Createfür 'SSO System Preferences'.
Schritt 1: Werte aus dem Microsoft Azure-Portal erfassen
Öffnen Sie Ihre App-Registrierung im Microsoft Azure-Portal. Notieren Sie diese drei Werte:
Speicherort im Azure-Portal | Zugehöriges LDP-Feld |
|---|---|
Overview → Directory (tenant) ID | Tenant |
Overview → Application (client) ID | Client ID |
Certificates & secrets → Client secrets → Value | Client Secret |
WICHTIG Client-Secret-Wert sofort kopieren
Azure zeigt den Client-Secret-Wert nur einmal an, direkt nach der Erstellung. Wenn Sie die Seite verlassen, wird der Wert dauerhaft verborgen. Sie müssen dann einen neuen Secret erstellen.
Schritt 2: Neuen 'SSO System Preferences'-Eintrag erstellen
Öffnen Sie in Lobster Data Platform den Eintrag Authentifizierung (siehe Basis-Einstellungen). Klicken Sie auf den Tab 'SSO (Single Sign-On)'. Klicken Sie auf New.
Wählen Sie im Feld SSO Provider den Eintrag Azure SSO. Azurespezifische Felder werden eingeblendet.
WARNUNG
Ändern Sie den SSO Provider nicht mehr, nachdem Sie Daten eingegeben haben. Alle bereits eingetragenen Werte gehen verloren. Das gilt auch, wenn der andere Anbieter dieselben Felder unterstützt.
Füllen Sie die Felder aus:
Feld | Beispielwert | Hinweis |
|---|---|---|
Alias |
| Eindeutiger Bezeichner. Wird als |
Status | inaktiv (vorerst) | Nach dem Test auf aktiv setzen (Schritt 6). |
Client ID | aus Schritt 1 | |
Client Secret | aus Schritt 1 | WICHTIG Vertraulich behandeln. |
Tenant | aus Schritt 1 | Azurespezifisches Feld. |
Authorization URL |
| Leer lassen, um den Standardwert zu verwenden. |
Token URL |
| Leer lassen, um den Standardwert zu verwenden. |
User Info URL |
| Leer lassen, um den Standardwert zu verwenden. |
Scope |
| Standardclaims zur Benutzeridentifikation. |
Callback URL | automatisch generiert | Schreibgeschützt. Wird für Schritt 3 benötigt. |
HINWEIS Die Platzhaltertexte in leeren Feldern beschreiben die Systemstandards. Standardwerte gelten zur Laufzeit, solange das Feld leer bleibt. Die Standardwerte werden nicht in der Datenbank gespeichert.
Speichern Sie den Eintrag.
Schritt 3: Callback URL in Azure registrieren
Kopieren Sie die Callback URL aus der LDP-Detailansicht über die Kopierschaltfläche neben dem Feld.
Wechseln Sie zurück zu Ihrer Azure-App-Registrierung.
Öffnen Sie Authentication.
Fügen Sie die Callback URL als Redirect URI vom Typ Web hinzu.
Speichern Sie.
Schritt 4: Verbindung testen
Wählen Sie den neuen 'SSO System Preferences'-Eintrag in der Übersicht aus. Klicken Sie auf Test SSO. Ein separates Browserfenster öffnet sich. Melden Sie sich mit einem Azure-Konto an.
Bei Erfolg wird eine Erfolgsmeldung angezeigt.
Bei einem Fehler erscheint eine Fehlermeldung mit Details im Testfenster.
HINWEIS Die Einstellung 'Status' wird beim Test ignoriert. Sie können auch inaktive Konfigurationen testen.
Wenn der Test fehlschlägt, lesen Sie SSO-Token-Claims debuggen.
Schritt 5: LDP-Benutzer Azure-Identitäten zuordnen
SSO funktioniert nur, wenn ein aktiver Benutzer auf die Azure-Identität verweist.
Gehen Sie für jeden Benutzer so vor, der sich über Azure SSO anmeldet:
Öffnen Sie den Benutzerdatensatz in Benutzer.
Navigieren Sie zu 'External user login infos'.
Fügen Sie einen Eintrag mit diesen Werten hinzu:
Provider Alias:
azure(muss dem Alias aus Schritt 2 entsprechen)User term: der Azure-Bezeichner des Benutzers, in der Regel die E-Mail-Adresse
HINWEIS Das User Mapping kann nur manuell erfolgen
Automatisches Provisioning ist nicht verfügbar. SCIM und JIT Provisioning werden nicht unterstützt. Sie müssen jede Azure-Identität manuell einem LDP-Benutzerkonto zuordnen.
Weitere Optionen finden Sie unter Benutzerverwaltung mit SSO.
Schritt 6: Konfiguration aktivieren
Setzen Sie in der Detailansicht den Status auf aktiv. Speichern Sie den Eintrag.
Die Schaltfläche für Azure SSO wird jetzt im Anmeldedialog für zugeordnete Benutzer angezeigt.
Verwandte Themen
Field mappings: Syntax und Claims. Ordnen Sie Azure-Token-Claims LDP-Benutzerattributen zu.
SSO-Token-Claims debuggen. Prüfen Sie das Azure-Token und verifizieren Sie die Claims.
Benutzerverwaltung mit SSO. Optionen für User Mapping und Selbstregistrierung.