Verwenden der Azure Active Directory-AuthentifizierungUse Azure Active Directory authentication

GILT FÜR: JaAzure SQL-Datenbank JaAzure SQL Managed Instance JaAzure Synapse Analytics (SQL DW) APPLIES TO: yesAzure SQL Database yesAzure SQL Managed Instance yes Azure Synapse Analytics (SQL DW)

Die Azure Active Directory (Azure AD)-Authentifizierung ist ein Mechanismus zum Herstellen einer Verbindung mit Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics (früher Azure SQL Data Warehouse) unter Verwendung von Identitäten in Azure AD.Azure Active Directory (Azure AD) authentication is a mechanism for connecting to Azure SQL Database, Azure SQL Managed Instance, and Azure Synapse Analytics (formerly Azure SQL Data Warehouse) by using identities in Azure AD.

Hinweis

Dieser Artikel gilt für Azure SQL-Datenbank, SQL Managed Instance und Azure Synapse Analytics.This article applies to Azure SQL Database, SQL Managed Instance, and Azure Synapse Analytics.

Mithilfe der Azure AD-Authentifizierung können Sie die Identitäten von Datenbankbenutzern und anderen Microsoft-Diensten an einer zentralen Stelle verwalten.With Azure AD authentication, you can centrally manage the identities of database users and other Microsoft services in one central location. Die zentrale ID-Verwaltung ermöglicht eine einheitliche Verwaltung von Datenbankbenutzern und vereinfacht die Berechtigungsverwaltung.Central ID management provides a single place to manage database users and simplifies permission management. Daraus ergeben sich u. a. die folgenden Vorteile:Benefits include the following:

  • Es wird eine Alternative zur SQL Server-Authentifizierung bereitgestellt.It provides an alternative to SQL Server authentication.

  • Die unkontrollierte Ausbreitung von Benutzeridentitäten über Server hinweg wird vermieden.It helps stop the proliferation of user identities across servers.

  • Die Kennwortrotation wird über eine zentrale Stelle ermöglicht.It allows password rotation in a single place.

  • Kunden können Datenbankberechtigungen mithilfe von externen Gruppen (Azure AD) verwalten.Customers can manage database permissions using external (Azure AD) groups.

  • Durch das Aktivieren der integrierten Windows-Authentifizierung und andere von Azure Active Directory unterstützte Authentifizierungsformen wird das Speichern von Kennwörtern überflüssig.It can eliminate storing passwords by enabling integrated Windows authentication and other forms of authentication supported by Azure Active Directory.

  • Die Azure Active Directory-Authentifizierung verwendet eigenständige Datenbankbenutzer zum Authentifizieren von Identitäten auf Datenbankebene.Azure AD authentication uses contained database users to authenticate identities at the database level.

  • Azure AD unterstützt die tokenbasierte Authentifizierung für Anwendungen, die Verbindungen mit SQL-Datenbank und SQL Managed Instance herstellen.Azure AD supports token-based authentication for applications connecting to SQL Database and SQL Managed Instance.

  • Azure AD-Authentifizierung unterstützt Folgendes:Azure AD authentication supports:

  • Azure AD unterstützt Verbindungen von SQL Server Management Studio, bei denen universelle Active Directory-Authentifizierungsverfahren verwendet werden, zu denen auch die mehrstufige Authentifizierung gehört.Azure AD supports connections from SQL Server Management Studio that use Active Directory Universal Authentication, which includes Multi-Factor Authentication. Die mehrstufige Authentifizierung bietet eine sichere Authentifizierung über unterschiedliche einfache Überprüfungsoptionen – Telefonanruf, SMS, Smartcards mit PIN oder Benachrichtigung in einer mobilen App.Multi-Factor Authentication includes strong authentication with a range of easy verification options — phone call, text message, smart cards with pin, or mobile app notification. Weitere Informationen finden Sie unter SSMS-Unterstützung für Azure AD Multi-Factor Authentication mit Azure SQL-Datenbank, SQL Managed Instance und Azure Synapse.For more information, see SSMS support for Azure AD Multi-Factor Authentication with Azure SQL Database, SQL Managed Instance, and Azure Synapse

  • Azure AD unterstützt ähnliche Verbindungen aus SQL Server Data Tools (SSDT), die die interaktive Active Directory-Authentifizierung verwenden.Azure AD supports similar connections from SQL Server Data Tools (SSDT) that use Active Directory Interactive Authentication. Weitere Informationen finden Sie unter Azure Active Directory-Unterstützung in SQL Server Data Tools (SSDT).For more information, see Azure Active Directory support in SQL Server Data Tools (SSDT)

Hinweis

Das Herstellen einer Verbindung mit einer SQL Server-Instanz, die auf einer Azure-VM ausgeführt wird, wird für ein Azure Active Directory-Konto nicht unterstützt.Connecting to a SQL Server instance that's running on an Azure virtual machine (VM) is not supported using an Azure Active Directory account. Verwenden Sie stattdessen ein Active Directory-Domänenkonto.Use a domain Active Directory account instead.

Die Konfigurationsschritte schließen die folgenden Verfahren zum Konfigurieren und Verwenden der Azure Active Directory-Authentifizierung ein:The configuration steps include the following procedures to configure and use Azure Active Directory authentication.

  1. Erstellen und Auffüllen von Azure ADCreate and populate Azure AD.
  2. Optional: Zuordnen oder Ändern des aktiven Verzeichnisses für Ihr Azure-AbonnementOptional: Associate or change the active directory that is currently associated with your Azure Subscription.
  3. Erstellen eines Azure Active Directory-AdministratorsCreate an Azure Active Directory administrator.
  4. Konfigurieren der ClientcomputerConfigure your client computers.
  5. Erstellen eigenständiger Datenbankbenutzer in der Datenbank, die Azure AD-Identitäten zugeordnet sindCreate contained database users in your database mapped to Azure AD identities.
  6. Herstellen einer Verbindung mit Ihrer Datenbank unter Verwendung von Azure AD-IdentitätenConnect to your database by using Azure AD identities.

Hinweis

Informationen zum Erstellen und Auffüllen von Azure AD und zum anschließenden Konfigurieren von Azure AD mit Azure SQL-Datenbank, SQL Managed Instance und Azure Synapse finden Sie unter Konfigurieren von Azure AD mit Azure SQL-Datenbank.To learn how to create and populate Azure AD, and then configure Azure AD with Azure SQL Database, SQL Managed Instance, and Azure Synapse, see Configure Azure AD with Azure SQL Database.

Architektur von VertrauensstellungenTrust architecture

  • Bei der Unterstützung des nativen Benutzerkennworts von Azure AD wird nur der Cloudanteil von Azure AD, SQL-Datenbank, SQL Managed Instance und Azure Synapse berücksichtigt.Only the cloud portion of Azure AD, SQL Database, SQL Managed Instance, and Azure Synapse is considered to support Azure AD native user passwords.
  • Um Windows-SSO-Anmeldeinformationen (oder Benutzer/Kennwort für Windows-Anmeldeinformationen) zu unterstützen, verwenden Sie Azure Active Directory-Anmeldeinformationen aus einer Verbunddomäne oder einer verwalteten Domäne, die für nahtloses einmaliges Anmelden für Passthrough- und Kennworthashauthentifizierung konfiguriert ist.To support Windows single sign-on credentials (or user/password for Windows credential), use Azure Active Directory credentials from a federated or managed domain that is configured for seamless single sign-on for pass-through and password hash authentication. Weitere Informationen finden Sie unter Nahtlose einmalige Anmeldung mit Azure Active Directory.For more information, see Azure Active Directory Seamless Single Sign-On.
  • Zur Unterstützung der Verbundauthentifizierung (oder von Benutzername und Kennwort für Windows-Anmeldeinformationen) ist die Kommunikation mit dem AD FS-Block erforderlich.To support Federated authentication (or user/password for Windows credentials), the communication with ADFS block is required.

Weitere Informationen zu Azure AD-Hybrididentitäten, zur Einrichtung und Synchronisierung finden Sie in den folgenden Artikeln:For more information on Azure AD hybrid identities, the setup, and synchronization, see the following articles:

Ein Beispiel für Verbundauthentifizierung mit der AD FS-Infrastruktur (oder Benutzer/Kennwort für Windows-Anmeldeinformationen) finden Sie in der folgenden Abbildung.For a sample federated authentication with ADFS infrastructure (or user/password for Windows credentials), see the diagram below. Die Pfeile zeigen die Kommunikationswege.The arrows indicate communication pathways.

Diagramm zur AAD-Authentifizierung

Das folgende Diagramm zeigt die Verbund-, Vertrauensstellungs- und Hostbeziehungen, die einem Client durch Übermittlung eines Tokens die Verbindungsherstellung mit einer Datenbank ermöglichen.The following diagram indicates the federation, trust, and hosting relationships that allow a client to connect to a database by submitting a token. Das Token wird von einem Azure Active Directory authentifiziert, und die Datenbank vertraut dem Token.The token is authenticated by an Azure AD, and is trusted by the database. Bei „Customer1“ kann es sich um ein Azure Active Directory mit nativen Benutzern oder um ein Azure AD mit Verbundbenutzern handeln.Customer 1 can represent an Azure Active Directory with native users or an Azure AD with federated users. „Customer2“ stellt eine mögliche Lösung mit importierten Benutzern dar. In diesem Beispiel stammen diese aus Azure Active Directory im Verbund, wobei ADFS mit Azure Active Directory synchronisiert wird.Customer 2 represents a possible solution including imported users, in this example coming from a federated Azure Active Directory with ADFS being synchronized with Azure Active Directory. Wichtig: Für den Zugriff auf eine Datenbank mithilfe der Azure AD-Authentifizierung muss das Abonnement, das als Host fungiert, dem Azure AD zugeordnet sein.It's important to understand that access to a database using Azure AD authentication requires that the hosting subscription is associated to the Azure AD. Dasselbe Abonnement muss auch verwendet werden, um die Ressourcen für Azure SQL-Datenbank, SQL Managed Instance oder Azure Synapse zu erstellen.The same subscription must be used to create the Azure SQL Database, SQL Managed Instance, or Azure Synapse resources.

Abonnementbeziehung

AdministratorstrukturAdministrator structure

Bei Verwendung der Azure AD-Authentifizierung gibt es zwei Administratorkonten: das ursprüngliche Konto für den Azure SQL-Datenbank-Administrator und das Konto für den Azure AD-Administrator.When using Azure AD authentication, there are two Administrator accounts: the original Azure SQL Database administrator and the Azure AD administrator. Die gleichen Konzepte gelten für Azure Synapse.The same concepts apply to Azure Synapse. Nur der auf einem Azure AD-Konto basierende Administrator kann den ersten eigenständigen Azure AD-Datenbankbenutzer in einer Benutzerdatenbank erstellen.Only the administrator based on an Azure AD account can create the first Azure AD contained database user in a user database. Das Konto für die Azure AD-Administratoranmeldung kann ein Azure AD-Benutzer oder eine Azure AD-Gruppe sein.The Azure AD administrator login can be an Azure AD user or an Azure AD group. Wenn es sich bei dem Administrator um ein Gruppenkonto handelt, kann es von einem beliebigen Gruppenmitglied verwendet werden, sodass mehrere Azure AD-Administratoren den Server verwalten können.When the administrator is a group account, it can be used by any group member, enabling multiple Azure AD administrators for the server. Die Verwendung eines Gruppenkontos für den Administrator erleichtert die Verwaltung und ermöglicht es Ihnen, Gruppenmitglieder in Azure AD zentral hinzuzufügen und zu entfernen, ohne die Benutzer oder Berechtigungen in SQL-Datenbank oder Azure Synapse zu ändern.Using group account as an administrator enhances manageability by allowing you to centrally add and remove group members in Azure AD without changing the users or permissions in SQL Database or Azure Synapse. Es kann jeweils nur ein Azure AD-Administrator (ein Benutzer oder eine Gruppe) konfiguriert werden.Only one Azure AD administrator (a user or group) can be configured at any time.

Administratorstruktur

BerechtigungenPermissions

Um neue Benutzer zu erstellen, müssen Sie über die Berechtigung ALTER ANY USER in der Datenbank verfügen.To create new users, you must have the ALTER ANY USER permission in the database. Die Berechtigung ALTER ANY USER kann jedem Datenbankbenutzer gewährt werden.The ALTER ANY USER permission can be granted to any database user. Die Berechtigung ALTER ANY USER haben auch Serveradministratorkonten inne, ebenso wie Datenbankbenutzer mit der Berechtigung CONTROL ON DATABASE oder ALTER ON DATABASE für diese Datenbank sowie Mitglieder der Datenbankrolle db_owner.The ALTER ANY USER permission is also held by the server administrator accounts, and database users with the CONTROL ON DATABASE or ALTER ON DATABASE permission for that database, and by members of the db_owner database role.

Zum Erstellen eines Benutzers einer eigenständigen Datenbank in Azure SQL-Datenbank, SQL Managed Instance oder Azure Synapse müssen Sie unter Verwendung einer Azure AD-Identität eine Verbindung mit der Datenbank oder Instanz herstellen.To create a contained database user in Azure SQL Database, SQL Managed Instance, or Azure Synapse, you must connect to the database or instance using an Azure AD identity. Um den ersten eigenständigen Datenbankbenutzer zu erstellen, müssen Sie unter Verwendung eines Azure AD-Administrators (dieser ist der Besitzer der Datenbank) eine Verbindung mit der Datenbank herstellen.To create the first contained database user, you must connect to the database by using an Azure AD administrator (who is the owner of the database). Dies wird unter Konfigurieren und Verwalten der Azure Active Directory-Authentifizierung mit SQL-Datenbank oder Azure Synapse erläutert.This is demonstrated in Configure and manage Azure Active Directory authentication with SQL Database or Azure Synapse. Eine Azure AD-Authentifizierung ist nur möglich, wenn der Azure AD-Administrator für Azure SQL-Datenbank, SQL Managed Instance oder Azure Synapse erstellt wurde.Azure AD authentication is only possible if the Azure AD admin was created for Azure SQL Database, SQL Managed Instance, or Azure Synapse. Falls der Azure Active Directory-Administrator vom Server entfernt wurde, können vorhandene Azure Active Directory-Benutzer, die zuvor in SQL Server erstellt wurden, nicht mehr mithilfe ihrer Azure Active Directory-Anmeldeinformationen auf die Datenbank zugreifen.If the Azure Active Directory admin was removed from the server, existing Azure Active Directory users created previously inside SQL Server can no longer connect to the database using their Azure Active Directory credentials.

Funktionen und Einschränkungen von Azure ADAzure AD features and limitations

  • Die folgenden Azure AD-Mitglieder können für Azure SQL-Datenbank bereitgestellt werden:The following members of Azure AD can be provisioned for Azure SQL Database:

  • Azure AD-Benutzer, die einer Gruppe mit der Serverrolle db_owner angehören, können die Syntax CREATE DATABASE SCOPED CREDENTIAL für Azure SQL-Datenbank und Azure Synapse nicht verwenden.Azure AD users that are part of a group that has db_owner server role cannot use the CREATE DATABASE SCOPED CREDENTIAL syntax against Azure SQL Database and Azure Synapse. Der folgende Fehler wird angezeigt:You will see the following error:

    SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

    Erteilen Sie die Rolle db_owner direkt dem einzelnen Azure AD-Benutzer, um das Problem CREATE DATABASE SCOPED CREDENTIAL zu verringern.Grant the db_owner role directly to the individual Azure AD user to mitigate the CREATE DATABASE SCOPED CREDENTIAL issue.

  • Diese Systemfunktionen geben bei der Ausführung unter Azure AD-Prinzipalen NULL-Werte zurück:These system functions return NULL values when executed under Azure AD principals:

    • SUSER_ID()
    • SUSER_NAME(<admin ID>)
    • SUSER_SNAME(<admin SID>)
    • SUSER_ID(<admin name>)
    • SUSER_SID(<admin name>)

Verwaltete SQL-InstanzSQL Managed Instance

  • Azure AD-Serverprinzipale (Anmeldungen) und -Benutzer werden für SQL Managed Instance unterstützt.Azure AD server principals (logins) and users are supported for SQL Managed Instance.
  • Das Festlegen von Azure AD-Serverprinzipalen (Anmeldungen), die einer Azure AD-Gruppe als Datenbankbesitzer zugeordnet sind, wird in SQL Managed Instance nicht unterstützt.Setting Azure AD server principals (logins) mapped to an Azure AD group as database owner is not supported in SQL Managed Instance.
    • Eine Erweiterung davon sieht folgendermaßen aus: Wenn eine Gruppe als Teil der Serverrolle dbcreator hinzugefügt wird, können Benutzer aus dieser Gruppe eine Verbindung mit SQL Managed Instance herstellen und neue Datenbanken erstellen, aber nicht auf die Datenbank zugreifen.An extension of this is that when a group is added as part of the dbcreator server role, users from this group can connect to the SQL Managed Instance and create new databases, but will not be able to access the database. Der Grund: Der neue Datenbankbesitzer ist die Sicherheitszuordnung und nicht der Azure AD-Benutzer.This is because the new database owner is SA, and not the Azure AD user. Dieses Problem wird nicht sichtbar, wenn der einzelne Benutzer der Serverrolle dbcreator hinzugefügt wird.This issue does not manifest if the individual user is added to the dbcreator server role.
  • Für Azure AD-Serverprinzipale (Anmeldungen) werden die SQL-Agent-Verwaltung und die Auftragsausführung unterstützt.SQL Agent management and jobs execution are supported for Azure AD server principals (logins).
  • Vorgänge für die Datenbanksicherung und -wiederherstellung können von Azure AD-Serverprinzipalen (Anmeldungen) ausgeführt werden.Database backup and restore operations can be executed by Azure AD server principals (logins).
  • Die Überwachung aller Anweisungen in Verbindung mit Azure AD-Serverprinzipalen (Anmeldungen) und Authentifizierungsereignissen wird unterstützt.Auditing of all statements related to Azure AD server principals (logins) and authentication events is supported.
  • Eine dedizierte Administratorverbindung für Azure AD-Serverprinzipale (Anmeldungen), die der Serverrolle „sysadmin“ angehören, wird unterstützt.Dedicated administrator connection for Azure AD server principals (logins) which are members of sysadmin server role is supported.
    • Unterstützt über das SQLCMD-Hilfsprogramm und SQL Server Management Studio.Supported through SQLCMD Utility and SQL Server Management Studio.
  • Anmeldetrigger werden für Anmeldeereignisse unterstützt, die von Azure AD-Serverprinzipalen (Anmeldungen) stammen.Logon triggers are supported for logon events coming from Azure AD server principals (logins).
  • Service Broker und Datenbank-E-Mails können unter Verwendung eines Azure AD-Serverprinzipals (Anmeldungen) eingerichtet werden.Service Broker and DB mail can be setup using an Azure AD server principal (login).

Herstellen einer Verbindung mit Azure AD-IdentitätenConnect by using Azure AD identities

Die Azure Active Directory-Authentifizierung unterstützt die folgenden Methoden der Verbindungsherstellung mit einer Datenbank unter Verwendung von Azure AD-Identitäten:Azure Active Directory authentication supports the following methods of connecting to a database using Azure AD identities:

  • Azure Active Directory PasswordAzure Active Directory Password
  • Azure Active Directory IntegratedAzure Active Directory Integrated
  • Azure Active Directory – universell mit Multi-Factor AuthenticationAzure Active Directory Universal with Multi-Factor Authentication
  • AnwendungstokenauthentifizierungUsing Application token authentication

Die folgenden Authentifizierungsmethoden werden für Azure AD-Serverprinzipale (Anmeldungen) unterstützt:The following authentication methods are supported for Azure AD server principals (logins):

  • Azure Active Directory PasswordAzure Active Directory Password
  • Azure Active Directory IntegratedAzure Active Directory Integrated
  • Azure Active Directory – universell mit Multi-Factor AuthenticationAzure Active Directory Universal with Multi-Factor Authentication

Weitere ÜberlegungenAdditional considerations

  • Um die Verwaltungsmöglichkeiten zu verbessern, wird empfohlen, eine dedizierte Azure AD-Gruppe als Administrator bereitzustellen.To enhance manageability, we recommend you provision a dedicated Azure AD group as an administrator.
  • Es kann immer nur ein einzelner Azure AD-Administrator (Benutzer oder Gruppe) für einen Server in SQL-Datenbank oder Azure Synapse konfiguriert werden.Only one Azure AD administrator (a user or group) can be configured for a server in SQL Database or Azure Synapse at any time.
    • Das Hinzufügen von Azure AD-Serverprinzipalen (Anmeldungen) für SQL Managed Instance ermöglicht es, mehrere Azure AD-Serverprinzipale (Anmeldungen) zu erstellen, die der Rolle sysadmin hinzugefügt werden können.The addition of Azure AD server principals (logins) for SQL Managed Instance allows the possibility of creating multiple Azure AD server principals (logins) that can be added to the sysadmin role.
  • Nur ein Azure AD-Administrator für den Server kann unter Verwendung eines Azure Active Directory-Kontos anfangs eine Verbindung mit dem Server oder der verwalteten Instanz herstellen.Only an Azure AD administrator for the server can initially connect to the server or managed instance using an Azure Active Directory account. Der Active Directory-Administrator kann weitere Azure AD-Datenbankbenutzer konfigurieren.The Active Directory administrator can configure subsequent Azure AD database users.
  • Es wird empfohlen, das Verbindungstimeout auf 30 Sekunden festzulegen.We recommend setting the connection timeout to 30 seconds.
  • SQL Server 2016 Management Studio und SQL Server Data Tools für Visual Studio 2015 (ab Version 14.0.60311.1April 2016) unterstützen die Azure Active Directory-Authentifizierung.SQL Server 2016 Management Studio and SQL Server Data Tools for Visual Studio 2015 (version 14.0.60311.1April 2016 or later) support Azure Active Directory authentication. (Die Azure AD-Authentifizierung wird vom .NET Framework-Datenanbieter für SqlServerab .NET Framework 4.6 unterstützt.)(Azure AD authentication is supported by the .NET Framework Data Provider for SqlServer; at least version .NET Framework 4.6). Daher können die neuesten Versionen dieser Tools und Datenebenenanwendungen (DAC und BACPAC) die Azure AD-Authentifizierung verwenden.Therefore the newest versions of these tools and data-tier applications (DAC and BACPAC) can use Azure AD authentication.
  • Ab Version 15.0.1 unterstützen das SQLCMD-Hilfsprogramm und das BCP-Hilfsprogramm die interaktive Active Directory-Authentifizierung mit Multi-Factor Authentication.Beginning with version 15.0.1, sqlcmd utility and bcp utility support Active Directory Interactive authentication with Multi-Factor Authentication.
  • SQL Server Data Tools für Visual Studio 2015 erfordert mindestens die Data Tools-Version von April 2016 (Version 14.0.60311.1).SQL Server Data Tools for Visual Studio 2015 requires at least the April 2016 version of the Data Tools (version 14.0.60311.1). Azure AD-Benutzer werden derzeit nicht im SSDT-Objekt-Explorer angezeigt.Currently, Azure AD users are not shown in SSDT Object Explorer. Sie können die Benutzer in sys.database_principals anzeigen, um dieses Problem zu umgehen.As a workaround, view the users in sys.database_principals.
  • Microsoft JDBC-Treiber 6.0 für SQL Server unterstützt die Azure AD-Authentifizierung.Microsoft JDBC Driver 6.0 for SQL Server supports Azure AD authentication. Siehe auch Einstellen der Verbindungseigenschaften.Also, see Setting the Connection Properties.
  • PolyBase kann sich nicht per Azure AD-Authentifizierung authentifizieren.PolyBase cannot authenticate by using Azure AD authentication.
  • Die Azure AD-Authentifizierung wird für Azure SQL-Datenbank und Azure Synapse auf den Blättern Datenbank importieren und Datenbank exportieren im Azure-Portal unterstützt.Azure AD authentication is supported for Azure SQL Database and Azure Synapse by using the Azure portal Import Database and Export Database blades. Import- und Exportvorgänge mit Azure AD-Authentifizierung werden auch per PowerShell-Befehl unterstützt.Import and export using Azure AD authentication is also supported from a PowerShell command.
  • Die Azure AD-Authentifizierung wird für SQL-Datenbank, SQL Managed Instance und Azure Synapse mithilfe der CLI unterstützt.Azure AD authentication is supported for SQL Database, SQL Managed Instance, and Azure Synapse with using the CLI. Weitere Informationen finden Sie unter Konfigurieren und Verwalten der Azure AD-Authentifizierung mit SQL-Datenbank oder Azure Synapse und SQL Server – az sql server.For more information, see Configure and manage Azure AD authentication with SQL Database or Azure Synapse and SQL Server - az sql server.

Nächste SchritteNext steps