Nutzerbereitstellung und Einmalanmeldung (SSO) für Microsoft Entra ID (früher Azure AD) B2B

Last reviewed 2023-02-27 UTC

In diesem Dokument wird gezeigt, wie Sie die Nutzerbereitstellung und Einmalanmeldung für Microsoft Entra ID (früher Azure AD) erweitern, um die Einmalanmeldung (SSO) für Nutzer der Microsoft Entra ID B2B-Zusammenarbeit zu aktivieren.

In diesem Dokument wird davon ausgegangen, dass Sie in Ihrem Unternehmen Microsoft Office 365 oder Microsoft Entra ID verwenden und die Nutzerbereitstellung und Einmalanmeldung für Microsoft Entra ID B2B bereits wie im folgenden Diagramm konfiguriert haben.

Nutzerbereitstellung und Einmalanmeldung (SSO) für Microsoft Entra ID konfigurieren

In diesem Diagramm melden sich Nutzer von externen Identitätsanbietern (IdPs) und anderen Microsoft Entra ID-Mandanten über die B2B-Anmeldung beim Microsoft Entra ID-Mandanten an.

Lernziele

  • Erweitern Sie die Konfiguration der Microsoft Entra ID-Nutzerbereitstellung, um Microsoft Entra B2B-Gastnutzer abzudecken.
  • Erweitern Sie die Konfiguration der Microsoft Entra ID SSO, um Microsoft Entra B2B-Gastnutzer abzudecken.
  • Konfigurieren Sie in Cloud Identity die Sitzungsdauer für Gastnutzer.

Hinweise

Achten Sie darauf, dass Sie die Nutzerbereitstellung und Einmalanmeldung (SSO) für Microsoft Entra ID eingerichtet haben.

Microsoft Entra B2B-Gastnutzer

Mit Microsoft Entra ID können Sie externe Nutzer als Gäste in Ihren Microsoft Entra ID-Mandanten einladen. Wenn Sie einen externen Nutzer einladen, erstellt Microsoft Entra ID ein Gastnutzerkonto in Ihrem Mandanten. Diese Gastnutzerkonten unterscheiden sich in mehrfacher Hinsicht von regulären Microsoft Entra ID-Nutzerkonten:

  • Gastnutzer haben kein Passwort. Gastnutzer werden zur Anmeldung automatisch zu ihrem Home-Mandanten oder zum externen Identitätsanbieter (IdP) weitergeleitet, von dem sie eingeladen wurden.
  • Der User Principal Name (UPN) des Gastnutzerkontos verwendet ein Präfix, das von der E-Mail-Adresse des eingeladenen Nutzers abgeleitet ist, und mit der Anfangsdomain des Mandanten, z. B. prefix#EXT#@tenant.onmicrosoft.com, kombiniert wird.
  • Wenn Sie einen Nutzer von einem anderen Microsoft Entra ID-Mandanten einladen und der Nutzer später in seinem Home-Mandanten gelöscht wird, bleibt das Gastnutzerkonto in Ihrem Microsoft Entra ID-Mandanten aktiv.

Diese Unterschiede wirken sich auf die Konfiguration der Nutzerbereitstellung und Einmalanmeldung aus:

  • Da onmicrosoft.com eine Microsoft-DNS-Domain ist, können Sie tenant.onmicrosoft.com nicht als sekundäre Domain zu Ihrem Cloud Identity- oder Google Workspace-Konto hinzufügen. Dieser Vorbehalt bedeutet, dass Sie den UPN des Gastnutzers nicht als primäre E-Mail-Adresse verwenden können, wenn Sie den Nutzer in Cloud Identity oder Google Workspace bereitstellen.

    Wenn Sie Gastnutzer für Cloud Identity oder Google Workspace bereitstellen möchten, müssen Sie eine Zuordnung einrichten, mit der der UPN des Gastnutzers in eine Domain umgewandelt wird, die von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.

    In diesem Dokument richten Sie eine UPN-Zuordnung wie in der folgenden Tabelle angegeben ein.

    Ursprünglicher UPN in Microsoft Entra ID Primäre E-Mail-Adresse in Cloud Identity oder Google Workspace
    Normaler Nutzer alice@example.com alice@example.com
    Microsoft Entra ID-Gast charlie@altostrat.com charlie_altostrat.com@example.com
    Externer Gast user@hotmail.com user_hotmail.com@example.com
  • Wenn ein Nutzer im Home-Mandanten gelöscht wird, sperrt Microsoft Entra ID den entsprechenden Nutzer nicht in Cloud Identity oder Google Workspace. Dies stellt ein Sicherheitsrisiko dar: Obwohl jeder Versuch, die Einmalanmeldung für einen solchen Nutzer zu verwenden, fehlschlägt, bleiben bestehende Browsersitzungen und Aktualisierungstokens (auch solche, die mit dem Google Cloud CLI verwendet werden) Tage oder Wochen aktiv, sodass der Nutzer weiter auf Ressourcen zugreifen kann.

    Mit dem in diesem Dokument beschriebenen Ansatz können Sie dieses Risiko mindern, indem Sie Gastnutzer in einer eigenen Organisationseinheit in Cloud Identity oder Google Workspace bereitstellen und eine Richtlinie anwenden, die die Sitzungsdauer auf 8 Stunden begrenzt. Mit der Richtlinie wird gewährleistet, dass Browsersitzungen und vorhandene Aktualisierungstokens nach höchstens 8 Stunden, nachdem der Nutzer in seinem Home-Mandanten gelöscht wurde, ungültig werden. Dadurch wird der gesamte Zugriff aufgehoben. Der Nutzer in Cloud Identity oder Google Workspace bleibt jedoch aktiv, bis Sie den Gastnutzer aus Ihrem Microsoft Entra ID-Konto löschen.

Cloud Identity- oder Google Workspace-Konto vorbereiten

Erstellen Sie in Ihrem Cloud Identity- oder Google Workspace-Konto eine Organisationseinheit, für die alle Gastnutzer bereitgestellt werden.

  1. Rufen Sie die Admin-Konsole auf und melden Sie sich mit dem Super Admin-Nutzer an, der bei der Registrierung für Cloud Identity oder Google Workspace erstellt wurde.
  2. Klicken Sie im Menü auf Verzeichnis > Organisationseinheiten.
  3. Klicken Sie auf Organisationseinheit erstellen und geben Sie einen Namen und eine Beschreibung für die Organisationseinheit an:
    1. Name der Organisationseinheit: guests
    2. Beschreibung: Microsoft Entra B2B guest users
  4. Klicken Sie auf Erstellen.

Wenden Sie eine Richtlinie auf die Organisationseinheit an, die die Sitzungsdauer auf 8 Stunden begrenzt. Die Sitzungslänge gilt nicht nur für Browsersitzungen, sondern begrenzt auch die Lebensdauer der OAuth-Aktualisierungstokens.

  1. Gehen Sie in der Admin-Konsole zu Sicherheit > Zugriffs- und Datenkontrolle > Google Cloud-Sitzungssteuerung.
  2. Wählen Sie Gäste als Organisationseinheit aus und wenden Sie die folgenden Einstellungen an:

    • Authentifizierungsrichtlinie: Erneute Authentifizierung erforderlich
    • Häufigkeit der erneuten Authentifizierung: 8 Stunden.

      Mit dieser Dauer legen Sie fest, wie lange ein Gastnutzer nach der Sperrung in Microsoft Entra ID möglicherweise noch auf Google Cloud-Ressourcen zugreifen kann.

    • Methode zur erneuten Authentifizierung: Passwort.

      Mit dieser Einstellung wird sichergestellt, dass Nutzer sich nach Ablauf einer Sitzung noch einmal mit Microsoft Entra ID authentifizieren müssen.

  3. Klicken Sie auf Überschreiben.

Bereitstellung von Microsoft Entra ID konfigurieren

Sie können nun Ihre Microsoft Entra ID-Konfiguration anpassen, um die Bereitstellung von B2B-Gastnutzern zu unterstützen.

  1. Klicken Sie im Azure-Portal auf Microsoft Entra ID > Unternehmensanwendungen.
  2. Wählen Sie die Unternehmensanwendung Google Cloud (Provisioning) aus, die Sie für die Nutzerbereitstellung verwenden.
  3. Klicken Sie auf Manage > Provisioning.
  4. Klicken Sie auf Edit provisioning.
  5. Klicken Sie unter Zuordnungen auf Microsoft Entra ID-Nutzer bereitstellen.
  6. Wählen Sie die Zeile userPrincipalName aus.
  7. Übernehmen Sie im Dialogfeld Edit Attribute die folgenden Änderungen:

    1. Mapping type: Ändern Sie den Wert von Direct in Expression.
    2. Expression:

      Replace([originalUserPrincipalName], "#EXT#@TENANT_DOMAIN", , , "@PRIMARY_DOMAIN", , )

      Ersetzen Sie Folgendes:

      • TENANT_DOMAIN: die .onmicrosoft.com-Domain Ihres Microsoft Entra ID-Mandanten, z. B. tenant.onmicrosoft.com.
      • PRIMARY_DOMAIN: Der primäre Domainname, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird, z. B. example.org.
  8. Klicken Sie auf OK.

  9. Wählen Sie Add new mapping aus.

  10. Konfigurieren Sie im Dialogfeld Edit Attribute die folgenden Einstellungen:

    1. Mapping type: Expression.
    2. Expression:

      IIF(Instr([originalUserPrincipalName], "#EXT#", , )="0", "/", "/guests")

    3. Target attribute: OrgUnitPath

  11. Klicken Sie auf OK.

  12. Klicken Sie auf Speichern.

  13. Klicken Sie auf Yes, um zu bestätigen, dass das Speichern der Änderungen dazu führt, dass Nutzer und Gruppen neu synchronisiert werden.

  14. Schließen Sie das Dialogfeld Attribute Mapping.

Microsoft Entra ID für Einmalanmeldung (SSO) konfigurieren

Damit Gastnutzer sich mit einer Einmalanmeldung authentifizieren können, erweitern Sie nun Ihre vorhandene Microsoft Entra ID-Konfiguration. Dadurch können Sie die Einmalanmeldung für Gäste aktivieren:

  1. Klicken Sie im Azure-Portal auf Microsoft Entra ID > Unternehmensanwendungen.
  2. Wählen Sie die Unternehmensanwendung Google Cloud aus, die Sie für die Einmalanmeldung verwenden.
  3. Klicken Sie auf Manage > Single Sign-on.
  4. Klicken Sie im Auswahlbildschirm auf die Karte SAML.
  5. Klicken Sie auf der Karte User Attributes & Claims auf Edit.
  6. Wählen Sie die Zeile Unique User Identifier (Name ID) aus.
  7. Wählen Sie Claim conditions aus.
  8. Fügen Sie eine bedingte Anforderung für externe Gäste hinzu:
    • User type: External guests
    • Source: Transformation
    • Transformation: RegexReplace()
    • Parameter 1: Attribut
    • Attribut: user.userprincipalname
    • Regex-Muster: (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$
    • Ersatzmuster: {username}@PRIMARY_DOMAIN, wobei PRIMARY_DOMAIN der primäre Domainname ist, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.
  9. Klicken Sie auf Hinzufügen.
  10. Fügen Sie eine bedingte Anforderung für Microsoft Entra ID-Gäste aus verschiedenen Mandanten hinzu:

    • Nutzertyp: Microsoft Entra-Gäste
    • Source: Transformation
    • Transformation: RegexReplace()
    • Parameter 1: Attribut
    • Attribut: user.localuserprincipalname

    • Regex-Muster: (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$

    • Ersatzmuster: {username}@PRIMARY_DOMAIN, wobei PRIMARY_DOMAIN der primäre Domainname ist, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.

  11. Klicken Sie auf Hinzufügen.

  12. Fügen Sie für normale Microsoft Entra ID-Nutzer eine bedingte Anforderung hinzu:

    • User type: Members
    • Source: Attribute
    • Value: user.userprincipalname
  13. Klicken Sie auf Speichern.

Einmalanmeldung (SSO) testen

Wenn Sie prüfen möchten, ob die Konfiguration ordnungsgemäß funktioniert, benötigen Sie drei Testnutzer in Ihrem Microsoft Entra ID-Mandanten:

  • Einen normalen Nutzer von Microsoft Entra ID.
  • Einen Microsoft Entra ID-Gastnutzer. Dies ist ein Nutzer, der von einem anderen Microsoft Entra ID-Mandanten eingeladen wurde.
  • Einen externen Gastnutzer. Dies ist ein Nutzer, der mit einer Nicht-Microsoft Entra ID-E-Mail-Adresse wie einer @hotmail.com-Adresse eingeladen wurde.

Für jeden Nutzer führen Sie den folgenden Test durch:

  1. Öffnen Sie ein neues Inkognitofenster im Browser und rufen Sie die Seite https://console.cloud.google.com/ auf.
  2. Geben Sie auf der angezeigten Google-Anmeldeseite die E-Mail-Adresse des Nutzers ein, wie sie in der Spalte Primäre E-Mail-Adresse in Cloud Identity oder Google Workspace der vorherigen Tabelle angegeben wird. In dieser Tabelle sehen Sie, wie die E-Mail-Adresse in Cloud Identity oder Google Workspace vom User Principal Name abgeleitet wird.

    Sie werden zu Microsoft Entra ID weitergeleitet, wo eine weitere Anmeldeaufforderung angezeigt wird.

  3. Geben Sie in der Anmeldeaufforderung den UPN des Nutzers ein und folgen Sie der Anleitung zur Authentifizierung.

    Nach erfolgreicher Authentifizierung werden Sie von Microsoft Entra ID zurück zu Google Log-in weitergeleitet. Da Sie sich zum ersten Mal mit diesem Nutzer angemeldet haben, werden Sie aufgefordert, die Nutzungsbedingungen und die Datenschutzerklärung von Google zu akzeptieren.

  4. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Akzeptieren.

    Sie werden zur Google Cloud Console weitergeleitet. Dort werden Sie aufgefordert, die Einstellungen zu bestätigen und die Nutzungsbedingungen von Google Cloud zu akzeptieren.

  5. Wenn Sie den Bedingungen zustimmen, wählen Sie Ja und klicken Sie auf Zustimmen und Fortfahren.

  6. Klicken Sie auf das Avatarsymbol und dann auf Abmelden.

    Sie werden auf eine Microsoft Entra-ID-Seite weitergeleitet, auf der die Abmeldung bestätigt wird.

Nächste Schritte