/
  • Letztes Update
/
  • 11 min lesezeit

Konfigurieren von SSO mit Azure AD für Line-of-Business-Anwendungen

by Richelle Arevalo, IT Technical Writer   |  
übersetzt von Sila Willsch
Konfigurieren von SSO mit Azure AD für Line-of-Business-Apps Blog-Bannerbild

SSO über Azure AD (jetzt Microsoft Entra ID) ermöglicht es Benutzern, sich einmal mit ihren Azure AD-Anmeldedaten anzumelden, um auf interne und unternehmensinterne Anwendungen zuzugreifen, so dass sich die Benutzer nicht mehrere Benutzernamen merken oder sich wiederholt anmelden müssen. Dies verbessert die Benutzerfreundlichkeit, Sicherheit und Zugriffskontrolle in hybriden und Cloud-Umgebungen.

Azure SSO unterstützt eine breite Palette von Anwendungstypen, einschließlich moderner und älterer Systeme. Gängige Szenarien für LOB-Anwendungen sind:

  • Interne Webanwendungen (IIS-gehostet, .NET-basiert)
  • Benutzerdefinierte SaaS-Anwendungen
  • Vor-Ort-Anwendungen, die über Azure AD Application Proxy zugänglich sind
  • Ältere Anwendungen, die Header- oder Formular-basiertes SSO erfordern

Diese Anleitung führt Sie durch die Schritte zur Konfiguration von Azure SSO für diese Anwendungen.

Klicken Sie auf einen Schritt, um vorwärts zu springen
Schritt 1: Registrieren Sie die LOB-App in Azure AD
Schritt 2: Konfigurieren Sie SSO-Optionen basierend auf dem Anwendungstyp
Schritt 3: Azure AD-Anwendungsproxy einrichten (für On-Premise-Anwendungen)
Schritt 4: Konfigurieren Sie das Verhalten von SSO-Token auf Client-Geräten
Schritt 5: Richtlinien über GPO durchsetzen
Schritt 6: Automatisieren des Zugriffs und der Token-Validierung mit PowerShell

Schritte zur Verwaltung von SSO mit Azure AD für Line-of-Business (LOB) Anwendungen

Um Probleme bei der Einrichtung zu vermeiden und einen reibungslosen Ablauf zu gewährleisten, sollten Sie sich vergewissern, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie beginnen:

📌 Allgemeine Voraussetzungen:

  • Azure AD-Tenant mit Premium P1-Lizenz (erforderlich für Application Proxy oder Conditional Access)
  • Eine LOB-Anwendung, die entweder vor Ort oder in Azure gehostet wird
  • Domänenverbundene oder Azure AD-verbundene Endpunkte
  • Admin-Zugang zu Azure Portal und dem Anwendungsserver

Schritt 1: Registrieren Sie die LOB-App in Azure AD

In diesem Schritt wird eine Identität für Ihre Anwendung in Azure AD erstellt, damit sie sicher verwaltet werden kann. Nach der Registrierung erkennt Azure AD die Anwendung und kann ihr Token ausstellen.

  1. Öffnen Sie das Azure-Portal.
  2. Navigieren Sie zu Azure Active Directory > App-Registrierungen > Neue Registrierung.
  3. Geben Sie einen Namen für die App ein.
  4. Setzen Sie Redirect URI (z.B. https://app.domain.com/auth/callback) (Lesen Sie #1 in ⚠️ Dinge, auf die man achten sollte. )
  5. Klicken Sie auf Registrieren.
  6. Nach der Anmeldung:
    • Kopieren Sie die Application (client) ID.
    • Wählen Sie unter Authentication die Plattform aus und geben Sie Ihren Redirect URI ein.
    • Fügen Sie unter API-Berechtigungen Microsoft Graph-Berechtigungen hinzu: openidprofile und email.

💡 Was ist ein LOB in Azure?

Eine Line-of-Business-App (LOB) ist eine benutzerdefinierte oder interne App, die speziell für die Bedürfnisse eines Unternehmens entwickelt wurde. Sie werden häufig intern erstellt und nicht veröffentlicht.

Schritt 2: Konfigurieren Sie SSO-Optionen basierend auf dem Anwendungstyp

Jede Anwendung unterstützt eine andere Authentifizierungsmethode(SAML, OAuth2 oder OIDC). In diesem Schritt wird Azure AD mitgeteilt, welcher verwendet werden soll, damit sich die Benutzer problemlos anmelden können.

Für moderne Anwendungen (OIDC oder SAML)

  1. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > [Ihre App] > Single Sign-on.
  2. Wählen Sie:
    • SAML für Anwendungen, die SAML 2.0 unterstützen
    • OIDC (OpenID Connect) für Anwendungen, die mit modernen Identitätsanbietern erstellt wurden
  3. Konfigurieren Sie die erforderlichen Felder:
    • Identifikator (Entitäts-ID)
    • Antwort-URL (Assertion Consumer Service)
    • Anmelde-URL

(Lesen Sie #2 in ⚠️ Dinge, auf die man achten sollte. )

  1. Ordnen Sie Benutzer oder Gruppen unter der Registerkarte Benutzer und Gruppen zu.

Für Legacy- oder Header-basierte Anwendungen

Verwenden Sie Azure AD Application Proxy mit Vorauthentifizierung (siehe Schritt 3).

💡 Was ist SSO in Azure?

Single Sign-On (SSO) in Azure ist eine Funktion, die es Benutzern ermöglicht, mit einer einzigen Anmeldung auf mehrere Anwendungen zuzugreifen. Es vereinfacht die Authentifizierung und stärkt die Sicherheit durch die Zentralisierung der Identitätsverwaltung.

Schritt 3: Azure AD Application Proxy einrichten (für On-Premise-Anwendungen)

Wenn Ihre Anwendung vor Ort gehostet wird, kann Azure AD sie nicht direkt erreichen. Application Proxy fungiert als sicherer Tunnel zwischen Azure und Ihrem internen Netzwerk. (Lesen Sie #3 in ⚠️ Dinge, auf die man achten sollte. )

📌 Voraussetzungen:

  • Ein Windows Server 2016+ innerhalb des Netzwerks
  • Der Application Proxy Connector ist auf diesem Server installiert

Instructions:

  1. Downloaden oder installieren Sie den Anwendungsproxy-Connector von Azure.
  2. Melden Sie sich mit einem Azure AD Global Admin-Konto an.
  3. Navigieren Sie im Azure Portal zu Azure AD > Enterprise Applications > + Add > On-premises application.
  4. Eintreten:

Verbindung validieren

  1. Drücken Sie Win + R, geben Sie cmd ein, und klicken Sie auf Enter , um die Eingabeaufforderung zu öffnen.
  2. Ausführen: netstat -ano  | findstr :443

Schritt 4: Konfigurieren Sie das Verhalten von SSO-Token auf Client-Geräten

Client-Geräte müssen wissen, wie SSO-Tokens zu handhaben sind (wie man sie anfordert, speichert und aktualisiert), wenn sie benötigt werden. In diesem Schritt konfigurieren Sie das Verhalten von SSO-Token auf Clientgeräten.

Nahtlose SSO- und Pass-Through-Authentifizierung ermöglichen

  1. Richten Sie Azure AD Connect ein, aktivieren Sie Seamless SSO, und optional Pass-through Authentication (PTA).
  2. Bestätigen Sie die Einrichtung in PowerShell: Get-AzureADSSOStatus

Registrierungsvalidierung (clientseitiges SSO-Token-Caching)

  1. Prüfen Sie die Token-Einstellungen in:

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Gemeinsame\Identität

Schlüssel wie EnableADAL oder Version können das moderne Authentifizierungsverhalten in Office-integrierten Anwendungen beeinflussen.

CMD-Prüfung (Anwesenheit des Tokens)

  1. Um Kerberos-Tickets zu prüfen oder zurückzusetzen, führen Sie aus: klist

Verwenden Sie klist purge , um alte Kerberos-Tickets zu löschen, wenn Probleme auftreten.

Schritt 5: Richtlinien über GPO durchsetzen

Um die Konsistenz zwischen Ihren Geräten zu gewährleisten, verwenden Sie Gruppenrichtlinien zur Steuerung des Kerberos-Verhaltens, der Token-Lebensdauer und der Browser-Kompatibilität. (Lesen Sie #4 in ⚠️ Dinge, auf die man achten sollte. )

Konfigurieren Sie Kerberos-Richtlinien

  1. Drücken Sie Win + R, geben Sie gpedit.msc ein, und klicken Sie auf Enter , um den Editor für lokale Gruppenrichtlinienzu starten.
  2. Navigieren Sie zu:

Computerkonfiguration > Verwaltungsvorlagen > System > Kerberos

stellen Sie sicher, dass die Zeitsynchronisierungs- und Kerberos-Einstellungen mit Ihren Authentifizierungsrichtlinien übereinstimmen.

Für browserbasierte Anwendungen (SSO über den Browser)

  1. Navigieren Sie zu:

Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internet-Systemsteuerung > Sicherheit Seite > Lokale Intranetzone

  1. Fügen Sie die URL der Anwendung mithilfe von PowerShell zu vertrauenswürdigen Sites hinzu:

Set-ItemProperty -Path „HKCU:\Software\Microsoft\Windows\
AktuelleVersion\Interneteinstellungen\ZoneMap\Domains\app.domain.com“ -Name https -Wert 1

  1. Verwenden Sie Browserrichtlinienvorlagen, um SSO in Edge oder Chrome zu erzwingen.

Schritt 6: Automatisieren des Zugriffs und der Token-Validierung mit PowerShell

PowerShell ist Ihr Toolkit für die Validierung von Token, die Automatisierung des Zugriffs und die Überprüfung, ob Ihre Einrichtung wie vorgesehen funktioniert.

📌 Voraussetzungen:

  • PowerShell installiert
  • Microsoft Graph API-Zugang (optional für Automatisierung)

Instructions:

  1. Drücken Sie Win + S, suchen Sie nach PowerShell, und wählen Sie Windows PowerShell aus den Ergebnissen.
  2. Führen Sie dieses Skript aus, um ein Token manuell anzufordern: (Lesen Sie #5 in ⚠️ Dinge, auf die man achten sollte. )
$mieterId = „ihre-mieter-id“
$clientId = „app-client-id“
$clientSecret = „Ihr Kundengeheimnis“
$scope = „https://graph.microsoft.com/.default“$body = @{

client_id = $clientId
bereich = $scope
client_secret = $clientSecret
grant_type = „client_credentials“

}

$tokenResponse = Invoke-RestMethod -Uri „https://login.microsoftonline.com/$tenantId/oauth2/v2.0/token“ -Method POST -Body $body

$token = $tokenResponse.access_token

$Token

Damit wird bestätigt, dass die Kommunikation zwischen den Anwendungen und der Zugriff auf das Dienstkonto korrekt funktionieren.

⚠️ Dinge, auf die man achten sollte

RisikenMögliche KonsequenzenKorrekturen
1. Registrierung der Anwendung mit einem falschen Redirect-URI oder PlattformtypDie Benutzer können sich nicht authentifizieren; Token-Anfragen schlagen fehl.Bearbeiten Sie die App-Registrierung: Azure AD > App-Registrierungen > [App] > Authentifizierung
2. Zuweisung von falschen oder fehlenden SAML/OIDC-MetadatenDer SSO-Handshake wird unterbrochen, was zu fehlgeschlagenen Anmeldungen führt.Aktualisieren oder laden Sie die korrekten Metadaten unter Enterprise Applications > Single Sign-on neu hoch.
3. Überspringen der Anwendungsproxy-Einrichtung für On-Premise-AnwendungenAzure AD kann die App nicht erreichen; SSO funktioniert extern nicht.Installieren Sie den Application Proxy Connector und konfigurieren Sie die Veröffentlichung von Anwendungen.
4. Überschreiben vorhandener GPO-Einstellungen bei der Durchsetzung von RichtlinienBricht bestehendes Browser- oder Authentifizierungsverhalten auf EndpunktenVorhandene GPO vor Änderungen exportieren; Rollback über Backup oder GPO-Versionskontrolle.
5. Verwendung einer falschen PowerShell-Syntax oder falscher Anmeldeinformationen für das Testen von TokenDer Token-Test schlägt fehl oder liefert irreführende Fehler.Überprüfen Sie Parameter und Geheimnisse, bevor Sie das Skript ausführen; testen Sie es zunächst in der Entwicklungsumgebung.

Zusätzliche Überlegungen

Sie können diese Empfehlungen berücksichtigen, um Ihre SSO-Konfiguration mit Azure AD für LOB-Anwendungen zu stärken, zu sichern und zu pflegen:

Durchsetzung von MFA und Gerätevertrauen (Conditional Access)

Verwenden Sie Conditional Access, um Multi-Faktor-Authentifizierung (MFA) zu verlangen und den Zugriff nur von vertrauenswürdigen oder konformen Geräten zu erlauben. Dadurch wird eine weitere Sicherheitsebene hinzugefügt und ein unbefugter Zugriff verhindert, selbst wenn Anmeldedaten oder Token gestohlen werden.

💡 Tipp: Lesen Sie Wie man bedingte Zugriffsrichtlinien in Azure AD konfiguriert.

Berechtigungen mit App-Rollen steuern

Anstatt allen Benutzern die gleichen Zugriffsrechte zu gewähren, sollten Sie mithilfe von App-Rollen festlegen, was die Benutzer innerhalb der LOB-App tun können. Weisen Sie Rollen wie Admin, Editor oder Viewer zu, um den Zugriff mit den geringsten Rechten durchzusetzen und Sicherheitsrisiken zu verringern.

SSO-Zustand überwachen

Verwenden Sie Azure AD-Anmeldeprotokolle, um zu überwachen, wer wann auf welche Anwendung zugegriffen hat, die Erfolgs- und Fehlerraten für Anmeldungen und MFA sowie potenzielle Sicherheitsbedenken. Dies hilft bei der Prüfung, Fehlersuche und Einhaltung von Vorschriften.

SSO-Kompatibilität über Intune erzwingen

Wenn Sie Microsoft Intune zur Verwaltung von Geräten verwenden, stellen Sie Konfigurationsprofile bereit, um Browsereinstellungen, anwendungsspezifische Richtlinien und Regeln zur Gerätekonformität anzuwenden. Dies trägt zu einem reibungslosen und konsistenten SSO-Erlebnis auf allen registrierten Geräten bei.

Fehlersuche

Im Folgenden finden Sie häufige Probleme, auf die Sie bei der Konfiguration von SSO mit Azure AD für LOB-Anwendungen stoßen können, sowie deren Ursachen und wie Sie diese beheben können:

AusgabeUrsacheAuflösung
SSO schlägt auf dem Client fehlDie Uhr des Geräts ist nicht mehr synchron, oder die Kerberos-Tickets sind abgelaufen oder beschädigt.Synchronisieren Sie die Systemzeit und verwenden Sie klist purge zum Löschen und Aktualisieren von Kerberos-Tickets.
App gibt 403 zurückDer Benutzer wurde der App in Azure AD nicht zugewiesen.Gehen Sie zu Unternehmensanwendungen > [Ihre App] > Benutzer und Gruppen, und weisen Sie den Benutzer oder die Gruppe zu.
Token nicht ausgegebenFalsche Redirect-URI oder Client-Geheimnis in der App-Registrierung.Bestätigen Sie den Redirect URI und das Client-Geheimnis unter App-Registrierungen > Authentifizierung/Zertifikate & Geheimnisse.
Die App unterstützt weder SAML noch OIDCDie Anwendung ist veraltet und bietet keine Unterstützung für moderne Authentifizierungsprotokolle.Verwenden Sie Azure AD Application Proxy mit Header-basiertem SSO, um einen sicheren Zugriff durch Azure AD-Vorauthentifizierung zu ermöglichen.

NinjaOne Dienstleistungen

NinjaOne unterstützt SSO-Implementierungen und die Überwachung von Client-Umgebungen durch:

Fernvalidierung

Remote-Ausführung von PowerShell-Skripten zur Überprüfung des Vorhandenseins von Token-Cache, Registrierungsschlüsseln und Netzwerkzugriff.

Einsatz der Politik

Pushing von GPO-äquivalenten Konfigurationen zur Durchsetzung von Browser-Kompatibilität und Kerberos-Authentifizierungseinstellungen.

SSO-Warnungen

Alarmierung bei Änderungen des Geräte- oder Anwendungsstatus im Zusammenhang mit SSO oder dem Ablauf von Token.

SSO-Kennzeichnung

Markierung von Geräten und Benutzern basierend auf dem SSO-Konfigurationsstatus zur Unterstützung von Audits, Compliance-Tracking und Transparenz des Umgebungszustands.

Auto-Sanierung

Automatisieren der Richtlinienanpassung auf Endgeräten, die SSO-Vorprüfungen nicht bestehen.

Mit diesen Tools können MSPs sichere, konsistente SSO-Erfahrungen für die gesamte Kundenflotte bereitstellen und gleichzeitig den betrieblichen Aufwand reduzieren.

💡 Tipp: Lesen Sie auch SSO aktivieren.

Konfigurieren Sie SSO mit Azure AD für LOB-Anwendungen, um den Zugriff zu optimieren und die Sicherheit zu erhöhen

SSO mit Azure AD hilft Unternehmen bei der Modernisierung der Zugriffskontrolle und vereinfacht gleichzeitig die Benutzererfahrung für interne und LOB-Anwendungen. Azure AD unterstützt sowohl moderne Cloud-Anwendungen als auch ältere On-Premise-Webdienste und bietet Ihnen die Flexibilität, die für Ihre Umgebung erforderliche Sicherheit zu gewährleisten.

Dieser Leitfaden deckt alles ab, was Sie für die ersten Schritte benötigen, von der Registrierung Ihrer Anwendung in Azure AD über die Einrichtung von SAML, OIDC oder proxy-basierter Authentifizierung bis hin zur Anpassung der Client-Einstellungen durch Gruppenrichtlinien, PowerShell und Registrierungsänderungen. Es wurde auch gezeigt, wie NinjaOne SSO-Umgebungen für MSPs verstärkt und überwacht.

Verwandte Themen:

Kostenlos Testen

Das könnte Sie auch interessieren

Verwaltung abgelaufener Zertifikate in Azure AD

Wie man abgelaufene Zertifikate in Hybrid Azure AD mit PowerShell verwalten kann

0x80072EFD

So beheben Sie den Aktivierungsfehler 0x80072EFD unter Windows 11

So deaktivieren Sie die Legacy-Authentifizierung in Microsoft 365 Blog-Banner

So deaktivieren Sie die Legacy-Authentifizierung in Microsoft 365

Wie man den Lebenszyklus von Teams verwaltet und Sprawl verhindert Blog-Banner-Bild

Effektives Management des Team-Lebenszyklus zur Vermeidung von unkontrolliertem Wachstum

Skripting Endpoint Hardening für MSP - CIS Benchmarks über PowerShell-Blog-Bannerbild

Skripting-gestützte Endpunkthärtung für Managed Service Provider CIS-Benchmarks über PowerShell

Power Automate zur Vereinfachung von MSP-Arbeitsabläufen Blog-Banner-Bild

Vereinfachung der MSP-Arbeitsabläufe mit Power Automate

Zurück zur Blog-Startseite
Sind Sie bereit, die schwierigsten Aufgaben der IT zu vereinfachen?
Kostenlose Testversion starten
Produktvorstellung erhalten