Identitätsbereitstellung mit Microsoft Entra ID

Diese Anleitung erläutert, wie Sie Microsoft Entra ID mit dem STACKIT Identity Provider (IdP) integrieren. Diese Integration ermöglicht die Identitätsbereitstellung, wodurch die Notwendigkeit, mit einer proprietären Benutzerverwaltungs-API zu arbeiten, reduziert oder eliminiert wird.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:

• Ein aktives STACKIT Kundenkonto: STACKIT Kundenkonto erstellen
• Administrativen Zugriff auf Ihren Microsoft Entra ID Tenant.

STACKIT IdP mit Ihrem Microsoft Entra ID Tenant verbinden

Die Entra ID Tenant-Integration anfordern

Um Microsoft Entra ID für Ihre Organisation mit dem STACKIT IdP zu integrieren, öffnen Sie ein Ticket im Help Center. Das Ticket muss Ihre Organisations-ID enthalten, die mit Ihrem STACKIT Kundenkonto verknüpft ist.

Als Antwort auf Ihr Ticket erhalten Sie die Client ID und das Client Secret, die für die Konfiguration unerlässlich sind.

STACKIT IdP als Enterprise Application registrieren

Die Microsoft Identity Platform verwaltet Identitäten und Zugriffe nur für registrierte Anwendungen. Durch die Registrierung Ihrer Anwendung wird eine Vertrauensbeziehung zwischen Ihrer Anwendung und der Microsoft Identity Platform hergestellt.

Detaillierte Anweisungen finden Sie in der offiziellen Microsoft Dokumentation: Integrieren Sie Ihren SCIM-Endpunkt mit dem Microsoft Entra Bereitstellungsdienst.

1. Navigieren Sie in Entra ID zu Entra ID > Enterprise-Anwendungen.
2. Wählen Sie + Neue Anwendung > + Eigene Anwendung erstellen.
3. Geben Sie einen aussagekräftigen Namen ein, um diese Instanz der Anwendung zu erkennen. Wählen Sie die Option Beliebige andere Anwendung, die Sie nicht in der Galerie finden, integrieren.
4. Wählen Sie Erstellen.

Sie werden zu der von Ihnen registrierten Anwendung weitergeleitet.

Konfiguration

Befolgen Sie diese Schritte, um die SCIM-Bereitstellungsverbindung in Ihrer registrierten Anwendung einzurichten:

1. Wählen Sie Bereitstellung.
2. Wählen Sie + Neue Konfiguration.
3. Geben Sie im Feld Tenant-URL den STACKIT IdP SCIM-Endpunkt ein: https://accounts.stackit.cloud/scim/v2/.
4. Konfigurieren Sie die Felder Client ID und Client Secret mit den Zugangsdaten, die Sie vom STACKIT Support-Team erhalten haben.

Verbindung testen

Wählen Sie Verbindung testen, damit Microsoft Entra ID versucht, eine Verbindung zum SCIM-Endpunkt herzustellen. Schlägt der Versuch fehl, werden Fehlerinformationen angezeigt.

Das Testen der Bereitstellungsfunktion kann eine Herausforderung darstellen, da die Just-in-Time (JIT)-Bereitstellung einen Bereitstellungsfehler maskieren könnte. Der beste Ansatz ist die Verwendung der Bereitstellungsprotokolle von Microsoft Entra ID.

Alternativ können Sie die Benutzerbereitstellung überprüfen, indem Sie den SCIMv2 /Users-Endpunkt abrufen. Verwenden Sie zum Beispiel ?filter=email eq "user@example.com", um einen bestimmten Benutzer zu überprüfen. Dieser Test erfordert ein Bearer-Token zur Authentifizierung Ihrer Anfrage.

Attributzuordnung

Überprüfen Sie die Attributzuordnungen für die Benutzer- und Gruppenobjekte. Wählen Sie Speichern, um alle Änderungen zu übernehmen.

On-Demand-Bereitstellung starten

Sie können die Integration überprüfen, indem Sie die Synchronisierungsabläufe von Microsoft Entra ID verfolgen, z. B. eine On-Demand-Bereitstellung auslösen.

Eigenschaften-Einstellungen

Wählen Sie im linken Bereich Übersicht und dann Eigenschaften. Hier können Sie Benachrichtigungs-E-Mails und die Verhinderung versehentlicher Löschungen aktivieren. Klicken Sie auf Anwenden, um alle Änderungen zu speichern.

Bereitstellungsdienst starten

Wählen Sie Bereitstellung starten. Microsoft stellt eine detaillierte Liste der Bereitstellungsprotokolle zur Verfügung, um Fehler zu überprüfen. Weitere Informationen zum Lesen der Microsoft Entra Bereitstellungsprotokolle finden Sie unter Reporting on automatic user account provisioning.

Ihre Integration überprüfen

Nachdem Sie alle Tests auf Seiten von Entra ID abgeschlossen haben, können Sie eine praktische Überprüfung durchführen, indem Sie versuchen, sich im STACKIT Portal mit dem bereitgestellten Benutzer zu authentifizieren.

Für OAuth können Sie zuvor bereitgestellte Zugangsdaten verwenden, um ein Token für den bereitgestellten Benutzer (Autorisierungscode) mit allen verfügbaren Scopes auszutauschen. Dies ermöglicht Ihnen zu überprüfen, ob alle zurückgegebenen Claims mit denen der Microsoft Entra ID SCIM-Bereitstellung übereinstimmen.

Um eine Rotationsrichtlinie auf das Client Secret anzuwenden, fordern Sie vor dem durch Ihre Richtlinie definierten Ablaufdatum einen Ersatz an, indem Sie ein Ticket im STACKIT Help Center öffnen. Geben Sie im Ticket die benötigte Aktion (Rotieren) und Ihren bevorzugten Zeitplan an, damit das Team die Anfrage ohne Verzögerung bearbeiten kann. Nachdem Sie das neue Secret erhalten haben, speichern Sie es sicher, aktualisieren Sie die Entra ID Konfiguration und alle abhängigen Systeme oder Secrets Manager, starten Sie die betroffenen Dienste neu und testen Sie diese, um die Authentifizierung und Funktionalität zu bestätigen. Antworten Sie dem Help Center Ticket mit Ihren Überprüfungsergebnissen, damit es geschlossen werden kann.