Integration des einmaligen Anmeldens (SSO) von Microsoft Entra in Contentstack

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie Contentstack mit Microsoft Entra ID integrieren. Die Integration von Contentstack mit Microsoft Entra ID ermöglicht Folgendes:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf Contentstack hat.
  • Sie können Ihren Benutzern ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Contentstack anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Zur Integration von Microsoft Entra ID und Contentstack benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • Ein Contentstack-Abonnement, für das das einmalige Anmelden (SSO) aktiviert ist.

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • Contentstack unterstützt das durch SP und IDP initiierte einmalige Anmelden.
  • Contentstack unterstützt die Just-In-Time-Benutzerbereitstellung.

Zum Konfigurieren der Integration von Contentstack mit Microsoft Entra ID müssen Sie Contentstack aus dem Katalog Ihrer Liste verwalteter SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Contentstack in das Suchfeld ein.
  4. Wählen Sie Contentstack im Ergebnisbereich aus und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für Contentstack

Konfigurieren und testen Sie das einmalige Anmelden (SSO) von Microsoft Entra mit Contentstack mithilfe einer Testbenutzerin namens B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Contentstack eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra mit Contentstack die folgenden Schritte aus:

  1. Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer, um Microsoft Entra-SSO mit dem Testbenutzer B. Simon zu testen.
    2. Zuweisen der Microsoft Entra-Testbenutzerin, um B.Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für Contentstack ‒ zum Konfigurieren der Einstellungen für einmaliges Anmelden auf der Anwendungsseite.
    1. Erstellen eines Contentstack-Testbenutzers ‒ für ein Pendant von B. Simon in Contentstack, das mit der Benutzerdarstellung in Microsoft Entra verknüpft ist.
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra im Microsoft Entra Admin Center zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Cloudanwendungsadministrator an, und navigieren Sie zu Identität>Anwendungen>Enterprise-Anwendungen.

  2. Klicken Sie nun auf + Neue Anwendung, und suchen Sie nach Contentstack, und klicken Sie dann auf " Erstellen". Nach der Erstellung wechseln Sie nun zum Single Sign-On einrichten oder klicken Sie im linken Menü auf den Single Sign-On.

    Screenshot shows the new application creation.

  3. Wählen Sie dann auf der Seite Single Sign-On Methode die Methode SAML aus.

    Screenshot shows how to select a single sign-on method.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Screenshot shows how to edit Basic SAML Configuration.

  5. Im Abschnitt Grundlegende SAML-Konfiguration müssen Sie einige Schritte ausführen. Um die für diese Schritte erforderlichen Informationen zu erhalten, müssen Sie zuerst zur Contentstack-Anwendung wechseln und den SSO-Namen und die ACS-URL wie folgt erstellen:

    a. Melden Sie sich bei Ihrem Contentstack-Konto an, gehen Sie zur Seite Organisationseinstellungen und klicken Sie auf die Registerkarte Single Sign-On.

    Screenshot shows the steps for Basic SAML Configuration.

    b. Geben Sie einen SSO-Namen Ihrer Wahl ein, und klicken Sie auf Erstellen.

    Screenshot shows how to enter or create name.

    Hinweis

    Wenn Ihr Firmenname beispielsweise "Acme, Inc" lautet. geben Sie hier „acme“ ein. Dieser Name wird von den Benutzern der Organisation bei der Anmeldung als einer der Anmeldedaten verwendet. Der SSO-Name darf nur Buchstaben (in Kleinbuchstaben), Zahlen (0–9) und/oder Bindestriche (-) enthalten.

    c. Wenn Sie auf Erstellen klicken, generiert dies die Assertionsverbraucherdienst-URL oder ACS-URL sowie weitere Details wie die Entitäts-ID, Attribute und das NameID-Format.

    Screenshot shows generating the values to configure.

  6. Fügen Sie wieder im Abschnitt Grundlegende SAML-Konfiguration die Entitäts-ID und die ACS-URL ein, die in den obigen Schritten generiert wurde, und speichern Sie die Einträge anhand der Abschnitte Identifier (Entitäts-ID) bzw. Antwort-URL.

    1. Fügen Sie in das Textfeld Identifier den Wert der Entitäts-ID ein, den Sie aus Contentstack kopiert haben.

      Screenshot shows how to paste the Identifier value.

    2. Fügen Sie im Textfeld Antwort-URL die ACS-URL ein, die Sie aus Contentstack kopiert haben.

      Screenshot shows how to paste the Reply URL.

  7. Dieser Schritt ist optional. Wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten, geben Sie die Anmelde-URL im Abschnitt Anmelde-URL ein:

    Screenshot shows how to paste the Sign on URL.

    Hinweis

    Sie finden die SSO-One-Click-URL (d. h. die Anmelde-URL), wenn Sie die Konfiguration von Contentstack SSO abgeschlossen haben. Screenshot shows how to enable the access page.

  8. Die Contentstack-Anwendung erwartet die SAML-Assert-Anweisungen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

    Screenshot shows the image of attributes configuration.

  9. Darüber hinaus erwartet die Contentstack-Anwendung, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen. Dieser Schritt ist optional.

    Name Quellattribut
    Rollen user.assignedroles

    Hinweis

    Bitte klicken Sie hier, um zu erfahren, wie Sie eine Rolle in Microsoft Entra ID konfigurieren.

  10. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zum Eintrag Zertifikat (Base64) . Wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen, und speichern Sie es auf Ihrem Computer.

    Screenshot shows the Certificate download link.

  11. Kopieren Sie im Abschnitt Contentstack einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

    Screenshot shows to copy configuration URLs.

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie im Microsoft Entra Admin Center einen Testbenutzer namens B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie B. Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra, indem Sie Zugriff auf Contentstack gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Contentstack.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
    1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
    2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
    3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren von Contentstack-SSO

  1. Melden Sie sich bei der Contentstack-Unternehmenswebsite als Administrator an.

  2. Wechseln Sie zur Seite "Organisationseinstellungen", und klicken Sie im linken Menü auf die Registerkarte "Single Sign-On".

  3. Navigieren Sie auf der Seite Single Sign-On Configuration zum Abschnitt SSO-Configuration und führen Sie die folgenden Schritte aus:

    1. Geben Sie einen gültigen SSO-Namen ihrer Wahl ein und gehen Sie auf Erstellen.

      Screenshot shows settings of the configuration.

      Hinweis

      Wenn Ihr Firmenname beispielsweise "Acme, Inc" lautet. geben Sie hier „acme“ ein. Dieser Name wird von den Benutzern der Organisation bei der Anmeldung als einer der Anmeldedaten verwendet. Der SSO-Name darf nur Buchstaben (in Kleinbuchstaben), Zahlen (0–9) und/oder Bindestriche (-) enthalten.

    2. Wenn Sie auf Erstellen klicken, werden die Assertionsverbraucherdienst-URL oder ACS URL und andere Details wie Entitäts-ID, Attribute und NameID-Format generiert. Klicken Sie danach auf Weiter.

      Screenshot shows the configuration values.

  4. Navigieren Sie zur Registerkarte Idp-Konfiguration, und führen Sie die folgenden Schritte aus:

    Screenshot shows the login values from Identity.

    1. Fügen Sie die Anmelde-URL, den Sie aus dem Microsoft Entra Admin Center kopiert haben, in das Textfeld Single Sign-On Url ein.

    2. Öffnen Sie das heruntergeladene Zertifikat (Base64) aus dem Microsoft Entra Admin Center, und laden Sie es in das Feld Zertifikat hoch.

    3. Klicken Sie auf Weiter.

  5. Als Nächstes müssen Sie die Rollenzuordnung in Contentstack erstellen.

    Hinweis

    Sie können diesen Schritt nur anzeigen und ausführen, wenn die IdP-Rollenzuordnung Teil Ihres Contentstack-Plans ist.

  6. Im Abschnitt Benutzerverwaltung der SSO-Einrichtungsseite von Contentstack sehen Sie den Strict-Modus (Zugriffsberechtigung für Benutzer der Organisation nur über SSO-Anmeldung) und Zeitüberschreitung Sitzung (Sitzungsdauer für einen über SSO angemeldeten Benutzer festlegen). Unter diesen Optionen wird auch die Option Erweiterte Einstellungen angezeigt.

    Screenshot shows User Management section.

  7. Klicken Sie auf die Erweiterte Einstellungen, um den Abschnitt IdP-Rollenzuordnung zu erweitern, um IdP-Rollen dem Contentstack zuzuordnen. Dieser Schritt ist optional.

  8. Klicken Sie im Abschnitt Rollenzuordnung hinzufügen auf den Link + ROLLENZUORDNUNG HINZUFÜGEN, um die Zuordnungsdetails einer IdP-Rolle hinzuzufügen, die die folgenden Details enthält:

    Screenshot shows how to add the mapping details.

    1. Geben Sie im Feld IdP-Rollenidentifikator den IdP-Gruppen-/Rollenidentifikator ein (z. B. „Entwickler“), für den Sie den Wert aus Ihrem Manifest verwenden können.

    2. Wählen Sie für die Organisationsrollen entweder Administrator- oder Mitgliedsrolle für die zugeordnete Gruppe/Rolle aus.

    3. Für die Berechtigungen auf Stapelebene (optional) weisen Sie dieser Rolle Stapel und die entsprechenden Rollen auf Stapelebene zu. Ebenso können Sie weitere Rollenzuordnungen für Ihre Contentstack-Organisation hinzufügen. Wenn Sie eine neue Rollenzuordnung hinzufügen möchten, klicken Sie auf + ROLLENZUORDNUNG HINZUFÜGEN, und geben Sie die Details ein.

    4. Lassen Sie das Rollen-Trennzeichen leer, da Microsoft Entra ID in der Regel Rollen in einem Array zurückgibt.

    5. Aktivieren Sie schließlich das Kontrollkästchen IdP-Rollenzuordnung aktivieren, um das Feature zu aktivieren, und klicken Sie auf Weiter.

    Hinweis

    Weitere Informationen finden Sie in der Contentstack-SSO-Anleitung.

  9. Bevor Sie SSO aktivieren, empfiehlt es sich, die bisher konfigurierten SSO-Einstellungen zu testen. Gehen Sie dafür wie folgt vor:

    1. Klicken Sie auf die Schaltfläche SSO testen, und sie gelangen über die SSO-Seite zum Anmelden von Contentstack, auf der Sie den SSO-Namen Ihrer Organisation angeben müssen.
    2. Klicken Sie dann auf „Weiter“, um zur IdP-Anmeldeseite zu wechseln.
    3. Melden Sie sich bei Ihrem Konto an. Wenn Sie sich bei Ihrem IdP anmelden können, ist Ihr Test erfolgreich.
    4. Bei erfolgreicher Verbindung wird eine Erfolgsmeldung wie folgt angezeigt.

    Screenshot shows the successful test connection.

  10. Nachdem Sie Ihre SSO-Einstellungen getestet haben, klicken Sie auf SSO aktivieren, um SSO für Ihre Contentstack-Organisation zu aktivieren.

    Screenshot shows the enable testing section.

  11. Sobald dies aktiviert ist, können Benutzer über SSO auf die Organisation zugreifen. Bei Bedarf können Sie auch auf dieser Seite SSO deaktivieren.

    Screenshot shows disabling the access page.

Erstellen eines Contentstack-Testbenutzers

In diesem Abschnitt wird in Contentstack eine Benutzerin namens Britta Simon erstellt. Contentstack unterstützt die Just-In-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. Für Sie steht in diesem Abschnitt kein Aktionselement zur Verfügung. Ist ein Benutzer noch nicht in Contentstack vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

  • Klicken Sie im Microsoft Entra Admin Center auf Diese Anwendung testen. Dies leitet Sie zur Contentstack-Anmelde-URL weiter, wo Sie den Anmeldevorgang starten können.

  • Rufen Sie direkt die Contentstack-Anmelde-URL auf und initiieren Sie den Anmeldeflow.

IDP-initiiert:

  • Klicken Sie im Microsoft Entra Admin Center auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der Contentstack-Instanz angemeldet werden, für die Sie das einmalige Anmelden eingerichtet haben.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Beim Klicken auf die Kachel „Contentstack“ in „Meine Apps“ geschieht Folgendes: Wenn Sie die Anwendung im SP-Modus konfiguriert haben, werden Sie zum Initiieren des Anmeldeflows zur Anmeldeseite der Anwendung weitergeleitet. Wenn Sie die Anwendung im IDP-Modus konfiguriert haben, sollten Sie automatisch bei der Contentstack-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von Contentstack können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.