Diese Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie keycloak als Identitätsanbieter für Entra ID Single Sign-on (SSO) einrichten.
Inhaltsverzeichnis
Einmalige Anmeldung (SSO) macht die Anmeldung bei mehreren Anwendungen einfacher und sicherer. SSO ermöglicht es Benutzern, sich einmal zu authentifizieren und auf alles zuzugreifen, ohne sich erneut anmelden zu müssen.
Diese Anleitung erklärt, wie Sie SSO über Microsoft Azure Active Directory (Entra ID) aktivieren.
Unser Ziel ist es, Ihnen dabei zu helfen, die Authentifizierung so einzurichten, dass sie reibungslos mit Entra ID funktioniert und die Benutzer sich nahtlos und sicher anmelden können. Wir werden die Dinge klar und einfach halten.
Was Sie brauchen
Vergewissern Sie sich vor dem Start, dass Sie alles haben:
- Ein Entra ID-Mandant mit administrativem Zugriff
- Grundlegende Kenntnisse der Entra ID Admin-Panels
- Zugang zu einem Browser zum Testen
Warum Entra ID verwenden?
Entra ID (umbenannt in Microsoft Azure AD) wird häufig für die Benutzerverwaltung in Unternehmen verwendet. Die Kombination mit unserer Authentifizierung ermöglicht es Ihrer Anwendung, die sichere Benutzerdatenbank von Entra ID zu nutzen und gleichzeitig unsere Authentifizierungskomponente (Keycloak) für SSO und Rollenmanagement einzusetzen.
Diese Einrichtung ist besonders nützlich für Unternehmen, die eine einheitliche Anmeldeerfahrung über mehrere Plattformen hinweg wünschen.
Schritt 1: Verstehen Sie den SSO-Fluss
Hier sehen Sie, wie der SSO-Prozess in einfachen Worten funktioniert:
- Ein Benutzer versucht, auf eine Tridens Monetization- oder Tridens EV Charge-Anwendung zuzugreifen.
- Die App leitet sie zu Keycloak weiter.
- Keycloak prüft, ob der Benutzer eingeloggt ist. Wenn nicht, wird er auf die Anmeldeseite von Entra ID weitergeleitet.
- Der Benutzer gibt seine Entra ID-Anmeldedaten ein (z. B. E-Mail und Passwort).
- Entra ID verifiziert den Benutzer und sendet die Authentifizierungsdaten zurück an Keycloak.
- Keycloak gibt ein Token an die Anwendung aus, das es dem Benutzer ermöglicht, auf die Anwendung zuzugreifen, ohne sich erneut anzumelden.
- Benutzerrollen aus Entra ID-Gruppen können verwendet werden, um zu steuern, was der Benutzer in der App tun kann.
Dieser Ablauf gewährleistet einen sicheren und reibungslosen Zugriff, während die Benutzerdaten in Entra ID verwaltet werden.
Schritt 2: Azure App Konfiguration
- Erstellen Sie eine neue Azure-App. Erstellen Sie eine neue App-Registrierung über portal.azure.com und wählen Sie bei der Aufforderung Unterstützung für mehrere Organisationen. Sie können die App-Registrierung in der Suche finden.
- Klicken Sie auf Neue Registrierung.
- App-Details ausfüllen
Sobald die App erstellt ist, zeigt Azure Ihnen die Anwendung (Client) ID. Kopieren Sie diesen Wert - Sie werden ihn später brauchen.
- Als nächstes gehen Sie zu Zertifikate und Geheimnisse und erstellen eine Geheimnis des neuen Kunden. Speichern Sie den generierten Wert sicher; er wird auch in Keycloak verwendet.
- Gehen Sie zurück zur App-Detailseite und klicken Sie auf Endpunkte. Kopieren Sie die URL des OpenID Connect-Metadatendokuments. Dies wird später für die Konfiguration von Keycloak wichtig sein.
Schritt 3: Hinzufügen des Identitätsanbieters (IdP)
- Fügen Sie IdP in Tridens Monetization hinzu, indem Sie zu Unternehmensportal > Sicherheit > Identitätsanbieter gehen.
- Ausfüllen die Formular mit Discovery-Endpunkt, Client-ID (dies ist die Anwendungs-(Client-)ID in Azure) und Client Geheimnis (dies ist Value from Azure) unter Verwendung der in den vorherigen Schritten erhaltenen Werte.
- Fügen Sie die URI des OpenID Connect-Metadatendokuments unter dem Feld Discovery endpoint hinzu.
Schritt 4: Testen Sie die Einrichtung von Keycloak und Entra ID SSO
Um sicherzustellen, dass die Authentifizierung über die Entra ID Single Sign-On (SSO) Integration korrekt funktioniert, führen Sie die folgenden Schritte aus, um den Anmeldevorgang zu testen. So können Sie sicherstellen, dass sich die Benutzer mit ihren Entra ID Anmeldedaten problemlos anmelden können.
- Öffnen Sie Ihren Browser und gehen Sie zu Ihrem Tridens Monetization-Portal (loggen Sie sich aus, wenn Sie bereits eingeloggt sind).
Sie sollten eine Anmeldeseite wie die folgende sehen.
- Klicken Sie auf der Anmeldeseite auf die Schaltfläche "Microsoft".
Sie werden dann zur Anmeldeseite von Microsoft Entra ID weitergeleitet.
- Melden Sie sich mit Microsoft-Zugangsdaten an. Geben Sie Ihren Benutzernamen und Ihr Passwort für Microsoft Entra ID ein.
Wenn Sie sich zum ersten Mal anmelden, werden Sie möglicherweise gefragt, ob Sie der App den Zugriff auf Ihr Konto erlauben möchten. Klicken Sie auf "Akzeptieren", um fortzufahren.
- Prüfen Sie das Ergebnis
Nachdem Sie akzeptiert haben, sollten Sie zu einer Profilseite in der Keycloak-Konsole weitergeleitet werden.
Wenn Sie diese Seite sehen, bedeutet dies, dass die SSO-Integration korrekt funktioniert.
Fehlersuche
Wenn Sie die Anmeldeseite von Entra ID nicht sehen, überprüfen Sie die Einstellungen Ihres Identity Providers.
Vergewissern Sie sich, dass Ihre Entra ID-Anmeldedaten korrekt sind und dass der Benutzer Zugriff auf die App hat. Wenn die Profilseite nicht angezeigt wird, überprüfen Sie, ob der Redirect URI in Keycloak mit den Einstellungen Ihrer App übereinstimmt.
Tipps für den Erfolg
- Gründlich testen: Versuchen Sie, sich mit verschiedenen Konten anzumelden.
- Dokumentation prüfen: Lesen Sie bei Bedarf die Entra ID-Dokumente.
- Backup-Konfigurationen: Speichern Sie Ihre Entra ID-Einstellungen.
Die Integration von Tridens Monetization mit Entra ID für SSO vereinfacht die Benutzerauthentifizierung für Ihre Webanwendung und nutzt gleichzeitig die robuste Benutzerverwaltung von Entra ID.
Wenn Sie diese Schritte befolgen, können Sie ein sicheres und effizientes Anmeldesystem einrichten.
