Benutzer aus Azure Active Directory synchronisieren

Um Benutzer aus Azure Active Directory (AD) zu synchronisieren, müssen Sie eine externe Azure AD-Identität hinzufügen und eine oder mehrere Gruppensynchronisierungen erstellen.

In AuthPoint stellt die externe Azure AD-Identität Ihre externe Benutzerdatenbank dar. Es stellt eine Verbindung zu Azure Active Directory her, um Benutzerkontoinformationen abzurufen und Passwörter zu validieren. Die Gruppensynchronisierungen, die Sie zu einer externen Identität hinzufügen, legen fest, welche Benutzer von Azure AD zu AuthPoint synchronisiert werden sollen.

Wenn Sie Gruppen synchronisieren konfigurieren, um Benutzer aus Active Directory zu synchronisieren, können Sie den Schalter Neue synchronisierte Gruppen erstellen aktivieren, um neue Gruppen in AuthPoint zu erstellen, die auf den Azure Active Directory-Gruppen basieren, aus denen Sie Benutzer synchronisieren.

Für externe Azure AD-Identitäten ist das AuthPoint Gateway nicht erforderlich. Wenn Sie einen lokalen Active Directory-Server mit Azure AD Connect haben, können Sie eine externe Azure AD-Identität konfigurieren, um Benutzer ohne das AuthPoint Gateway zu synchronisieren und zu authentifizieren.

Aufgrund einer Microsoft-Beschränkung unterstützt Office 365 nur AuthPoint MFA für Azure AD-Benutzer, wenn diese mit einem lokalen AD-Server synchronisiert sind (es unterstützt keine MFA für Benutzer, die nur in Azure AD existieren). Weitere Informationen finden Sie in diesem Wissensdatenbankartikel.

Azure Active Directory konfigurieren

Bevor Sie AuthPoint konfigurieren können, müssen Sie Azure AD konfigurieren.

Konfigurieren von Azure AD:

  1. Melden Sie sich beim Microsoft Azure-Portal an.
  2. Wählen Sie den Azure Active Directory-Dienst aus.
  3. Wählen Sie im Navigationsmenü App-Registrierungen.
  4. Klicken Sie auf Neue Registrierung.
    Die Seite Anwendung registrieren wird angezeigt.
  5. Geben Sie einen Namen für die Anwendung ein.
  6. Wählen Sie unter Unterstützte Kontotypen die Arten von Benutzerkonten aus, die sich mit dieser Anwendung anmelden können. Ihre Auswahl sollte die Benutzer repräsentieren, die Sie mit AuthPoint synchronisieren.
  7. Klicken Sie auf Registrieren.
    Es erscheint eine Seite mit den Details zu Ihrer Anwendung.
  8. Kopieren Sie den Wert der Anwendungs-(Client)-ID. Sie benötigen diesen Wert, um die externe Azure AD-Identität in AuthPoint zu erstellen.
  9. Wählen Sie im Navigationsmenü Manifest.
  10. Setzen Sie im Manifesteditor die Eigenschaft allowPublicClient auf Richtig.
  11. Klicken Sie auf Speichern.
  12. Wählen Sie im Navigationsmenü API-Berechtigungen.
  13. Klicken Sie auf Eine Berechtigung hinzufügen.
  14. Wählen Sie Microsoft Graph.
  15. Wählen Sie Anwendungsberechtigungen.
  16. Wählen Sie die Anwendungsberechtigungen Group.Read.All und User.Read.All aus.
  17. Wählen Sie Delegierte Berechtigungen.
  18. Wählen Sie die Berechtigung User.Read aus.
  19. Klicken Sie auf Berechtigungen hinzufügen. Die von Ihnen hinzugefügten Berechtigungen müssen vom Administrator genehmigt werden. Wenn Sie die Statusmeldung Nicht gewährt für <name> sehen, klicken Sie auf Administratoreinwilligung gewähren für <name>.
  20. Wählen Sie im Navigationsmenü Zertifikate und Geheimnisse.
  21. Klicken Sie auf Neues Clientgeheimnis.
  22. (Optional) Geben Sie eine Beschreibung des Clientgeheimnisses ein.
  23. Wählen Sie aus, wann das Geheimnis abläuft.
  24. Klicken Sie auf Hinzufügen.
    Details zum neuen Clientgeheimnis. erscheint
  25. Kopieren Sie den Wert des Clientgeheimnisses. Sie benötigen diesen Wert, um die externe Azure AD-Identität in AuthPoint zu erstellen.

AuthPoint konfigurieren

In der AuthPoint-Verwaltungsoberfläche müssen Sie eine externe Azure AD-Identität hinzufügen und eine oder mehrere Gruppensynchronisierungen erstellen.

Eine externe Identität hinzufügen

Hinzufügen einer externen Identität in der AuthPoint-Verwaltungsoberfläche:

  1. Wählen Sie im AuthPoint-Menü Externe Identitäten.
  2. Wählen Sie in der Dropdown-Liste Externen Identitätstyp auswählen die Option Azure AD. Klicken Sie auf Hinzufügen.

  1. Geben Sie in das Textfeld Name einen beschreibenden Namen für die externe Identität ein.
  2. Geben Sie in das Textfeld Anwendungs-ID den Wert der Anwendungs-(Client-)ID aus Azure AD ein.

  1. Geben Sie in das Textfeld Domäne den Domänennamen für Ihr Azure AD ein. Wenn Sie keine benutzerdefinierten Domänennamen erstellt haben, lautet das Standardformat example.onmicrosoft.com.
  2. Geben Sie in das Textfeld Clientgeheimnis das Clientgeheimnis ein, das Sie aus Azure AD kopiert haben.
  3. Geben Sie in der Dropdown-Liste Synchronisierungsintervall an, wie oft Sie die Benutzer aus Azure AD synchronisieren möchten. Wenn Sie Alle 24 Stunden wählen, müssen Sie auch für jeden Tag angeben, wann die Synchronisierung beginnt.

  1. Klicken Sie auf Speichern.

Testen Sie die Verbindung zur externen Identität

So testen Sie die Verbindung zu Ihrer externen Identität:

  1. Wählen Sie im Navigationsmenü Externe Identitäten.
  2. Klicken Sie neben der externen Identität, die Sie für Ihre Azure AD-Datenbank hinzugefügt haben, auf und wählen Sie Verbindung prüfen.
    Es erscheint eine Meldung, die anzeigt, ob AuthPoint mit Azure AD kommunizieren kann.

Synchronisieren Ihrer Benutzer

Nachdem Sie eine externe Identität für Ihr Azure AD erstellt haben, müssen Sie eine Gruppensynchronisierung hinzufügen, um diese anzugeben:

  • Die Azure AD-Gruppen, aus denen Benutzer synchronisiert werden sollen
  • Die AuthPoint-Gruppe, zu der die Benutzer hinzugefügt werden sollen

Nachdem Sie eine Gruppensynchronisierung hinzugefügt haben, synchronisiert AuthPoint mit Ihrer Azure AD-Datenbank im nächsten Synchronisierungsintervall und erstellt ein AuthPoint-Benutzerkonto für jeden durch die Gruppensynchronisierung identifizierten Benutzer. Wenn die Gruppensynchronisierung mehr Benutzer liefert, als Sie AuthPoint-Lizenzen zur Verfügung haben, erstellt die Synchronisierung nur so viele Benutzer, wie Ihre Lizenz unterstützt.

Benutzer, die keinen Vornamen, Benutzernamen und keine E-Mail-Adresse in Azure AD haben, werden bei der Synchronisierung nicht berücksichtigt.

Vergewissern Sie sich vor der Synchronisierung der Benutzer, dass jedes Benutzerkonto eine gültige E-Mail-Adresse hat. Wenn die E-Mail-Adresse für ein Benutzerkonto nicht korrekt ist, kann der Benutzer die E-Mail-Nachricht zur Aktivierung eines Tokens nicht erhalten.

So erstellen Sie eine Gruppensynchronisierung für Azure AD-Gruppen:

  1. Wählen Sie Externe Identitäten.
  2. Klicken Sie neben Ihrer externen Identität auf und wählen Sie Gruppen synchronisieren.

  1. Klicken Sie auf der Seite Gruppen synchronisieren auf neue Azure-Gruppe zu Synchronisieren hinzufügen.

  1. Wählen Sie im Fenster Azure AD-Gruppen synchronisieren hinzufügen aus der Dropdown-Liste Azure AD-Gruppen auswählen die Azure-Gruppen aus, mit denen Sie Benutzer synchronisieren möchten. Sie können mehrere Gruppen auswählen.

  1. Wählen Sie aus der Dropdown-Liste AuthPoint-Gruppe auswählen die AuthPoint-Gruppe aus, der die Benutzer hinzugefügt werden sollen.

    Bei jeder Gruppensynchronisierung werden alle Benutzer zur gleichen AuthPoint-Gruppe hinzugefügt. Um Benutzer zu separaten AuthPoint-Gruppen hinzuzufügen, müssen Sie eine separate Gruppensynchronisierung für jede Azure AD-Gruppe erstellen, die Benutzer hat, die Sie zu einer anderen AuthPoint-Gruppe hinzufügen möchten. Synchronisierte Benutzer müssen zu einer AuthPoint-Gruppe hinzugefügt werden.

  1. Um neue Gruppen in AuthPoint zu erstellen, die auf den Azure Active Directory-Gruppen basieren, von denen Sie Benutzer synchronisieren, aktivieren Sie den Schalter Neue synchronisierte Gruppen erstellen. Wenn Sie diese Option aktivieren, synchronisieren sich die Benutzer mit den neuen Gruppen basierend auf der Gruppenmitgliedschaft in Azure Active Directory, zusätzlich zu der ausgewählten AuthPoint-Gruppe.

  1. Klicken Sie auf Speichern.
    Das Fenster Gruppen synchronisieren hinzufügen wird geschlossen.

AuthPoint synchronisiert sich mit Ihrer Azure AD–Datenbank im nächsten Synchronisierungsintervall und erstellt ein AuthPoint-Benutzerkonto für jeden durch die Gruppensynchronisierung identifizierten Benutzer.

Um eine Synchronisierung sofort zu starten, klicken Sie auf der Seite Externe Identitäten neben der externen Identität auf und wählen Synchronisierung starten.

Die neu erstellten AuthPoint-Benutzerkonten werden auf der Seite Benutzer mit einem grünen Statussymbol Aktiviert neben dem Benutzernamen angezeigt. Das Statussymbol Aktiviert zeigt an, dass der Benutzer erstellt wurde und derzeit aktiv ist (nicht blockiert). Sie können Benutzer, die von einer externen Identität synchronisiert wurden, anhand der Azure AD-Bezeichnung in der Spalte Typ in der Benutzerliste identifizieren.

Screenshot that shows Azure AD users on the Users page.

Jeder Benutzer erhält eine E-Mail, mit der er sein Token in der AuthPoint Mobile App aktivieren kann. Wenn ein Benutzer sein Token aktiviert, sehen Sie sein Token in der Spalte Token mit einem grünen Statussymbol Aktiviert neben dem Token.

Wenn ein Benutzer die E-Mail für die Token-Aktivierung erhalten hat, können Sie ihm eine neue Aktivierungs-E-Mail schicken, damit er sein Token aktivieren kann. Detaillierte Schritte zum erneuten Versenden der Aktivierungs-E-Mail finden Sie unter Aktivierungs-E-Mail erneut senden.

Wenn Sie den Schalter Neue synchronisierte Gruppen erstellen aktiviert haben, werden die synchronisierten Gruppen in AuthPoint erstellt. Die neu erstellten Gruppen werden auf der Gruppen-Seite angezeigt. Sie können synchronisierte Gruppen in der Liste Gruppen anhand der Azure AD-Bezeichnung in der Spalte Typ identifizieren.

Wenn Sie den Namen einer synchronisierten Gruppe in Azure Active Directory ändern, wird die synchronisierte Gruppe in AuthPoint automatisch entsprechend aktualisier. Sie können die synchronisierten Gruppen in AuthPoint nicht bearbeiten.

Wenn Sie eine Gruppe in Azure Active Directory löschen oder die Gruppensynchronisierung löschen, wird die synchronisierte Gruppe in AuthPoint nicht gelöscht. Sie müssen die synchronisierte Gruppe manuell in AuthPoint löschen.

Siehe auch

Testen der Verbindung zu einer externen Identität

Benutzer synchronisieren aus Active Directory oder LDAP

Eine Gruppe hinzufügen