Entra ID Integration für SSO und API-Zugriffssteuerung
Die Entra ID Integration zur Einrichtung von Single Sign-On (SSO) mit Anwendungen wie zum Beispiel Salesforce, ist ein Prozess zur Zentralisierung des Zugriffs von Benutzern aus Drittanbieter-Anwendungen mit der Authentifizierung über Entra ID.
Der Ablauf beginnt im Entra Admin Center unter „Enterprise Applications“ oder „Unternehmensanwendungen“, wo eine neue Anwendung hinzugefügt wird. Sollte die gewünschte Anwendung nicht vorhanden sein, lässt sich eine benutzerdefinierte App erstellen. Am Beispiel von Salesforce erfolgt die SSO-Konfiguration durch das Eintragen von spezifischen URLs wie der Identifier URL und dem Assertion Consumer Service URL, welche von Salesforce bereitgestellt werden. Auf diesem Weg werden auch andere Anwendungen von Drittanbietern integriert.
Integration von externen Anwendungen in Entra ID
Index
Hinzufügen von Anwendungen und Benutzergruppen in Entra ID für Single Sign-On
Die Integration von Anwendungen und Benutzergruppen in Entra ID zur Einrichtung von Single Sign-On (SSO) ermöglicht eine zentrale Verwaltung von Unternehmensanwendungen. Über das Entra Admin Center lassen sich Enterprise-Anwendungen für SSO einrichten. Dabei können sowohl Cloud-basierte als auch On-Premises-Anwendungen integriert werden.
Durch die Nutzung von Entra ID lassen sich Authentifizierungsmechanismen wie SAML und OAuth konfigurieren. Nachdem eine Anwendung hinzugefügt wurde, können Benutzer und Gruppen zugewiesen werden. Für die Verwaltung der Anwendungen können Administratoren als Besitzer festgelegt werden. Durch die Auswahl des passenden Authentifizierungsmodus kann der Zugang für Benutzer individuell gestaltet werden, einschließlich der Möglichkeit, automatisch per SSO eingeloggt zu werden.
Integration und verwaltung von Unternehmensanwendungen im Entra Admin Center
Enterprise Applications vs App Registrations in Entra ID
Funktionen und Unterschiede
Externe Dienste oder Software-as-a-Service-Anwendungen (SaaS), die in einen Tenant eingebunden werden, werden als Enterprise Applications bezeichnet. Diese Anwendungen nutzen Service Principals, um Berechtigungen für Benutzer oder Gruppen im Tenant zu verwalten. Administratoren können gezielt steuern, wer auf welche Enterprise Application zugreifen darf. Dies geschieht über das Entra Admin Center, wo Anwendungen aus dem Microsoft-Katalog ausgewählt oder eigene Anwendungen hinzugefügt werden können. Die Integration umfasst oft das Konfigurieren von Single Sign-On (SSO) mit Authentifizierungsprotokollen wie SAML oder OAuth und die Zuordnung von Nutzern und Rollen.
App Registrations hingegen werden verwendet, wenn eine eigene Anwendung entwickelt und mit Entra ID verbunden werden soll. Eine App Registration erzeugt eine eindeutige Application ID, die als Identifikator für die Applikation fungiert. Diese Registrierung ermöglicht der Anwendung die Kommunikation mit den Authentifizierungsdiensten von Entra ID. Entwicklern steht durch die App Registration ein Framework zur Verfügung, um APIs zu verwenden und Berechtigungen für ihre Anwendungen zu definieren. Die App Registration ist somit die Grundlage für die Implementierung von Sicherheitsprotokollen wie OpenID Connect oder OAuth 2.0, die die Authentifizierung von Benutzern über Entra ID steuern.
App Registrations
Der wesentliche Unterschied zwischen beiden Konzepten liegt darin, dass Enterprise Applications für die Verwaltung des Zugriffs und der Berechtigungen von Endbenutzern auf bestehende Anwendungen genutzt werden, während App Registrations für die Integration und Verwaltung von selbst entwickelten Anwendungen vorgesehen sind. Die App Registration stellt den entwicklerseitigen Teil der Integration dar, während die Enterprise Application den Benutzerzugriff und die Autorisierung innerhalb des Tenants ermöglicht. Beide Konzepte arbeiten eng zusammen, da jede App Registration automatisch eine zugehörige Enterprise Application erzeugt, um die Verwaltung der Benutzerzugriffe zu unterstützen.
Beispiel
Ein praktisches Beispiel: Wenn ein Unternehmen den Dienst Dropbox for Business in seinem Tenant nutzen möchte, erfolgt die Anbindung als Enterprise Application. Der Administrator konfiguriert den Zugang, steuert die Berechtigungen für die Benutzer und richtet SSO ein. Entwickelt das Unternehmen hingegen eine eigene Zeiterfassungssoftware, die ebenfalls an Entra ID angebunden werden soll, so wird hierfür eine App Registration erstellt. Diese erlaubt der Anwendung, die Authentifizierung der Benutzer über Entra ID durchzuführen, ohne dass zusätzliche Authentifizierungsmechanismen innerhalb der Applikation entwickelt werden müssen. Dadurch ergänzt die App Registration die Funktion der Enterprise Application, indem sie eine saubere Trennung zwischen Endbenutzerverwaltung und Anwendungsentwicklung bietet.
Verwalten von App-Registrierungen in Entra ID
Sicherheitsaspekte bei der Verwendung von Zertifikaten und Geheimnissen in App Registrations
Bei der Entra ID Integration über App Registrations spielt die Verwaltung von Zertifikaten und Geheimnissen (Secrets) eine zentrale Rolle. Beide Mechanismen dienen der Authentifizierung von Diensten und APIs, um die vertrauenswürdige Kommunikation zu gewährleisten.
Geheimnisse (Secrets)
Secrets sind einfache Textdaten, die leicht kompromittiert werden können, beispielsweise durch unbeabsichtigtes Teilen. Sie werden in Kombination mit der Client-ID und der Tenant-ID verwendet, um auf APIs wie Microsoft Graph zuzugreifen.
Zertifikate
Eine sicherere Alternative zu Secrets sind Zertifikate. Sie erfordern die Verwaltung eines privaten Schlüssels und sind schwieriger zu handhaben, bieten aber ein höheres Sicherheitsniveau. Zertifikate werden oft in sicheren Umgebungen wie Azure Key Vault gespeichert.
Verwalten von Zertifikaten und Secrets bei App-Registrierungen
Föderationsanmeldeinformationen
Neben diesen klassischen Methoden bietet die Entra ID Integration auch Föderationsanmeldeinformationen (Federated Credentials) an. DevOps-Pipelines wie GitHub Actions und Azure DevOps verwenden diese Methode, um Secrets und Zertifikate durch eine Vertrauensbeziehung zwischen der Anwendung und dem OpenID-Connect-Anbieter (OIDC) zu ersetzen. Sie reduziert die Notwendigkeit regelmäßiger Geheimnisaktualisierungen und eliminiert das Risiko ablaufender Zertifikate oder Secrets.
Feinheiten der Konfiguration von App Registrations und Enterprise Applications
Ein häufig missverstandener Aspekt bei der Nutzung von App Registrations und Enterprise Applications in der Entra ID Integration liegt in den feingranularen Konfigurationsmöglichkeiten beider Konzepte. App Registrations bilden die technische Definition einer Anwendung, während die Konfiguration darüber hinausgeht.
App-Registrierungen – Integrations-Assistent im Entra ID
Authentifizierungsmechanismen und Berechtigungen
Administratoren müssen entscheiden, welche Authentifizierungsmechanismen (z.B. SAML, OAuth) und Berechtigungen eingesetzt werden. Für Multi-Tenant-Anwendungen, die mehreren Organisationen Zugriff ermöglichen, ist diese Entscheidung besonders wichtig.
Sicherheit und Verwaltung
App Registrations bieten verschiedene Authentifizierungsmethoden, wie OAuth 2.0 und OpenID Connect, und die Verwendung von Zertifikaten oder Secrets. Zertifikate sind sicherer, da sie schwerer kompromittiert werden können und oft in sicheren Speicherorten wie Azure Key Vault verwaltet werden.
Beispiel: OAuth 2.0 Client Credentials
Ein typisches Beispiel ist die Nutzung von OAuth 2.0 Client Credentials in automatisierten Prozessen ohne Benutzerinteraktion. Anwendungen können auf Ressourcen zugreifen, ohne dass ein Benutzer aktiv eingeloggt ist, ideal für Hintergrundprozesse wie die Benutzerdaten-Synchronisierung.
API-Berechtigungen steuern
Enterprise Applications und Service Principals
Enterprise Applications konzentrieren sich auf die Verwaltung der Service Principals, die in jedem Tenant als Instanz der zugrunde liegenden App Registration existieren. Diese Verwaltung umfasst die Zuweisung von Benutzern und Gruppen sowie die Konfiguration von Berechtigungen.
Multi-Tenant-Umgebungen
In Multi-Tenant-Umgebungen kann eine Enterprise Application in mehreren Tenants existieren, während die App Registration zentral in einem Tenant verwaltet wird. Admin Consent-Flows ermöglichen eine präzise Steuerung der Zugriffsrechte.
Berechtigungen in Unternehmensanwendungen steuern
Föderierte Anmeldeinformationen (Federated Credentials)
Eine sichere Methode der Authentifizierung sind Föderierte Anmeldeinformationen, die OIDC-Anbieter wie GitHub Actions direkt integrieren. Diese Methode ist besonders in DevOps-Umgebungen nützlich, da sie automatisierte Bereitstellungen sicher und ohne ablaufende Zugangsdaten ermöglicht.
Manifest-Datei
Die Manifest-Datei einer App Registration enthält alle Konfigurationsinformationen und ermöglicht Änderungen in der JSON-Struktur. Dies bietet Flexibilität und Kontrolle, besonders in komplexen Multi-Tenant-Szenarien.
App Registrations und Enterprise Applications sollten nicht isoliert betrachtet werden. Ihre Zusammenarbeit bildet die Grundlage für eine sichere und effiziente Verwaltung von Anwendungen in der Entra ID Integration.
Fazit
Die Entra ID Integration von Anwendungen und Benutzergruppen ermöglicht Unternehmen eine zentrale und effiziente Verwaltung von Benutzerzugriffen. Funktionen wie Single Sign-On (SSO) und moderne Authentifizierungsprotokolle wie SAML und OAuth erhöhen die Sicherheit und reduzieren den Verwaltungsaufwand.
Der Unterschied zwischen App Registrations und Enterprise Applications zeigt die klare Trennung von Entwicklungs- und Verwaltungsaufgaben, was sowohl Entwickler als auch Administratoren unterstützt.
Durch den Einsatz moderner Sicherheitsmethoden wie Zertifikaten oder föderierten Anmeldeinformationen wird die IT-Infrastruktur flexibler und zukunftssicher gestaltet.
Unterstützung benötigt?
Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor.
Wir freuen uns über Ihre Kontaktaufnahme!
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>