Microsoft Entra ID Enterprise App

Verwenden Sie die Microsoft Entra ID Enterprise App, um Microsoft Entra ID mit dem STACKIT IdP zu integrieren. Dies ist der empfohlene Weg für die meisten Microsoft Entra ID-Kunden, da er den manuellen Einrichtungsaufwand im Vergleich zu benutzerdefinierten Integrationen reduziert.

Die Microsoft Entra ID Enterprise App befindet sich derzeit auf Azure-Seite für ausgewählte Kunden in der Preview. Wenn Sie an einer direkten Nutzung interessiert sind und Feedback geben möchten, muss STACKIT diese für Sie anfordern, indem Sie Microsoft Ihre Entra ID Tenant-ID mitteilen. Wenn Sie sie nutzen möchten, diese aber für Ihren Tenant noch nicht verfügbar ist, wenden Sie sich bitte an STACKIT.

Wann Sie diese Option nutzen sollten

Nutzen Sie diese Option, wenn:

• Sie Microsoft Entra ID verwenden und den einfachsten Einrichtungsweg wünschen.
• Sie Kunden auf einen standardmäßigen Integrationsweg leiten möchten.
• Die STACKIT Enterprise App für Ihren Tenant in der Azure App Gallery verfügbar ist.

Bevor Sie beginnen

Stellen Sie vor dem Start sicher, dass Sie Folgendes haben:

• Ein aktives STACKIT-Kundenkonto.
• Administrativen Zugriff auf Ihren Microsoft Entra ID Tenant.
• Die Entscheidung, ob Sie Federation (SAML), Provisioning (SCIM) oder beides benötigen.

Wählen Sie Ihren Einrichtungsweg

Die Enterprise App unterstützt drei Konfigurationen:

• Empfohlen: SAML + SCIM. Führen Sie zuerst die Common setup, dann Configure federation (SAML) und anschließend Configure provisioning (SCIM) in dieser Reihenfolge durch.
• Nur SAML. Führen Sie die Common setup und Configure federation (SAML) durch und stoppen Sie dann.
• Nur SCIM. Führen Sie die Common setup und Configure provisioning (SCIM) durch und überspringen Sie den Abschnitt zur Federation.

Beginnen Sie bei allen Wegen mit der unten stehenden allgemeinen Einrichtung.

Voraussetzung:

• Fügen Sie die STACKIT Enterprise App aus der Azure App Gallery hinzu.

Federation konfigurieren (SAML)

Schließen Sie diesen Abschnitt ab, wenn Sie Microsoft Entra ID für die Anmeldung nutzen möchten. Erforderlich für die Wege SAML + SCIM und Nur SAML.

1. Gehen Sie zu Single sign-on und wählen Sie die SAML-Option aus.

2. Klicken Sie in der Basis-SAML-Konfiguration auf Edit und geben Sie eine temporäre Platzhalter-URL in das Feld Identifier (Entity ID) ein. Dies ermöglicht den Download der SAML-Metadaten mit den finalen Zertifikaten. Verwenden Sie eine beliebige URL, die dem Muster https://accounts.stackit.cloud/idps/* entspricht, zum Beispiel https://accounts.stackit.cloud/idps/dummy. Fügen Sie die Anmelde-URL hinzu, falls Ihr Tenant dies erfordert, lassen Sie die Antwort-URL auf https://portal.stackit.cloud und klicken Sie auf Save.

3. Kopieren Sie den Wert aus dem Feld Verbundmetadaten-URL der App. STACKIT verwendet diese URL, um die für die Konfiguration der Federation erforderlichen Informationen abzurufen.

4. Öffnen Sie ein Support-Ticket mit den folgenden Informationen:

   • Federation type: Microsoft Entra ID Enterprise App
   • Metadata URL: Die in Schritt 3 kopierte URL
   • Email Domains: Alle primären und sekundären E-Mail-Domains, die Ihre Mitarbeitenden mit Entra ID verwenden, zum Beispiel @example.org und @foobar.com

   Wenn Sie auch die SCIM-Bereitstellung aktivieren möchten, fordern Sie die SCIM-Client-ID und das Client-Secret im selben Ticket an.

5. Sobald Sie die STACKIT-Metadaten-URL erhalten haben, laden Sie die Metadatendatei herunter und laden Sie sie in Entra ID hoch, indem Sie auf Upload metadata file klicken und Ihre Datei auswählen.

6. Bestätigen Sie dem STACKIT-Support, dass Sie die Metadatendatei hochgeladen haben. STACKIT wird dann die Federation für Ihre Domain aktivieren. Dies erzwingt, dass sich alle Benutzer mit E-Mail-Adressen in den konfigurierten Domains über Microsoft Entra ID authentifizieren müssen.

SAML erfordert, dass Sie die STACKIT IdP-Metadaten in Ihrer Microsoft Entra ID-Konfiguration registrieren, bevor STACKIT die Federation auf seiner Seite aktiviert. STACKIT kann eine temporäre Domain-Weiterleitung einrichten, damit Sie die Federation testen können, bevor Sie sie für Ihre finalen Domains aktivieren.

Wenn Sie nur eine Federation benötigen, können Sie hier aufhören.

Bereitstellung konfigurieren (SCIM)

Schließen Sie diesen Abschnitt ab, wenn Sie möchten, dass Microsoft Entra ID Benutzer und Gruppen automatisch bereitstellt. Erforderlich für die Wege SAML + SCIM und Nur SCIM.

Sie benötigen eine Client ID und ein Client Secret vom STACKIT-Support. Wenn Sie bereits während der SAML-Einrichtung (Schritt 4) ein Support-Ticket geöffnet haben, fordern Sie diese Anmeldedaten im selben Ticket an. Für reine SCIM-Einrichtungen öffnen Sie ein eigenes Support-Ticket, um die Bereitstellungsdaten anzufordern.

1. Gehen Sie zu Provisioning.

2. Klicken Sie auf Connect your Application.

3. Geben Sie die folgenden Werte ein und klicken Sie auf Test Connection. Wenn der Test erfolgreich ist, klicken Sie auf Save.

   • Tenant URL: https://accounts.stackit.cloud/scim/v2
   • OAuth Token Endpoint: https://accounts.stackit.cloud/oauth/v2/token
   • Client ID: Vom STACKIT-Support bereitgestellte Client-ID
   • Client Secret: Vom STACKIT-Support bereitgestelltes Client-Secret

4. Klicken Sie auf Start Provisioning, um die automatische Synchronisierung zu aktivieren. Microsoft Entra ID hält Benutzer und Gruppen im STACKIT IdP von diesem Zeitpunkt an auf dem neuesten Stand.

Wie es weitergeht

Nachdem die entsprechenden Abschnitte konfiguriert wurden, können sich Ihre Benutzer mit ihren Microsoft Entra ID-Anmeldedaten bei den STACKIT-Diensten anmelden. Sie können steuern, welche Benutzer und Gruppen mit dem STACKIT IdP synchronisiert werden, indem Sie die gruppenbasierten Zuweisungsfunktionen von Microsoft Entra ID nutzen. Weisen Sie der Enterprise App nur die Benutzer oder Gruppen zu, die auf STACKIT zugreifen sollen, um den Bereitstellungs- und Anmeldebereich einzuschränken.

Alternative Microsoft Entra ID-Optionen

Verwenden Sie diese Anleitungen nur, wenn Sie die Enterprise App nicht nutzen können oder Anforderungen haben, die von ihr nicht abgedeckt werden:

• Leitfaden für benutzerdefinierte OIDC-Federation mit Microsoft Entra ID: Verwenden Sie diesen, wenn Sie eine benutzerdefinierte Anwendungsregistrierung benötigen oder OIDC anstelle von SAML verwenden möchten.
• Leitfaden für die benutzerdefinierte SCIM-Provisioning mit Microsoft Entra ID: Verwenden Sie diesen, wenn Sie eine benutzerdefinierte Bereitstellungseinrichtung anstelle des Enterprise-App-Flows benötigen.

Die Enterprise App ist der empfohlene Weg für die meisten Microsoft Entra ID-Kunden. Verwenden Sie die benutzerdefinierten Anleitungen nur, wenn Sie Funktionen benötigen, die von der Enterprise App nicht abgedeckt werden, oder wenn diese für Ihren Tenant noch nicht verfügbar ist.