Mit der Implementierung der SAML Authentifizierung können Sie das Anlegen von neuen Benutzern im vCloud Director automatisieren. Des Weiteren können Sie anhand von Gruppen und Rollen die Berechtigungen steuern. Optional kann auch Azure MFA verwendet werden um den vCloud Director vor unbefugten Zugriffen zu schützen. In dieser Anleitung zeigen wir Ihnen, wie Sie vorgehen müssen um die SAML Authentifizierung einzurichten.
Voraussetzungen
– vCloud Director Organisation Administrator Login
– Azure AD Connect, falls On-Prem AD verwendet wird
– Azure AD Premium P1 (oder höher), falls Azure MFA verwendet wird
Vorgehen
1. Erstellen Sie eine Gruppe (Azure AD oder On-Prem) mit einer passenden Bezeichnung.
Wichtig: On-Prem Gruppen müssen nach Azure AD synchronisiert werden.
Wichtig: Bei Azure AD Gruppen (Cloud Only) muss die Object-Id kopiert werden:
2. Melden Sie sich mit Ihrem lokalen Organisations-Administrator beim beim vCloud Director an. Der folgende Artikel bietet Hilfestellung beim Loginprozess: Beim vCloud Director anmelden
3. Wechseln Sie zur Registerkarte «Administration» und wählen Sie unter «Identitätsanbieter» > «SAML». Klicken Sie unter SAML-Konfiguration auf «Bearbeiten».
4. Als Entitäts-ID wird die Metadaten URL kopiert und eingefügt
5. Generieren Sie ein neues Zertifikat indem Sie auf «Neu Generieren» und danach «Speichern» klicken.
6. Laden Sie die XML-Datei «spring_saml_metadata.xml» herunter.
7. Melden Sie sich im Azure AD an und erstellen Sie eine neue Enterprise Application.
8. Geben Sie Ihrer neuen Applikation einen sinnvollen Namen und klicken Sie auf «Create».
9. Fügen Sie die im ersten Schritt erstellte AD-Gruppe hinzu (On-Prem AD oder Azure AD) .
10. Klicken Sie auf «Single sign-on» und wählen Sie als Authentifizierung SAML aus.
11. Im nächsten Schritt können Sie die XML Datei, welche Sie im 6. Schritt heruntergeladen haben, hochladen.
12. Unter «User Attributes & Claims» können Sie nun einen neuen Claim hinzufügen.
Fügen Sie die folgenden Claims hinzu:
– Name: EmailAddress, Source attribute: user.mail
– Name: FullName, Source attribute: user.displayname
– Name: UserName, Source attribute: user.mail
13. Fügen Sie nun einen Group Claim hinzu.
Sie erhalten danach eine Übersicht über alle Claims:
14. Nun können Sie das vCloudDirector XML herunterladen.
Nun sind alle Schritte umgesetzt und Sie können eine Testanmeldung mittels Azure AD durchführen. Sobald SAML aktiviert wurde, wird nach der Eingabe der Kundennummer eine Umleitung zum SAML Authentifizierungs-Server, in unserem Fall Azure AD, gemacht.
Falls Sie sich wieder lokal, ohne SAML, anmelden möchten müssen Sie folgende URL aufrufen: https://vcloud.first365.net/tenant/KUNDENNUMMER/login
Optional: Multi-Faktor-Authentifizierung (MFA) aktivieren
Optional können Sie die Multi-Faktor-Authentifizierung (MFA) aktivieren. Bitte beachten Sie, dass Sie dafür die Azure AD Premium P1 Lizenz benötigen.
- Klicken Sie im Azure Portal unter «Enterprise applications > vCloudDirector > Conditional Access» auf «New policy».
- Benennen Sie die Policy und wählen Sie die User aus, die sich künftig mit MFA authentifizieren sollen.
- Wählen Sie im nächsten Schritt unter «Cloud apps» die vCloudDirector» Applikation.
- Anschliessend können Sie unter «Grant» die Option «Require multi-factor authentification» auswählen.
- Stellen Sie sicher, dass die Policy aktiviert ist (On) und klicken Sie auf «Create».
- Im vCloud Director unter SAML können Sie nun das vCloudDirector XML hochladen.
- Im letzten Schritt müssen Sie im vCloud Director unter «Zugriffssteuerung» > «Gruppen» die zuvor erstellte AD-Gruppe importieren.
- Klicken Sie auf «Speichern». Die Multi-Faktor-Authentifizierung (MFA) beim vCloud Director ist nun eingerichtet.