SAML (Azure AD)

Integrieren Sie Azure AD SAML-Authentifizierung

  1. Wählen Sie in der Azure-Verwaltungskonsole den Menüpunkt "Unternehmensanwendungen" in Azure Active Directory aus

    azure_config1

  2. Wählen Sie “New Application” aus

    azure_config2

  3. Erstellen Sie eine Nicht-Galerie-Anwendung und geben Sie ihr einen eindeutigen Namen

    azure_config3

  4. Wählen Sie auf der Konfigurationsseite der Anwendung im linken seitlichen Fenster "Single Sign-On" aus und wählen Sie die SAML-basierte Anmeldung aus.

    azure_config4

  5. Laden Sie das Zertifikat im Base64-Format herunter und notieren Sie sich die Anmelde-URL der Anwendung und den Azure AD-Bezeichner

    azure_config5

  6. Melden Sie sich in der SUSE® Security-Verwaltungskonsole als Administrator an. Wählen Sie "Einstellungen" im Dropdown-Menü des Administrators in der oberen rechten Ecke aus. Klicken Sie auf SAML-Einstellungen

    azure_config6

  7. Konfigurieren Sie den SAML-Server wie folgt:

    • Kopieren Sie die "Anmelde-URL" der Anwendung als die Single Sign-On-URL.

    • Kopieren Sie die "Azure AD-Identifikationsnummer" als den Aussteller.

    • Öffnen Sie das heruntergeladene Zertifikat und kopieren Sie den Text in das X.509-Zertifikatfeld.

    • Legen Sie eine Standardrolle fest.

    • Geben Sie den Gruppennamen für die Rollenzuordnung ein. Der von Azure zurückgegebene Gruppenanspruch wird durch die "Objekt-ID" anstelle des Namens identifiziert. Die Objekt-ID der Gruppe kann in menu:Azure Active Directory[Gruppen> Gruppenname-Seite] gefunden werden. Sie sollten diesen Wert verwenden, um die gruppenbasierte Rollenabbildung in SUSE® Security zu konfigurieren.

      OpenID5

      Aktivieren Sie dann den SAML-Server.

      azure_config7

  8. Kopieren Sie die Weiterleitungs-URL.

    azure_config8

  9. Kehren Sie zur Azure-Verwaltungskonsole zurück, um die "Basis-SAML-Konfiguration" einzurichten. Kopieren Sie die Weiterleitungs-URL der SUSE® Security-Konsole in die Felder "Identifier" und "Reply URL".

    azure_config9

  10. Bearbeiten Sie das "SAML-Signaturzertifikat" und ändern Sie die Signierungsoption in "SAML-Antwort signieren".

    azure_config10

  11. Bearbeiten Sie "Benutzerattribute & Ansprüche", damit die Antwort die Attribute des anmeldenden Benutzers an SUSE® Security zurückgeben kann. Klicken Sie auf "Neue Ansprüche hinzufügen", um die Ansprüche "Benutzername" und "E-Mail" mit "user.userprincipalname" und "user.mail" hinzuzufügen.

    azure_config11

  12. Wenn die Benutzer den Gruppen im Active Directory zugewiesen sind, kann ihre Gruppenmitgliedschaft dem Anspruch hinzugefügt werden. Suchen Sie die Anwendung in "App-Registrierungen" und bearbeiten Sie das Manifest. Ändern Sie den Wert von "groupMembershipClaims" in "Alle".

    azure_config12

  13. Autorisieren Sie Benutzer und Gruppen, um auf die Anwendung zuzugreifen, damit sie sich mit Azure AD SAML SSO in die SUSE® Security-Konsole einloggen können.

    azure_config13

Gruppen zu Rollen und Namespaces zuordnen.

Bitte sehen Sie sich den Abschnitt Benutzer und Rollen an, um zu erfahren, wie Gruppen den vordefinierten und benutzerdefinierten Rollen sowie Namespaces in SUSE® Security zugeordnet werden.