Microsoft Teams und Teams-Apps mit SSO über Azure AD konfigurieren

Mit Single Sign-On (SSO) können Anwender bei der Verwendung von Microsoft Teams sofort auf die Funktionen von Teams zugreifen, ohne sich erneut anmelden zu müssen.

Microsoft hat die Möglichkeit, sich mit SSO anzumelden, bereits seit 2020 in Teams integriert. Auch in Apps, die Teams nutzen und auch in den verschiedenen Registerkarten von Teams können Sie SSO konfigurieren. Wenn Sie Bots in Teams nutzen, können Sie auch hier auf SSO setzen. Die Konfiguration dazu erfolgt im Azure AD Admin Center und im Azure-Portal.

Für SSO können Sie Geschäfts- und Schulkonten genauso nutzen, wie Microsoft-Konten. Auch diese bauen auf Azure AD auf. Bei Microsoft-Konten müssen und können Sie aber natürlich keine Anpassungen an der zugrundeliegenden Azure AD-Konfiguration vornehmen.

SSO ist bei der Verwendung von Microsoft 365 innerhalb der Cloud-Plattform bereits integriert. In hybriden Netzwerken ist es auch möglich, Anmeldedaten aus Active Directory zu Azure AD zu übernehmen. Dadurch können sich Anwender an ihrem Computer anmelden und durch die Synchronisierung ohne weitere Anmeldung auch mit Diensten in Microsoft 365 arbeiten, auch mit Microsoft Teams.

Um SSO mit Microsoft 365 zu nutzen und auch in Microsoft Teams einzubinden, kann auch die Multifaktor-Authentifizierung (MFA) genutzt werden. Hier gibt es teilweise etwas Probleme mit Teams. Testen Sie in diesem Fall, ob das Abschalten von MFA bei einem Benutzer das Problem löst. Besser funktioniert SSO bei der Verwendung von Microsoft 365 Premium oder dem zusätzlichen Buchen von Azure AD Premium P1 oder P2. Die aktuell eingesetzte Lizenz ist im Azure AD Admin Center über „Azure Active Directory\Übersicht“ zu finden.

Microsoft Teams in hybriden Netzwerken nutzen

Wir haben uns mit dem Thema bereits im Beitrag „Authentifizierung für MS Teams in hybriden Netzwerken“ befasst. Der Beitrag „Azure AD Connect und Azure AD Connect Cloud Sync“ geht darauf ein, wie Sie lokale AD-Gesamtstrukturen mit Azure AD synchronisieren. Wichtige Grundlage in diesem Fall ist Azure AD Connect. Wir haben die Einrichtung bereits in einem eigenen Beitrag beschrieben.

Auch der Beitrag „Single-Sign-On in Microsoft 365 nutzen“ durchleuchtet das Thema, wie sich Microsoft 365-Dienste, und damit auch Microsoft Teams, optimal in hybriden Netzwerken betreiben lassen. Um die Synchronisierung mit Azure AD Connect durchzuführen, richten Sie die Synchronisierung ein, wie im Beitrag „Azure AD Connect installieren“ zu lesen ist. Alle Möglichkeiten zur Verwendung von SSO unterstützt derzeit nur Azure AD Connect.

SSO in Teams mit Pass-Through-Authentifizierung

Das Azure AD Admin Center erreichen Sie über die URL https://aad.portal.azure.com. Die Einstellungen von Azure AD Connect und von Azure AD-Cloudsynchronisierung sind über den Menüpunkt „Azure Active Directory\Azure AD Connect“ zu finden. Hier ist im Bereich „Benutzeranmeldung“ auch die Möglichkeiten für das Anmelden an Azure-Ressourcen mit SSO verfügbar. An dieser Stelle ist auch zu sehen, ob Single-Sign-On bereits funktioniert.

Für SSO in Zusammenarbeit von Active Directory und Azure AD stehen grundsätzlich zwei verschiedene Möglichkeiten zur Verfügung. Neben Seamless SSO kann in solchen Infrastrukturen bei „Benutzeranmeldung“ über „Pass-Through-Authentifizierung“ auch die Option aktiviert werden, die das Anmelden von Benutzern in hybriden Infrastrukturen erleichtert und gleichzeitig die Anmeldungen absichert. Pass-Through-Authentifizierung erfordert den Einsatz von Azure AD Connect. Mehr dazu lesen Sie in den verlinkten Beiträgen.

Was ist bei der Synchronisierung zwischen Active Directory und Azure Active Directory wichtig?

Für die Verwendung von SSO müssen Sie darauf achten, dass die Daten in Active Directory sauber gepflegt sind. Die verschiedenen Dienste von Microsoft übernehmen die Daten genauso, wie sie in Active Directory eingetragen sind. SSO funktioniert nur dann effektiv, wenn die Daten richtig gesetzt sind und die verschiedenen Tools die Daten auch richtig synchronisieren.

Damit das richtig läuft, müssen die jeweiligen Attribute und Felder der Benutzerkonten natürlich sauber gepflegt sein. Das funktioniert nur dann richtig, wenn Systeme wie das FirstWare IDM-Portal von FirstAttribute zum Einsatz kommen. Denn hier lassen sich Attribute und Felder wesentlich komfortabler und weniger anfällig vor Fehlern in den Benutzerkonten pflegen. Über automatische Vorgänge, Skripte und Felder, die leicht ausfüllbar sind, können Benutzerkonten lokal gepflegt und zu Azure AD synchronisiert werden. Danach stehen die Benutzer und Gruppen auch in Teams und anderen Anwendungen in Microsoft 365 zur Verfügung.

Gemeinsame Attribute aus AD und Azure AD können Sie mit dem IDM-Portal pflegen, direkt im AD aktualisieren und dann mit Azure AD Connect ins Azure synchronisieren. Die Azure Lizenzverwaltung können Sie auch via IDM-Portal verwalten. Das erleichtert die Konfiguration und Synchronisierung.

SSO für Microsoft Teams-Apps und das Azure AD Admin Center

Wenn SSO für Microsoft Teams zum Einsatz kommen soll, müssen Einstellungen im Azure AD Admin Center vorgenommen werden. Wir haben in diesem und den verlinkten Beiträgen bereits einige dieser Einstellungen gezeigt. Das Azure AD Admin Center erreichen Sie am schnellsten über die URL https://aad.portal.azure.com. Nach einem Klick auf „Azure Active Directory“ finden Sie über „App-Registrierungen“ die Möglichkeit, mit „Neue Registrierung“ eine spezielle Konfiguration für SSO mit Microsoft Teams vorzunehmen. Hier lassen sich auch Einstellungen bezüglich der Mehrinstanzenfähigkeit festlegen.

An dieser Stelle können Sie auch ohne Teams-Client Ihre Apps und Bots hinterlegen und in Azure AD so registrieren, dass SSO zusammen mit Microsoft Teams möglich ist. Nach der Registrierung einer App in diesem Bereich können Sie diese auch mit SSO konfigurieren.

Teams nutzt die SSO-Authentifizierung, sobald Sie diese im Azure AD Admin Center aktiviert haben. Damit auch Teams-Apps und auch die Apps in den Registerkarten SSO nutzen können, müssen Sie diese als Anwendung in Azure AD registrieren. Nach der Registrierung verknüpfen Sie die Anwendung oder den Bot noch mit Azure AD und fügen danach den in Azure AD erstellten Code für die Anbindung der App oder des Bots in die Konfiguration des Bots oder der App mit ein. Auch externe Anwendungen müssen sich an Azure AD anmelden.

Sobald Sie eine Azure AD-Anwendung erstellt haben, muss sie mit der Microsoft Teams-App verknüpft werden. Dies erfolgt zum Beispiel in der manifest.json-Datei der App im webApplicationInfo-Abschnitt:

„webApplicationInfo“: {

  „id“: „023adcaa-4fef-4a4d-a94a-0cde3a0c5b31“,

  „resource“: „api://app.contoso.com/023adcaa-4fef-4a4d-a94a-0cde3a0c5b31“

}

Die Vorgehensweise dazu zeigt Microsoft im Lernmodul zur Konfiguration von SSO für Azure AD und Microsoft Teams.