Tutorial: Integration des einmaligen Anmeldens von Azure Active Directory mit SharePoint (lokal)Tutorial: Azure Active Directory single sign-on integration with SharePoint on-premises

In diesem Tutorial erfahren Sie, wie Sie die lokale SharePoint-Instanz in Azure Active Directory (Azure AD) integrieren.In this tutorial, you learn how to integrate SharePoint on-premises with Azure Active Directory (Azure AD). Die Integration von SharePoint (lokal) in Azure AD ermöglicht Folgendes:When you integrate SharePoint on-premises with Azure AD, you can:

  • Steuern Sie, wer Zugriff auf SharePoint (lokal) hat, in Azure AD.Control who has access to SharePoint on-premises in Azure AD.
  • Ermöglichen Sie es Ihren Benutzern, sich mit ihrem Azure AD-Konto automatisch bei SharePoint (lokal) anzumelden.Enable your users to be automatically signed in to SharePoint on-premises with their Azure AD accounts.
  • Verwalten Sie Ihre Konten im Azure-Portal.Manage your accounts in the Azure portal.

Weitere Informationen zur Integration von SaaS-Apps (Software as a Service) in Azure AD finden Sie unter Was bedeuten Anwendungszugriff und einmaliges Anmelden mit Azure Active Directory?.To learn more about software as a service (SaaS) app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory?.

VoraussetzungenPrerequisites

Um die Azure AD-Integration in die lokale SharePoint-Instanz konfigurieren zu können, benötigen Sie Folgendes:To configure Azure AD integration with SharePoint on-premises, you need these items:

  • Ein Azure AD-AbonnementAn Azure AD subscription. Sollten Sie nicht über eine Azure AD-Umgebung verfügen, können Sie ein kostenloses Konto verwenden.If you don't have an Azure AD environment, you can get a free account.
  • Eine SharePoint 2013-Farm (oder neuer).A SharePoint 2013 farm or newer.

Beschreibung des SzenariosScenario description

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden (SSO) von Azure AD in einer Testumgebung.In this tutorial, you configure and test Azure AD single sign-on (SSO) in a test environment. Benutzer in Azure AD können auf Ihre lokale SharePoint-Instanz zugreifen.Users from Azure AD are able to access your SharePoint on-premises.

Erstellen von Unternehmensanwendungen im Azure-PortalCreate enterprise applications in the Azure portal

Zum Konfigurieren der Integration der lokalen SharePoint-Instanz in Azure AD müssen Sie die lokale Instanz aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzufügen.To configure the integration of SharePoint on-premises into Azure AD, you need to add SharePoint on-premises from the gallery to your list of managed SaaS apps.

So fügen Sie die lokale SharePoint-Instanz aus dem Katalog hinzuTo add SharePoint on-premises from the gallery:

  1. Wählen Sie im ganz linken Bereich des Azure-Portals die Option Azure Active Directory aus.In the Azure portal, on the leftmost pane, select Azure Active Directory.

    Hinweis

    Wenn das Element nicht verfügbar ist, können Sie es auch über den Link Alle Dienste oben im ganz linken Bereich öffnen.If the element isn't available, you can also open it through the All services link at the top of the leftmost pane. In der folgenden Übersicht befindet sich der Link Azure Active Directory im Abschnitt Identität.In the following overview, the Azure Active Directory link is located in the Identity section. Er kann auch über das Filterfeld gesucht werden.You can also search for it by using the filter box.

  2. Navigieren Sie zu Unternehmensanwendungen, und wählen Sie die Option Alle Anwendungen.Go to Enterprise applications, and then select All applications.

  3. Wählen Sie oben im Dialogfeld Neue Anwendung aus, um eine neue Anwendung hinzuzufügen.To add a new application, select New application at the top of the dialog box.

  4. Geben Sie in das Suchfeld SharePoint lokal ein.In the search box, enter SharePoint on-premises. Wählen Sie im Ergebnisbereich SharePoint (lokal) aus.Select SharePoint on-premises from the result pane.

    SharePoint (lokal) in der ErgebnislisteSharePoint on-premises in the results list

  5. Geben Sie einen Namen für Ihre lokale SharePoint-Instanz an, und wählen Sie Hinzufügen aus, um die Anwendung hinzuzufügen.Specify a name for your SharePoint on-premises instance, and select Add to add the application.

  6. Wählen Sie in der neuen Unternehmensanwendung Eigenschaften aus, und überprüfen Sie den Wert für Benutzerzuweisung erforderlich? .In the new enterprise application, select Properties, and check the value for User assignment required?.

    Umschaltfläche „Benutzerzuweisung erforderlich?“User assignment required? toggle

    In diesem Szenario ist der Wert auf Nein festgelegt.In this scenario, the value is set to No.

Konfigurieren und Testen von Azure ADConfigure and test Azure AD

In diesem Abschnitt konfigurieren Sie das einmalige Anmelden (SSO) von Azure AD mit SharePoint (lokal).In this section, you configure Azure AD SSO with SharePoint on-premises. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Azure AD-Benutzer und dem entsprechenden Benutzer in SharePoint (lokal) eingerichtet werden.For SSO to work, you establish a link relationship between an Azure AD user and the related user in SharePoint on-premises.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Azure AD mit SharePoint (lokal) die folgenden Schritte aus:To configure and test Azure AD SSO with SharePoint on-premises, complete these building blocks:

Konfigurieren des einmaligen Anmeldens in Azure ADConfigure Azure AD single sign-on

In diesem Abschnitt aktivieren Sie das einmalige Anmelden von Azure AD im Azure-Portal.In this section, you enable Azure AD SSO in the Azure portal.

So konfigurieren Sie das einmalige Anmelden (SSO) mit SharePoint (lokal)To configure Azure AD SSO with SharePoint on-premises:

  1. Wählen Sie im Azure-Portal die Optionen Azure Active Directory > Unternehmens-Apps aus.In the Azure portal, select Azure Active Directory > Enterprise applications. Wählen Sie den Namen der zuvor erstellten Unternehmensanwendung aus und dann Einmaliges Anmelden.Select the previously created enterprise application name, and select Single sign-on.

  2. Wählen Sie im Dialogfeld SSO-Methode auswählen den Modus SAML aus, um einmaliges Anmelden zu aktivieren.In the Select a Single sign-on method dialog box, select the SAML mode to enable SSO.

  3. Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten das Symbol Bearbeiten aus, um das Dialogfeld Grundlegende SAML-Konfiguration zu öffnen.On the Set up Single Sign-On with SAML page, select the Edit icon to open the Basic SAML Configuration dialog box.

  4. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:In the Basic SAML Configuration section, follow these steps:

    SSO-Informationen zur Domäne und zu den URLs für die lokale SharePoint-Instanz

    1. Geben Sie im Feld Bezeichner eine URL im folgenden Format ein: urn:<sharepointFarmName>:<federationName>.In the Identifier box, enter a URL by using this pattern: urn:<sharepointFarmName>:<federationName>.

    2. Geben Sie im Feld Antwort-URL eine URL im folgenden Format ein: https://<YourSharePointSiteURL>/_trust/.In the Reply URL box, enter a URL by using this pattern: https://<YourSharePointSiteURL>/_trust/.

    3. Geben Sie im Feld Anmelde-URL eine URL im folgenden Format ein: https://<YourSharePointSiteURL>/.In the Sign on URL box, enter a URL by using this pattern: https://<YourSharePointSiteURL>/.

    4. Wählen Sie Speichern aus.Select Save.

    Hinweis

    Hierbei handelt es sich um Beispielwerte.These values aren't real. Ersetzen Sie diese Werte durch die tatsächliche Anmelde-URL, den tatsächlichen Bezeichner und die tatsächliche Antwort-URL.Update these values with the actual sign-on URL, identifier, and reply URL.

  5. Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat die Option Herunterladen aus, um das entsprechende Zertifikat (Base64) auf Basis Ihrer Anforderungen aus den angegebenen Optionen herunterzuladen und auf Ihrem Computer zu speichern.On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, select Download to download the Certificate (Base64) from the given options based on your requirements and save it on your computer.

    Downloadlink für das Zertifikat

  6. Kopieren Sie im Abschnitt SharePoint (lokal) einrichten die entsprechenden URLs auf Basis Ihrer Anforderung:In the Set up SharePoint on-premises section, copy the appropriate URLs based on your requirement:

    Hinweis

    Diese URL kann nicht ohne Änderungen in SharePoint verwendet werden.This URL can't be used as is in SharePoint. Sie müssen /saml2 durch /wsfed ersetzen.You must replace /saml2 with /wsfed. Die lokale SharePoint-Anwendung verwendet SAML 1.1-Token, sodass Azure AD eine WS-Fed-Anforderung vom SharePoint-Server erwartet.The SharePoint on-premises application uses a SAML 1.1 token, so Azure AD expects a WS Fed request from the SharePoint server. Nach der Authentifizierung gibt er das SAML 1.1-Token aus.After authentication, it issues the SAML 1.1 token.

Konfigurieren von SharePoint (lokal)Configure SharePoint on-premises

  1. Erstellen Sie einen neuen vertrauenswürdigen Identitätsanbieter in SharePoint Server 2016.Create a new trusted identity provider in SharePoint Server 2016.

    Melden Sie sich beim SharePoint-Server an, und öffnen Sie die SharePoint-Verwaltungsshell.Sign in to the SharePoint server, and open the SharePoint Management Shell. Geben Sie die folgenden Werte ein:Fill in the values:

    • $realm ist der Bezeichnerwert aus dem Abschnitt mit der Domäne und den URLs für SharePoint (lokal) im Azure-Portal.$realm is the identifier value from the SharePoint on-premises domain and URLs section in the Azure portal.
    • $wsfedurl ist die SSO-Dienst-URL.$wsfedurl is the SSO service URL.
    • $filepath ist der Dateipfad, unter dem Sie die Zertifikatdatei aus dem Azure-Portal heruntergeladen haben.$filepath is the file path to which you have downloaded the certificate file from the Azure portal.

    Führen Sie die folgenden Befehle aus, um einen neuen vertrauenswürdigen Identitätsanbieter zu konfigurieren.Run the following commands to configure a new trusted identity provider.

    Tipp

    Unter SharePoint PowerShell finden Sie eine Übersicht über PowerShell und die Funktionen.If you're new to using PowerShell or want to learn more about how PowerShell works, see SharePoint PowerShell.

    $realm = "urn:sharepoint:sps201x"
    $wsfedurl="https://login.microsoftonline.com/2c4f1a9f-be5f-10ee-327d-a95dac567e4f/wsfed"
    $filepath="C:\temp\SharePoint 2019 OnPrem.cer"
    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($filepath)
    New-SPTrustedRootAuthority -Name "AzureAD" -Certificate $cert
    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" -IncomingClaimTypeDisplayName "name" -LocalClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"
    $map2 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming
    $ap = New-SPTrustedIdentityTokenIssuer -Name "AzureAD" -Description "Azure AD SharePoint server 201x" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1,$map2 -SignInUrl $wsfedurl -IdentifierClaim $map1.InputClaimType
    
  2. Aktivieren Sie den vertrauenswürdigen Identitätsanbieter für Ihre Anwendung.Enable the trusted identity provider for your application.

    1. Wechseln Sie in der Zentraladministration zu Webanwendung verwalten, und wählen Sie die Webanwendung aus, die Sie mit Azure AD schützen möchten.In Central Administration, go to Manage Web Application and select the web application that you want to secure with Azure AD.

    2. Wählen Sie im Menüband Authentifizierungsanbieter aus, und wählen Sie die Zone aus, die Sie verwenden möchten.On the ribbon, select Authentication Providers and choose the zone that you want to use.

    3. Wählen Sie Vertrauenswürdiger Identitätsanbieter und den Identitätsanbieter aus, den Sie mit dem Namen AzureAD registriert haben.Select Trusted Identity provider, and select the identify provider you just registered named AzureAD.

    4. Klicken Sie auf OK.Select OK.

    Konfigurieren des Authentifizierungsanbieters

Erstellen eines Azure AD-Testbenutzers im Azure-PortalCreate an Azure AD test user in the Azure portal

In diesem Abschnitt wird ein Testbenutzer im Azure-Portal erstellt.The objective of this section is to create a test user in the Azure portal.

  1. Wählen Sie im ganz linken Bereich des Azure-Portals die Option Azure Active Directory aus.In the Azure portal, on the leftmost pane, select Azure Active Directory. Wählen Sie im Bereich Verwalten die Option Benutzer aus.In the Manage pane, select Users.

  2. Wählen Sie oben im Bildschirm Alle Benutzer > Neuer Benutzer aus.Select All users > New user at the top of the screen.

  3. Wählen Sie Benutzer erstellen aus, und führen Sie in den Eigenschaften für Benutzer die folgenden Schritte aus.Select Create User, and in the user properties, follow these steps. Unter Umständen können Sie Benutzer in Ihrer Azure AD-Instanz unter Verwendung des Mandantensuffixes oder einer überprüften Domäne erstellen.You might be able to create users in your Azure AD by using your tenant suffix or any verified domain.

    1. Geben Sie im Feld Name den Benutzernamen ein.In the Name box, enter the user name. Wir haben TestUser verwendet.We used TestUser.

    2. Geben Sie im Feld Benutzername Folgendes ein: TestUser@yourcompanydomain.extension.In the User name box, enter TestUser@yourcompanydomain.extension. In diesem Beispiel wird TestUser@contoso.com angezeigt.This example shows TestUser@contoso.com.

      Dialogfeld „Benutzer“

    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert, der im Feld Kennwort angezeigt wird.Select the Show password check box, and then write down the value that appears in the Password box.

    4. Klicken Sie auf Erstellen.Select Create.

    5. Sie können die Website jetzt für TestUser@contoso.com freigeben und diesem Benutzer den Zugriff darauf erlauben.You can now share the site with TestUser@contoso.com and permit this user to access it.

Erstellen einer Azure AD-Sicherheitsgruppe im Azure-PortalCreate an Azure AD security group in the Azure portal

  1. Klicken Sie auf Azure Active Directory > Gruppen.Select Azure Active Directory > Groups.

  2. Wählen Sie Neue Gruppe aus.Select New group.

  3. Füllen Sie die Felder Gruppentyp, Gruppenname, Gruppenbeschreibung und Mitgliedschaftstyp aus.Fill in the Group type, Group name, Group description, and Membership type boxes. Wählen Sie die Pfeile für die Mitgliederauswahl aus, und suchen Sie dann nach den Mitgliedern, die Sie der Gruppe hinzufügen möchten, oder wählen Sie sie aus.Select the arrows to select members, and then search for or select the members you want to add to the group. Wählen Sie Auswählen aus, um die ausgewählten Mitglieder hinzuzufügen, und wählen Sie dann Erstellen aus.Choose Select to add the selected members, and then select Create.

Erstellen einer Azure AD-Sicherheitsgruppe

Erteilen von Berechtigungen für ein Azure AD-Konto in SharePoint (lokal)Grant permissions to an Azure AD account in SharePoint on-premises

Um einem Azure AD-Benutzer in SharePoint (lokal) Zugriff zu gewähren, geben Sie die Websitesammlung frei, oder fügen Sie den Azure AD-Benutzer zu einer der Gruppen der Websitesammlung hinzu.To grant access to an Azure AD user in SharePoint on-premises, share the site collection or add the Azure AD user to one of the site collection's groups. Benutzer können sich jetzt mit Azure AD-Identitäten bei SharePoint 201x anmelden. Allerdings kann die Benutzerfreundlichkeit noch weiter verbessert werden.Users can now sign in to SharePoint 201x by using identities from Azure AD, but there are still opportunities for improvement to the user experience. Beispielsweise liefert die Suche nach einem Benutzer mehrere Suchergebnisse in der Personenauswahl.For instance, searching for a user presents multiple search results in the people picker. Es gibt ein Suchergebnis für jeden der Anspruchstypen, die in der Anspruchszuordnung erstellt wurden.There's a search result for each of the claims types that are created in the claim mapping. Um einen Benutzer mithilfe der Personenauswahl auszuwählen, geben Sie den genauen Benutzernamen ein, und wählen Sie das Anspruchsergebnis Name aus.To choose a user by using the people picker, you must enter their user name exactly and choose the name claim result.

Suchergebnisse für Ansprüche

Die gesuchten Werte werden nicht überprüft, sodass möglicherweise Rechtschreibfehler auftreten oder Benutzer versehentlich den falschen Anspruchstyp zum Zuweisen auswählen.There's no validation on the values you search for, which can lead to misspellings or users accidentally choosing the wrong claim type. Dies kann Benutzer daran hindern, erfolgreich auf Ressourcen zuzugreifen.This situation can prevent users from successfully accessing resources.

Um dieses Szenario mit der Personenauswahl zu korrigieren, bietet eine Open-Source-Lösung namens AzureCP einen benutzerdefinierten Anspruchsanbieter für SharePoint 2013, 2016 und 2019.To fix this scenario with the people picker, an open-source solution called AzureCP provides a custom claims provider for SharePoint 2013, 2016, and 2019. Sie verwendet die Microsoft Graph-API, um die Eingaben der Benutzer aufzulösen und zu überprüfen.It uses the Microsoft Graph API to resolve what users enter and perform validation. Weitere Informationen finden Sie unter AzureCP.For more information, see AzureCP.

Hinweis

Ohne AzureCP können Sie Gruppen hinzufügen, indem Sie die ID der Azure AD-Gruppe hinzufügen, aber diese Methode ist weder benutzerfreundlich noch zuverlässig.Without AzureCP, you can add groups by adding the Azure AD group's ID, but this method isn't user friendly and reliable. So sieht es aus:Here's how it looks:

Hinzufügen einer Azure AD-Gruppe zu einer SharePoint-Gruppe

Erteilen von Berechtigungen für eine Azure AD-Gruppe in SharePoint (lokal)Grant permissions to an Azure AD group in SharePoint on-premises

Um SharePoint (lokal) Azure AD-Sicherheitsgruppen hinzuzufügen, müssen Sie einen benutzerdefinierten Anspruchsanbieter für SharePoint Server verwenden.To assign Azure AD security groups to SharePoint on-premises, it's necessary to use a custom claims provider for SharePoint server. In diesem Beispiel wird AzureCP verwendet.This example uses AzureCP.

Hinweis

AzureCP ist kein Produkt von Microsoft, und Microsoft bietet keinen Support für das Produkt.AzureCP isn't a Microsoft product and isn't supported by Microsoft Support. Informationen, um AzureCP herunterzuladen und in der SharePoint-Farm (lokal) zu installieren und konfigurieren, finden Sie auf der AzureCP-Website.To download, install, and configure AzureCP on the on-premises SharePoint farm, see the AzureCP website.

  1. Konfigurieren Sie AzureCP in der lokalen SharePoint-Farm, oder konfigurieren Sie eine andere benutzerdefinierte Anspruchsanbieterlösung.Configure AzureCP on the SharePoint on-premises farm or an alternative custom claims provider solution. Informationen zum Konfigurieren von AzureCP finden Sie auf dieser AzureCP-Website.To configure AzureCP, see this AzureCP website.

  2. Wählen Sie im Azure-Portal Azure Active Directory > Unternehmens-Apps aus.In the Azure portal, select Azure Active Directory > Enterprise applications. Wählen Sie den Namen der zuvor erstellten Unternehmensanwendung aus und dann Einmaliges Anmelden.Select the previously created enterprise application name, and select Single sign-on.

  3. Bearbeiten Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten den Abschnitt Benutzerattribute und Ansprüche.On the Set up Single Sign-On with SAML page, edit the User Attributes & Claims section.

  4. Wählen Sie Gruppenanspruch hinzufügen aus.Select Add a group claim.

  5. Wählen Sie aus, welche dem Benutzer zugeordneten Gruppen im Anspruch zurückgegeben werden sollen.Select which groups associated with the user should be returned in the claim. Wählen Sie in diesem Fall Alle Gruppen aus.In this case, select All groups. Wählen Sie im Abschnitt Quellattribut die Option Gruppen-ID aus, und wählen Sie Speichern aus.In the Source attribute section, select Group ID and select Save.

Um einer Azure AD-Sicherheitsgruppe in SharePoint (lokal) Zugriff zu gewähren, geben Sie die Websitesammlung frei, oder fügen Sie die Azure AD-Sicherheitsgruppe zu einer der Gruppen der Websitesammlung hinzu.To grant access to the Azure AD security group in SharePoint on-premises, share the site collection or add the Azure AD security group to one of the site collection's groups.

  1. Wechseln Sie zur SharePoint-Websitesammlung.Browse to SharePoint Site Collection. Wählen Sie unter Websiteeinstellungen für die SharePoint-Websitesammlung Personen und Gruppen aus.Under Site Settings for the site collection, select People and groups.

  2. Wählen Sie die SharePoint-Gruppe aus, und wählen Sie dann Neu > Benutzer zu dieser Gruppe hinzufügen aus.Select the SharePoint group, and then select New > Add Users to this Group. Wenn Sie den Namen der Gruppe eingeben, zeigt die Personenauswahl die Azure AD-Sicherheitsgruppe an.As you type the name of your group, the people picker displays the Azure AD security group.

    Hinzufügen einer Azure AD-Gruppe zu einer SharePoint-Gruppe

Gewähren des Zugriffs auf ein Gastkonto für SharePoint (lokal) im Azure-PortalGrant access to a guest account to SharePoint on-premises in the Azure portal

Sie können Ihrer SharePoint-Website auf konsistente Weise Zugriff auf ein Gastkonto gewähren, weil der UPN jetzt geändert wird.You can grant access to your SharePoint site to a guest account in a consistent way because the UPN now gets modified. Beispielsweise wird der Benutzer jdoe@outlook.com als jdoe_outlook.com#ext#@TENANT.onmicrosoft.com dargestellt.For example, the user jdoe@outlook.com is represented as jdoe_outlook.com#ext#@TENANT.onmicrosoft.com. Um Ihre Website für externe Benutzer freizugeben, müssen Sie im Azure-Portal in Ihrem Abschnitt Benutzerattribute und Ansprüche einige Änderungen vornehmen.To share your site with external users, you need to add some modifications in your User Attributes & Claims section in the Azure portal.

  1. Wählen Sie im Azure-Portal Azure Active Directory > Unternehmens-Apps aus.In the Azure portal, select Azure Active Directory > Enterprise applications. Wählen Sie den Namen der zuvor erstellten Unternehmensanwendung aus und dann Einmaliges Anmelden.Select the previously created enterprise application name, and select Single sign-on.

  2. Bearbeiten Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten den Abschnitt Benutzerattribute und Ansprüche.On the Set up Single Sign-On with SAML page, edit the User Attributes & Claims section.

  3. Wählen Sie in der Zone Erforderlicher Anspruch die Option Eindeutiger Benutzerbezeichner (Namens-ID) aus.In the Required claim zone, select Unique User Identifier (Name ID).

  4. Ändern Sie die Eigenschaft Quellattribut in den Wert user.localuserprincipalname, und wählen Sie Speichern aus.Change the Source Attribute property to the value user.localuserprincipalname, and select Save.

    Anzeige von „Benutzerattribute und Ansprüche“ vor der Bearbeitung

  5. Wechseln Sie mithilfe des Menübands zurück zu SAML-basierte Anmeldung.Using the ribbon, go back to SAML-based Sign-on. Der Abschnitt Benutzerattribute und Ansprüche sieht nun wie folgt aus:Now the User Attributes & Claims section looks like this:

    Anzeige von „Benutzerattribute und Ansprüche“ nach der Bearbeitung

    Hinweis

    Ein Nachname und Vorname sind in diesem Setup nicht erforderlich.A surname and given name aren't required in this setup.

  6. Wählen Sie im ganz linken Bereich des Azure-Portals die Option Azure Active Directory und dann Benutzer aus.In the Azure portal, on the leftmost pane, select Azure Active Directory and then select Users.

  7. Wählen Sie Neuer Gastbenutzer aus.Select New Guest User.

  8. Wählen Sie die Option Benutzer einladen aus.Select the Invite User option. Tragen Sie die Benutzereigenschaften ein, und wählen Sie Einladen aus.Fill in the user properties, and select Invite.

  9. Sie können die Website jetzt für MyGuestAccount@outlook.com freigeben und diesem Benutzer den Zugriff darauf erlauben.You can now share the site with MyGuestAccount@outlook.com and permit this user to access it.

    Freigeben einer Website für ein Gastkonto

Konfigurieren des vertrauenswürdigen Identitätsanbieters für mehrere WebanwendungenConfigure the trusted identity provider for multiple web applications

Die Konfiguration funktioniert für eine einzelne Webanwendung, benötigt jedoch weitere Konfiguration, wenn Sie beabsichtigen, denselben vertrauenswürdigen Identitätsanbieter für mehrere Webanwendungen zu verwenden.The configuration works for a single web application, but additional configuration is needed if you intend to use the same trusted identity provider for multiple web applications. Angenommen, Sie hätten eine Webanwendung erweitert, um die URL https://sales.contoso.com zu verwenden, und Sie möchten nun die Benutzer für https://marketing.contoso.com authentifizieren.For example, assume you extended a web application to use the URL https://sales.contoso.com and you now want to authenticate users to https://marketing.contoso.com. Aktualisieren Sie hierfür den Identitätsanbieter, sodass dieser den WReply-Parameter berücksichtigt. Aktualisieren Sie ferner die Anwendungsregistrierung in Azure AD, um eine Antwort-URL hinzuzufügen.To do this, update the identity provider to honor the WReply parameter and update the application registration in Azure AD to add a reply URL.

  1. Wählen Sie im Azure-Portal Azure Active Directory > Unternehmens-Apps aus.In the Azure portal, select Azure Active Directory > Enterprise applications. Wählen Sie den Namen der zuvor erstellten Unternehmensanwendung aus und dann Einmaliges Anmelden.Select the previously created enterprise application name, and select Single sign-on.

  2. Bearbeiten Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten den Abschnitt Grundlegende SAML-Konfiguration.On the Set up Single Sign-On with SAML page, edit Basic SAML Configuration.

    Grundlegende SAML-Konfiguration

  3. Fügen Sie für Antwort-URL (Assertionsverbraucherdienst-URL) die URL für die zusätzlichen Webanwendungen hinzu, und wählen Sie Speichern aus.For Reply URL (Assertion Consumer Service URL), add the URL for the additional web applications and select Save.

    Bearbeiten der grundlegenden SAML-Konfiguration

  4. Öffnen Sie auf dem SharePoint-Server die SharePoint 201x-Verwaltungsshell, und führen Sie die folgenden Befehle aus.On the SharePoint server, open the SharePoint 201x Management Shell and run the following commands. Verwenden Sie den Namen des Ausstellers vertrauenswürdiger Identitätstoken, den Sie zuvor verwendet haben.Use the name of the trusted identity token issuer that you used previously.

    $t = Get-SPTrustedIdentityTokenIssuer "AzureAD"
    $t.UseWReplyParameter=$true
    $t.Update()
    
  5. Wechseln Sie in der Zentraladministration zu der Web-Anwendung, und aktivieren Sie den vorhandenen vertrauenswürdigen Identitätsanbieter.In Central Administration, go to the web application and enable the existing trusted identity provider.

Möglicherweise gibt es auch andere Szenarien, in denen Sie Zugriff auf Ihre lokale SharePoint-Instanz für Ihre internen Benutzer gewähren möchten.You might have other scenarios where you want to give access to your SharePoint on-premises instance for your internal users. In diesem Szenario müssen Sie Microsoft Azure Active Directory Connect bereitstellen, um die Synchronisierung Ihrer lokalen Benutzer mit Azure AD zu ermöglichen.For this scenario, you have to deploy Microsoft Azure Active Directory Connect to permit syncing your on-premises users with Azure AD. Dieses Setup wird in einem anderen Artikel behandelt.This setup is discussed in another article.

Zusätzliche RessourcenAdditional resources