Nutzerverwaltung und Einmalanmeldung (SSO) für Microsoft Entra ID (früher Azure AD)

Cloud Identity- oder Google Workspace-Konto vorbereiten

Nutzer für Microsoft Entra ID erstellen

Damit Microsoft Entra ID auf Ihr Cloud Identity- oder Google Workspace-Konto zugreifen kann, müssen Sie in Ihrem Cloud Identity- oder Google Workspace-Konto einen Nutzer für Microsoft Entra ID erstellen.

Der Microsoft Entra ID-Nutzer ist nur für die automatisierte Nutzerverwaltung vorgesehen. Daher sollten Sie es von anderen Nutzerkonten getrennt halten, indem Sie es in einer separaten Organisationseinheit platzieren. Durch die Verwendung einer separaten Organisationseinheit wird außerdem sichergestellt, dass Sie später die Einmalanmeldung für den Microsoft Entra ID-Nutzer deaktivieren können.

So erstellen Sie eine neue Organisationseinheit:

1. Rufen Sie die Admin-Konsole auf und melden Sie sich mit dem Super Admin-Nutzer an, der bei der Registrierung für Cloud Identity oder Google Workspace erstellt wurde.
2. Klicken Sie im Menü auf Verzeichnis > Organisationseinheiten.
3. Klicken Sie auf Organisationseinheit erstellen und geben Sie einen Namen und eine Beschreibung für die Organisationseinheit an:
   • Name: Automation
   • Beschreibung: Automation users
4. Klicken Sie auf Erstellen.

Erstellen Sie ein Nutzerkonto für Microsoft Entra ID und legen Sie es in der Organisationseinheit Automation ab:

1. Rufen Sie im Menü Verzeichnis > Nutzer auf und klicken Sie auf Neuen Nutzer hinzufügen, um einen Nutzer zu erstellen.

2. Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:

   • Vorname: Microsoft Entra ID
   • Nachname: Provisioning

   • Primäre E-Mail-Adresse: azuread-provisioning

     Behalten Sie die primäre Domain für die E-Mail-Adresse bei.

3. Klicken Sie auf Passwort, Organisationseinheit und Profilbild verwalten und konfigurieren Sie die folgenden Einstellungen:

   • Organisationseinheit: Wählen Sie die Organisationseinheit Automation aus, die Sie zuvor erstellt haben.
   • Passwort: Wählen Sie Passwort erstellen aus und geben Sie ein Passwort ein.
   • Bei nächster Anmeldung zur Passwortänderung auffordern: Deaktiviert.

4. Klicken Sie auf Neuen Nutzer hinzufügen.

5. Klicken Sie auf Fertig.

Berechtigungen für Microsoft Entra ID zuweisen

Damit Microsoft Entra ID Nutzer und Gruppen in Ihrem Cloud Identity- oder Google Workspace-Konto erstellen, auflisten und sperren kann, müssen Sie dem azuread-provisioning-Nutzer zusätzliche Berechtigungen erteilen:

• Damit Microsoft Entra ID alle Nutzer verwalten kann, einschließlich delegierter Administratoren und Super Admin-Nutzer, müssen Sie den azuread-provisioning-Nutzer zu einem Super Admin machen.

• Damit Microsoft Entra ID nur Nutzer ohne Administratorberechtigungen verwalten kann, reicht es aus, den azuread-provisioning-Nutzer zu einem delegierten Administrator zu machen. Als delegierter Administrator kann Microsoft Entra ID keine anderen delegierten Administratoren oder Super Admin-Nutzer verwalten.

Domains registrieren

In Cloud Identity und Google Workspace werden Nutzer und Gruppen anhand ihrer E-Mail-Adresse identifiziert. Die von diesen E-Mail-Adressen verwendeten Domains müssen dafür registriert und bestätigt werden.

Erstellen Sie eine Liste der DNS-Domains, die Sie registrieren müssen:

• Wenn Sie Nutzer nach UPN zuordnen möchten, fügen Sie der Liste alle von UPNs verwendeten Domains hinzu. Fügen Sie im Zweifelsfall alle benutzerdefinierten Domains des Microsoft Entra ID-Mandanten hinzu.
• Wenn Sie Nutzer nach E-Mail-Adresse zuordnen möchten, fügen Sie alle in E-Mail-Adressen verwendeten Domains hinzu. Die Liste der Domains unterscheidet sich möglicherweise von der Liste der benutzerdefinierten Domains des Microsoft Entra ID-Mandanten.

Wenn Sie Gruppen verwalten möchten, ergänzen Sie die Liste der DNS-Domains:

• Wenn Sie Gruppen nach E-Mail-Adresse zuordnen möchten, fügen Sie alle Domains hinzu, die in den E-Mail-Adressen der Gruppe verwendet werden. Fügen Sie im Zweifelsfall alle benutzerdefinierten Domains des Microsoft Entra ID-Mandanten hinzu.
• Wenn Sie Gruppen nach Namen zuordnen möchten, fügen Sie eine dedizierte Subdomain wie groups.PRIMARY_DOMAIN hinzu. Dabei ist PRIMARY_DOMAIN der primäre Domainname Ihres Cloud Identity- oder Google Workspace-Kontos.

Nachdem Sie nun die Liste der DNS-Domains ermittelt haben, können Sie alle fehlenden Domains registrieren. Führen Sie für jede Domain in der Liste, die noch nicht registriert ist, die folgenden Schritte aus:

1. Wählen Sie in der Admin-Konsole Konto > Domains > Domains verwalten aus.
2. Klicken Sie auf Domains hinzufügen oder entfernen.
3. Klicken Sie auf Domain hinzufügen.
4. Geben Sie den Domainnamen ein und wählen Sie Sekundäre Domain aus.
5. Klicken Sie auf Domain hinzufügen und Bestätigung starten und folgen Sie der Anleitung, um die Inhaberschaft der Domain zu bestätigen.

Nutzerverwaltung für Microsoft Entra ID konfigurieren

Unternehmensanwendung erstellen

Sie können jetzt Microsoft Entra ID mit Ihrem Cloud Identity- oder Google Workspace-Konto verbinden. Richten Sie dazu die Gallery-Anwendung Google Cloud/G Suite Connector von Microsoft aus dem Microsoft Azure Marketplace ein.

Die Gallery App kann sowohl für die Nutzerverwaltung als auch für die Einmalanmeldung konfiguriert werden. In diesem Dokument verwenden Sie zwei Instanzen der Gallery-Anwendung: eine für die Nutzerverwaltung und eine für die Einmalanmeldung.

Erstellen Sie zuerst eine Instanz der Gallery App für die Nutzerverwaltung:

1. Öffnen Sie das Azure-Portal und melden Sie sich als Nutzer mit globalen Administratorberechtigungen an.
2. Wählen Sie Microsoft Entra ID > Unternehmensanwendungen aus.
3. Klicken Sie auf Neue Anwendung.
4. Suchen Sie nach Google Cloud und klicken Sie dann in der Ergebnisliste auf Google Cloud/G Suite Connector von Microsoft.
5. Legen Sie den Namen der Anwendung auf Google Cloud (Provisioning) fest.
6. Klicken Sie auf Erstellen.
7. Das Hinzufügen der Anwendung kann einige Sekunden dauern. Anschließend werden Sie auf eine Seite namens Google Cloud (Provisioning) – Overview (Google Cloud (Bereitstellung) – Übersicht) weitergeleitet.
8. Klicken Sie im Menü links auf Verwalten > Attribute:
   1. Geben Sie für Enabled for users to sign-in (Für Nutzer zur Anmeldung aktiviert) No (Nein) an.
   2. Geben Sie für User assignment required (Nutzerzuweisung erforderlich) No (Nein) an.
   3. Wählen Sie für Visible to users (Für Nutzer sichtbar) No (Nein) aus.
   4. Klicken Sie auf Speichern.
9. Klicken Sie im Menü links auf Verwalten > Bereitstellung:
   1. Klicken Sie auf Jetzt starten.
   2. Ändern Sie Provisioning Mode (Bereitstellungsmodus) in Automatic (Automatisch).
   3. Klicken Sie auf Administrator-Anmeldedaten > Autorisieren.
   4. Melden Sie sich mit dem zuvor erstellten Nutzer azuread-provisioning@DOMAIN an. Dabei ist DOMAIN die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos.
   5. Da Sie sich zum ersten Mal mit diesem Nutzer anmelden, werden Sie aufgefordert, die Nutzungsbedingungen und die Datenschutzerklärung von Google zu akzeptieren.
   6. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Ich habe verstanden.
   7. Bestätigen Sie den Zugriff auf die Cloud Identity API. Klicken Sie dazu auf Zulassen.
   8. Klicken Sie auf Verbindung testen, um zu prüfen, ob sich Microsoft Entra ID bei Cloud Identity oder Google Workspace erfolgreich authentifizieren kann.
   9. Klicken Sie auf Speichern.

Nutzerverwaltung konfigurieren

Die richtige Methode zum Konfigurieren der Nutzerverwaltung hängt davon ab, ob Sie Nutzer nach E-Mail-Adresse oder nach UPN zuordnen möchten.

Sie müssen Zuordnungen für primaryEmail, name.familyName, name.givenName und suspended konfigurieren. Alle anderen Attributzuordnungen sind optional.

Beachten Sie beim Konfigurieren zusätzlicher Attributzuordnungen Folgendes:

• In der Galerie Google Cloud/G Suite Connector von Microsoft können Sie derzeit keine E-Mail-Aliasse zuweisen.
• In der Galerie Google Cloud/G Suite Connector von Microsoft können Sie Nutzern derzeit keine Lizenzen zuweisen. Als Behelfslösung können Sie die automatische Lizenzierung für Organisationseinheiten einrichten.
• Wenn Sie einen Nutzer einer Organisationseinheit zuweisen möchten, fügen Sie eine Zuordnung für OrgUnitPath hinzu. Der Pfad muss mit einem /-Zeichen beginnen und muss auf eine Organisationseinheit verweisen, die bereits vorhanden ist, z. B. /employees/engineering.

Nutzerverwaltung für Gruppen konfigurieren

Die richtige Methode zum Konfigurieren der Nutzerverwaltung für Gruppen hängt davon ab, ob Ihre Gruppen für E-Mails aktiviert sind. Wenn Gruppen nicht für E-Mails aktiviert sind oder Gruppen eine E-Mail-Adresse verwenden, die mit "onmicrosoft.com" endet, können Sie eine E-Mail-Adresse aus dem Namen der Gruppe ableiten.

Nutzerzuweisung konfigurieren

Wenn Sie wissen, dass nur eine bestimmte Teilmenge von Nutzern Zugriff auf Google Cloud benötigt, können Sie optional die Menge der einzurichtenden Nutzer beschränken. In diesem Fall weisen Sie die Unternehmensanwendung nur bestimmten Nutzern oder Nutzergruppen zu.

Wenn Sie alle Nutzer in die Nutzerverwaltung einbeziehen möchten, überspringen Sie die folgenden Schritte.

1. Klicken Sie im Menü links auf Verwalten > Nutzer und Gruppen.
2. Klicken Sie auf Nutzer hinzufügen.
3. Wählen Sie Nutzer aus.
4. Wählen Sie die Nutzer oder Gruppen aus, die Sie in die Nutzerverwaltung einbeziehen möchten. Wenn Sie eine Gruppe auswählen, werden alle Mitglieder dieser Gruppe automatisch einbezogen.
5. Klicken Sie auf Select (Auswählen).
6. Klicken Sie auf Assign (Zuweisen).

Automatische Nutzerverwaltung aktivieren

Im nächsten Schritt konfigurieren Sie Microsoft Entra ID, um Nutzer automatisch für Cloud Identity oder Google Workspace zu verwalten:

1. Klicken Sie im Menü links auf Verwalten > Bereitstellung.
2. Wählen Sie Nutzerverwaltung bearbeiten aus.
3. Setzen Sie den Bereitstellungsstatus auf Ein.

4. Legen Sie unter Einstellungen eine der folgenden Optionen für Bereich fest:

   1. Sync only assigned users and groups (Nur zugewiesene Nutzer und Gruppen synchronisieren), wenn Sie die Nutzerzuweisung konfiguriert haben.
   2. Sync all users and groups (Alle Nutzer und Gruppen synchronisieren) in allen anderen Fällen.

   Wenn das Feld zum Festlegen des Bereichs nicht angezeigt wird, klicken Sie auf Save (Speichern) und aktualisieren Sie die Seite.

5. Klicken Sie auf Speichern.

Microsoft Entra ID startet eine erste Synchronisierung. Je nach Anzahl der Nutzer und Gruppen im Verzeichnis kann dieser Vorgang mehrere Minuten oder Stunden dauern. Aktualisieren Sie die Browserseite, um den Status der Synchronisierung am unteren Seitenrand anzeigen zu lassen, oder wählen Sie Audit-Logs im Menü aus, um weitere Details aufzurufen.

Nach der ersten Synchronisierung gibt Microsoft Entra ID dann regelmäßig Updates von Microsoft Entra ID an Ihr Cloud Identity- oder Google Workspace-Konto weiter. Weitere Informationen dazu, wie Microsoft Entra ID Nutzer- und Gruppenänderungen verarbeitet, finden Sie unter Nutzerlebenszyklus zuordnen und Gruppenlebenszyklus zuordnen.

Fehlerbehebung

Wenn die Synchronisierung nicht innerhalb von fünf Minuten startet, können Sie den Start mit folgenden Schritten erzwingen:

1. Setzen Sie den Provisioning Status (Bereitstellungsstatus) auf Off (Aus).
2. Klicken Sie auf Speichern.
3. Setzen Sie den Bereitstellungsstatus auf Ein.
4. Klicken Sie auf Speichern.
5. Klicken Sie auf das Kästchen Bereitstellung neu starten.
6. Klicken Sie auf Speichern.
7. Bestätigen Sie den Neustart der Synchronisierung, indem Sie auf Yes (Ja) klicken.

Wenn die Synchronisierung noch nicht startet, klicken Sie auf Test Connection (Verbindung testen), um zu überprüfen, ob Ihre Anmeldeinformationen erfolgreich gespeichert wurden.

Microsoft Entra ID für Einmalanmeldung (SSO) konfigurieren

Alle relevanten Microsoft Entra ID-Nutzer werden jetzt automatisch in Cloud Identity oder Google Workspace bereitgestellt, können aber noch nicht zum Anmelden verwendet werden. Damit Nutzer sich anmelden können, müssen Sie die Einmalanmeldung (SSO) konfigurieren.

Unternehmensanwendung erstellen

Erstellen Sie eine zweite Unternehmensanwendung für die Einmalanmeldung (SSO).

1. Klicken Sie im Azure-Portal auf Microsoft Entra ID > Unternehmensanwendungen.
2. Klicken Sie auf Neue Anwendung.
3. Suchen Sie nach Google Cloud und klicken Sie dann in der Ergebnisliste auf Google Cloud/G Suite Connector von Microsoft.
4. Legen Sie den Namen der Anwendung auf Google Cloud fest.

5. Klicken Sie auf Hinzufügen.

   Das Hinzufügen der Anwendung kann einige Sekunden dauern. Sie werden dann auf die Seite Google Cloud – Overview (Google Cloud Platform – Übersicht) weitergeleitet.

6. Klicken Sie im Menü links auf Verwalten > Attribute:

7. Geben Sie für Enabled for users to sign-in (Für Nutzer zur Anmeldung aktiviert) Yes (Ja) an.

8. Geben Sie für User assignment required (Nutzerzuweisung erforderlich) Yes (Ja) an, damit die Einmalanmeldung (SSO) nicht für alle Nutzer zulässig ist.

9. Klicken Sie auf Speichern.

Nutzerzuweisung konfigurieren

Wenn Sie bereits wissen, dass nur eine bestimmte Teilmenge von Nutzern Zugriff auf Google Cloud benötigt, können Sie optional die Menge der Nutzer beschränken, die sich anmelden können. In diesem Fall weisen Sie die Unternehmensanwendung nur bestimmten Nutzern oder Nutzergruppen zu.

Wenn Sie für User assignment required (Nutzerzuweisung erforderlich) No (Nein) angeben, können Sie die folgenden Schritte überspringen.

1. Klicken Sie im Menü links auf Verwalten > Nutzer und Gruppen.
2. Klicken Sie auf Nutzer hinzufügen.
3. Wählen Sie Users and groups/None Selected (Nutzer und Gruppen/Keine ausgewählt) aus.
4. Wählen Sie die Nutzer oder Gruppen aus, für die Sie die Einmalanmeldung (SSO) zulassen möchten.
5. Klicken Sie auf Select (Auswählen).
6. Klicken Sie auf Assign (Zuweisen).

SAML-Einstellungen konfigurieren

Damit Cloud Identity Microsoft Entra ID für die Authentifizierung verwenden kann, müssen Sie die folgenden Einstellungen anpassen:

1. Klicken Sie im Menü links auf Verwalten > Einmalanmeldung (SSO).
2. Klicken Sie im Auswahlbildschirm auf die Karte SAML.
3. Klicken Sie in der Karte SAML-Basiskonfiguration auf edit Bearbeiten.
4. Geben Sie im Dialogfeld Basic SAML Configuration (SAML-Basiskonfiguration) die folgenden Einstellungen ein:
   1. ID (Entitäts-ID): google.com
   2. Antwort-URL: https://www.google.com/
   3. Registrierungs-URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, wobei PRIMARY_DOMAIN der primäre Domainname ist, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.
5. Klicken Sie auf Speichern und schließen Sie das Dialogfeld. Klicken Sie dazu auf X.
6. Suchen Sie auf der Karte SAML-Signaturzertifikat den Eintrag Zertifikat (Base 64) und klicken Sie auf Herunterladen, um das Zertifikat auf Ihren lokalen Computer herunterzuladen.
7. Suchen Sie auf der Karte Google Cloud Platform einrichten nach Anmelde-URL. Sie benötigen diese URL demnächst.

Die verbleibenden Schritte unterscheiden sich je nachdem, ob Sie Nutzer nach E-Mail-Adresse oder nach UPN zuordnen.

Cloud Identity oder Google Workspace für die Einmalanmeldung (SSO) konfigurieren

Nachdem Sie nun Microsoft Entra ID für die Einmalanmeldung (SSO) vorbereitet haben, können Sie die Einmalanmeldung (SSO) in Ihrem Cloud Identity- oder Google Workspace-Konto aktivieren:

1. Öffnen Sie die Admin-Konsole und melden Sie sich mit einem Super Admin-Nutzer an.
2. Klicken Sie im Menü auf Mehr anzeigen und gehen Sie zu Sicherheit > Authentifizierung > SSO mit externem IdP.

3. Klicken Sie auf SSO-Profil hinzufügen.

4. Setzen Sie Einmalanmeldung (SSO) mit Identität durch Drittanbieter einrichten auf Aktiviert.

5. Geben Sie die folgenden Einstellungen ein:

   1. Anmeldeseiten-URL: Geben Sie die URL für die Microsoft Entra ID-Anmeldung ein. Die Anmelde-URL befindet sich im Azure-Portal unter Konfigurations-URLs > Anmelde-URL auf der Karte Google Cloud Platform einrichten.
   2. URL für Abmeldeseite: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
   3. Passwort-URL ändern: https://account.activedirectory.windowsazure.com/changepassword.aspx

6. Klicken Sie unter Bestätigungszertifikat auf Zertifikat hochladen und wählen Sie das Tokensignaturzertifikat aus, das Sie zuvor heruntergeladen haben.

7. Klicken Sie auf Speichern.

Aktualisieren Sie die SSO-Einstellungen für die Organisationseinheit Automation, um die Einmalanmeldung zu deaktivieren:

1. Klicken Sie unter SSO-Profilzuweisungen verwalten auf Jetzt starten.
2. Maximieren Sie Organisationseinheiten und wählen Sie die Organisationseinheit Automation aus.
3. Ändern Sie die Zuweisung des SSO-Profils vom SSO-Profil des Drittanbieters für die Organisation zu Keine.
4. Klicken Sie auf Überschreiben.

Das Microsoft Entra ID-Tokensignaturzertifikat ist für eine begrenzte Zeit gültig. Sie müssen das Zertifikat rotieren, bevor es abläuft. Weitere Informationen finden Sie weiter unten in diesem Dokument unter SSO-Zertifikat rotieren.

Um zu vermeiden, dass Nutzer vom Ablauf des Zertifikats überrascht werden, konfigurieren Sie Microsoft Entra ID zum Senden von Benachrichtigungs-E-Mails vor Ablauf des Zertifikats.

Einmalanmeldung (SSO) testen

Sie haben jetzt die Konfiguration der Einmalanmeldung (SSO) sowohl in Microsoft Entra ID als auch in Cloud Identity oder Google Workspace abgeschlossen und haben nun zwei Optionen, um auf Google Cloud zuzugreifen:

• Über eine der Anwendungen, die im Microsoft Office-Portal aufgeführt sind
• Direkt durch Öffnen von https://console.cloud.google.com/

Führen Sie den folgenden Test aus, um zu prüfen, ob die zweite Option wie beabsichtigt funktioniert:

1. Wählen Sie einen Microsoft Entra ID-Nutzer aus, der in Cloud Identity oder Google Workspace bereitgestellt wurde und dem keine Super Admin-Rechte zugewiesen wurden. Nutzer mit Super Admin-Berechtigungen müssen sich immer mit Google-Anmeldedaten anmelden und eignen sich daher nicht zum Testen der Einmalanmeldung (SSO).
2. Öffnen Sie ein neues Browserfenster und rufen Sie https://console.cloud.google.com/ auf.

3. Geben Sie auf der angezeigten Google Log-in-Seite die E-Mail-Adresse des Nutzers ein und klicken Sie auf Weiter. Wenn Sie die Domainersetzung verwenden, muss es sich bei dieser Adresse um die E-Mail-Adresse handeln, auf die die Ersetzung angewendet wird.

   

4. Sie werden zu Microsoft Entra ID weitergeleitet und sehen eine weitere Aufforderung zur Anmeldung. Geben Sie die E-Mail-Adresse des Nutzers ohne Domainersetzung ein und klicken Sie auf Weiter.

   

5. Nach der Eingabe Ihres Passworts werden Sie gefragt, ob Sie angemeldet bleiben möchten oder nicht. Wählen Sie Nein aus.

   Nach erfolgreicher Authentifizierung werden Sie von Microsoft Entra ID zurück zu Google Log-in weitergeleitet. Da Sie sich zum ersten Mal mit diesem Nutzer angemeldet haben, werden Sie aufgefordert, die Nutzungsbedingungen und die Datenschutzerklärung von Google zu akzeptieren.

6. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Ich habe verstanden.

   Sie werden zur Google Cloud Console weitergeleitet. Dort werden Sie aufgefordert, die Einstellungen zu bestätigen und die Nutzungsbedingungen von Google Cloud zu akzeptieren.

7. Wenn Sie den Bedingungen zustimmen, wählen Sie Ja und klicken Sie auf Zustimmen und Fortfahren.

8. Klicken Sie oben links auf der Seite auf das Avatarsymbol und anschließend auf Abmelden.

   Sie werden auf eine Microsoft Entra ID-Seite weitergeleitet, auf der die Abmeldung bestätigt wird.

Beachten Sie, dass Nutzer mit Super Admin-Berechtigungen von der Einmalanmeldung ausgenommen sind. Sie können über die Admin-Konsole jedoch weiterhin Einstellungen prüfen oder ändern.

SSO-Zertifikat rotieren

Das Microsoft Entra ID-Tokensignaturzertifikat ist nur einige Monate gültig. Sie müssen das Zertifikat ersetzen, bevor es abläuft.

Fügen Sie Microsoft Entra ID ein zusätzliches Zertifikat hinzu, um ein Signaturzertifikat zu rotieren:

1. Wechseln Sie im Azure-Portal zu Microsoft Entra ID > Unternehmensanwendungen und öffnen Sie die von Ihnen erstellte Anwendung für die Einmalanmeldung.
2. Klicken Sie im Menü links auf Verwalten > Einmalanmeldung (SSO).

3. Klicken Sie auf der Karte SAML-Signaturzertifikat auf edit Bearbeiten.

   Sie sehen eine Liste mit einem oder mehreren Zertifikaten. Ein Zertifikat ist als Aktiv gekennzeichnet.

4. Klicken Sie auf Neues Zertifikat.

5. Behalten Sie die Standardeinstellungen für die Signatur bei und klicken Sie auf Speichern.

   Das Zertifikat wird der Liste der Zertifikate hinzugefügt und ist als inaktiv markiert.

6. Wählen Sie das neue Zertifikat aus und klicken Sie auf more_horiz > Base64-Zertifikat herunterladen.

   Lassen Sie das Browserfenster geöffnet und schließen Sie das Dialogfeld nicht.

So verwenden Sie das neue Zertifikat:

1. Öffnen Sie eine neuen Tab im Browser oder ein neues Browserfenster.
2. Öffnen Sie die Admin-Konsole und melden Sie sich mit einem Super Admin-Nutzer an.
3. Klicken Sie im Menü auf Mehr anzeigen und gehen Sie zu Sicherheit > Authentifizierung > SSO mit externem IdP.
4. Klicken Sie auf SSO-Profil für Ihre Organisation.

5. Klicken Sie auf Zertifikat ersetzen und wählen Sie das neue Zertifikat aus, das Sie zuvor heruntergeladen haben.

6. Klicken Sie auf Speichern.

7. Kehren Sie zum Microsoft Entra ID-Portal und zum SAML-Signaturzertifikat zurück.

8. Wählen Sie das neue Zertifikat aus und klicken Sie auf more_horiz > Zertifikat aktivieren.

9. Klicken Sie auf Ja, um das Zertifikat zu aktivieren.

   Microsoft Entra ID verwendet jetzt das neue Signaturzertifikat.

10. Testen Sie, ob das SSO wie erwartet funktioniert. Weitere Informationen finden Sie unter Einmalanmeldung (SSO) testen.