Identitätsbereitstellung mit Microsoft Entra ID

Diese Anleitung erklärt, wie Sie Microsoft Entra ID in den STACKIT Identity Provider (IdP) integrieren. Diese Integration ermöglicht die Identitätsbereitstellung, wodurch die Notwendigkeit, mit einer proprietären Benutzerverwaltungs-API zu arbeiten, reduziert oder eliminiert wird.

Voraussetzungen

Stellen Sie vor Beginn sicher, dass Sie über Folgendes verfügen:

• Ein aktives STACKIT-Kundenkonto: STACKIT-Kundenkonto erstellen
• Administrativen Zugriff auf Ihren Microsoft Entra ID-Tenant.

STACKIT IdP mit Ihrem Microsoft Entra ID-Tenant verbinden

Integration des Entra ID-Tenants anfordern

Um Microsoft Entra ID in den STACKIT IdP für Ihre Organisation zu integrieren, eröffnen Sie ein Ticket im Help Center. Das Ticket muss Ihre Organisations-ID enthalten, die mit Ihrem STACKIT-Kundenkonto verknüpft ist. Als Antwort auf Ihr Ticket erhalten Sie die Client-ID und das Client-Secret, die für die Konfiguration unerlässlich sind.

STACKIT IdP als Enterprise Application registrieren

Die Microsoft Identity Platform verwaltet Identitäten und Zugriff nur für registrierte Anwendungen. Durch die Registrierung Ihrer Anwendung wird eine Vertrauensverhältnis zwischen Ihrer Anwendung und der Microsoft Identity Platform hergestellt. Detaillierte Anweisungen finden Sie in der offiziellen Microsoft-Dokumentation: Integrieren Ihres SCIM-Endpunkts in den Microsoft Entra-Bereitstellungsdienst.

1. Navigieren Sie in Entra ID zu Entra ID > Enterprise apps.
2. Wählen Sie + New application > + Create your own application.
3. Geben Sie einen aussagekräftigen Namen ein, um diese Instanz der Anwendung wiederzuerkennen. Wählen Sie die Option Integrate any other application you don’t find in the gallery.
4. Wählen Sie Create.

Sie werden zu der von Ihnen registrierten Anwendung weitergeleitet.

Konfiguration

Befolgen Sie diese Schritte, um die SCIM-Bereitstellungsverbindung in Ihrer registrierten Anwendung einzurichten:

1. Wählen Sie Provisioning.
2. Wählen Sie + New configuration.
3. Geben Sie im Feld Tenant-URL den STACKIT IdP SCIM-Endpunkt ein: https://accounts.stackit.cloud/scim/v2/.
4. Geben Sie im Feld Token-Endpunkt den STACKIT IdP Token-Endpunkt ein: https://accounts.stackit.cloud/oauth/v2/token.
5. Konfigurieren Sie die Felder Client-ID und Client-Secret mit den Anmeldeinformationen, die Sie vom STACKIT-Supportteam erhalten haben.
6. Konfigurieren Sie die Zuordnungen für die Benutzer- und Gruppenobjekte. Eine detaillierte Konfiguration wird im nächsten Abschnitt beschrieben.

Attributzuordnung

Der STACKIT IdP benötigt oder verwendet nicht alle Informationen, die über die Standardzuordnungen in Entra ID konfiguriert wurden. Unerwartete Informationen werden abgelehnt und geben HTTP 400 zurück.

Wenn Sie überprüfen möchten, ob ein bestimmter Parameter zulässig ist oder nicht, können Sie die Live-Schemas direkt über den Discovery-Endpunkt validieren:

• Alle Schemas
• Benutzer
• Unternehmensbenutzer
• Einladungserweiterung
• Gruppe

Dies sind beispielsweise die Felder, die der STACKIT IdP erwartet, und die vorgeschlagenen Zuordnungen:

Benutzer

STACKIT IDP	Entra ID	Hinweise
userName	userPrincipalName
active	Switch([IsSoftDeleted], , “False”, “True”, “True”, “False”)
emails[type eq “work”].value	mail	Email-Adresse, die für die Authentifizierung verwendet wird.
preferredLanguage	preferredLanguage
name.givenName	givenName
name.familyName	surname
externalId	objectId	Diese Zuordnung ist zwingend erforderlich
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	employeeId	Optional
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	employeeOrgData.costCenter	Optional
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	companyName	Optional
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	employeeOrgData.division	Optional
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	department	Optional
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value	manager	Optional. Falls angegeben, sollte dies ein Referenzwert sein, der die objectId des Managers zuweist

Hinweis: Die Erweiterung urn:ietf:params:scim:schemas:extension:enterprise:2.0:User ist optional und kann dem Benutzerschema nach Bedarf hinzugefügt werden.

STACKIT akzeptiert die Informationen, verwendet sie aber nicht; sie werden aus Gründen der RFC-Konformität unterstützt.

Gruppe

STACKIT IDP	Entra ID	Hinweise
displayName	displayName
externalId	objectId	Diese Zuordnung ist zwingend erforderlich
members	members

On-Demand-Bereitstellung starten

Überprüfen Sie die Integration, indem Sie den Synchronisierungsabläufen von Microsoft Entra ID folgen, z. B. durch Auslösen einer On-Demand-Bereitstellung (Provision on demand).

Eigenschaften-Einstellungen

Wählen Sie im linken Bereich Übersicht und dann Eigenschaften. Hier können Sie Benachrichtigungs-Emails und den Schutz vor versehentlichem Löschen aktivieren. Klicken Sie auf Übernehmen, um alle Änderungen zu speichern.

Bereitstellungsdienst starten

Wählen Sie Bereitstellung starten. Microsoft bietet eine detaillierte Liste von Bereitstellungsprotokollen an, um auf Fehler zu prüfen. Weitere Informationen zum Lesen der Microsoft Entra-Bereitstellungsprotokolle finden Sie unter Berichterstellung zur automatischen Benutzerkontobereitstellung.

Integration überprüfen

Nachdem Sie alle Parameter konfiguriert und die Bereitstellung aktiviert haben, können Sie die Bereitstellungsfunktion einzeln testen, indem Sie auf On-Demand-Bereitstellung klicken. Wenn Sie den Schritten auf der Microsoft Entra ID-Seite folgen, können Sie den Synchronisierungsablauf für einen bestimmten Benutzer oder eine bestimmte Gruppe auslösen. Das Testen der automatischen Bereitstellung kann eine Herausforderung darstellen, da die Just-in-Time-Bereitstellung (JIT) einen Bereitstellungsfehler verbergen könnte. Nach der Überprüfung mit einigen On-Demand-Synchronisierungen ist es am besten, die Bereitstellungsprotokolle von Microsoft Entra ID zu verwenden. Nach Abschluss aller Tests auf der Entra ID-Seite können Sie eine praktische Validierung durchführen, indem Sie versuchen, sich im STACKIT Portal mit dem bereitgestellten Benutzer zu authentifizieren (vorausgesetzt, Sie haben bereits eine Föderation registriert).

Um eine Rotationsrichtlinie auf das Client-Secret anzuwenden, fordern Sie vor dem in Ihrer Richtlinie definierten Ablaufdatum einen Ersatz an, indem Sie ein Ticket im STACKIT Help Center eröffnen. Geben Sie im Ticket die gewünschte Aktion (Rotieren) und Ihren bevorzugten Zeitplan an, damit das Team die Anfrage ohne Verzögerung bearbeiten kann. Nachdem Sie erhalten haben, speichern Sie es sicher, aktualisieren Sie die Entra ID-Konfiguration und alle abhängigen Systeme oder Secrets Manager, starten Sie dann die betroffenen Dienste neu und testen Sie sie, um die Authentifizierung und Funktionalität zu bestätigen. Antworten Sie auf das Help Center-Ticket mit Ihren Überprüfungsergebnissen, damit es geschlossen werden kann.