Erfahrungen mit der Einrichtung von SSO mit Microsoft Azure


Sehr geehrte Damen und Herren,

aktuell bin ich dabei, Single Sign On für Microsoft Azure einzurichten bzw. auszurollen. Den dazugehörigen Helpdesk Artikel habe ich mir bereits angeschaut. Meine Fragen hierzu wären:

  • Gibt es hier jemanden, der sich mit dem Thema gut auskennt, es ggf. schon eingerichtet hat und mir vielleicht einige Tipps zur Einrichtung geben könnte?​​​​​​

Vielen Dank vorab und freundliche Grüße! :)


18 Antworten

Benutzerebene 4

Hallo @levenk

ich wandele Deine Frage in eine Diskussion um, damit sich alle User dazu noch besser austauschen können ;) Ich hör mich auch gerne einmal intern nach Erfahrungswerten um und teile sie dann anschließend hier mit Euch.

LG
Viktoria 

Hallo @levenk,

ich habe das mit Azure AD eingerichtet, funktioniert total schnukelig mit Conditional Access und MFA über Microsoft. Wenn du fragen hast, dann meld dich gerne.


Gruß

 

Oliver Mark

Abzeichen

Hallo@levenk,

kannst Du uns auch die Lösung sharen. Wir versuchen gerade die Anbindung mit ADFS 4.0 und kommen nicht weiter :-(


Danke und Grüße

 

Benutzerebene 5
Abzeichen +4

@OliverMark-Klesys vielleicht kannst Du ja @frank.buchholz weiterhelfen. 
Lg, Thomas

@Thomas  und @frank.buchholz Ich habe nur AzureAD und ADFS4.0 eingerichtet. Hilfreich hierzu war ein Dokument von @Phillip Hartmann 

Wir stehen vor der selben Herausforderung. Die SSO Integration mit dem AzureAD. Es wäre toll hier eine Hilfestellung z. B. das Dokument von @Phillip Hartmann zu erhalten. Woher bekomme ich dieses? :)@OliverMark-Klesys CC: @Thomas 

Benutzerebene 1
Abzeichen

Hallo @frank.buchholz @Sebastian Bullan,

anbei findet Ihr die von @OliverMark-Klesys angesprochene Dokumentation “Personio connect to Azure AD”. Diese gibt Euch die Hilfestellung zur erfolgreichen Integration von AzureAD in Personio 🙂.

LG
Phillip

Hallo zusammen. 

Weiß jemand, wie es sich bei Bestandsdaten verhält?

Wir planen die Einführung nachträglich. Nun gibt es die Mitarbeiter aber schon in getrennten Datensätzen. Ist ein Verschmelzen möglich? Was ist mit Backups, wenn es schiefgeht?

 

Grüße, Jonas 

Hallo Zusammen,
das funktioniert aber nur sauber wenn man auch das Exchange von O365 benutzt, weil sonst das Feld Email im Azure nicht gesetzt ist. Die anderen Attribute, die über Oauth im Scope openID abgefragt werden, sind nicht Teil im Azure Active Directory. 
Da wir zum Bespiel Gmail als Email client benutzen haben aktuell genau das Problem und können somit nur Google als SSO Anbieter an binden, wobei die SSO bei uns über Azure läuft. Hier wäre es ratsam noch den UPN mit den openID Stack aufzunehmen oder direkt auf SAML2.0 in Verbindung mit SCIM zu gehen.

Es sei denn jemand hat eine schlaue Lösung, wie das auch ohne das Email Feld funktioniert. Leider lassen sich die Attribute bei Oauth auch nicht customizen, wie eben bei SAML.

Cheers, 
Mirco

@Fyero konntest du die SSO Integration im Nachhinein ohne Datenverlust durchführen?

Ich will ebenfalls die Integration bei uns nachträglich durchführen.

@Joerg 
Ja, es hat bei mir tatsächlich reibungslos funktioniert.

Die Anleitung von @Phillip Hartmann hat sehr geholfen. Ich rate aber zu wirklich gründlicher Lektüre und wortgetreuer Umsetzung. 
 

Im Endergebnis sieht es bei mir so aus, dass sich meine Kollegen wahlweise mit Zugangsdaten oder mit dem Microsoft-Account einloggen können. Verluste gab es keine und das System hat sogar von alleine gemerkt, wenn bei einem Mitarbeiter das Microsoft-Konto die gleiche Mailadresse wie im Personioprofil hatte und hat diese dann automatisch verknüpft.

Später sind wir übrigens so weit gegangen, dass wir die ID des Personio-Kontos aus der URL in der AAD als Mitarbeiter-Nummer hinterlegt haben. Ein selbst geschriebenes Script zieht sich täglich aus Personio bestimmte Daten wie Vorgesetzter, Abteilung und Location. Daraus stricken wir dann bei AAD dynamische Mail-Gruppen, die sich automatisch bestücken. Und auch Freigabe-Rechte in Sharepoint via Vorgesetzter läuft damit sehr glatt. Allerdings setzt all das voraus, dass die HR-Abteilung die Personio-Profile penibel pflegt. 

 

Grüße, Jonas

 

@Fyero vielen Dank, das hat wirklich super funktioniert. Die Anleitung ist zwar schon ein bisschen älter aber mit ein bisschen know how findet man sich da schon zurecht.

Eine Frage hab ich aber noch. Die Anmeldung am Handy mit oAuth wird noch nicht unterstützt, richtig?

Ich erhalte bei der Anmeldung am Handy den Fehler, dass Microsoft mich nicht anmelden konnte.

Anbei ein Screenshot meiner Fehlermeldung:

Liebe Grüße

Joerg

 

Eine Frage hab ich aber noch. Die Anmeldung am Handy mit oAuth wird noch nicht unterstützt, richtig?

Ich erhalte bei der Anmeldung am Handy den Fehler, dass Microsoft mich nicht anmelden konnte.

 

Hallo Jörg.

Ich hatte das auch und habe kurz mit dem Support von Personio geschrieben.

Achte mal auf die korrekten Callback-URLs. In meinem Screenshot der obere rote Kasten.

 

Gruß, Jonas

 

 

@Fyero du bist der Größte. Es funktioniert. Ich bin begeistert.

Danke vielmals für die Unterstützung

Eine abschließende Frage zu diesem Thema hätte ich allerdings noch:

Wenn wir jetzt den Punkt aktivieren, dass die Anmeldung ausschließlich über oAuth stattfindet, wie kann sich dann ein Administrator im Fehlerfall bei Personio anmelden ohne oAuth verwenden zu müssen?

Eine abschließende Frage zu diesem Thema hätte ich allerdings noch:

Wenn wir jetzt den Punkt aktivieren, dass die Anmeldung ausschließlich über oAuth stattfindet, wie kann sich dann ein Administrator im Fehlerfall bei Personio anmelden ohne oAuth verwenden zu müssen?

Da bin ich mir nicht zu 100 Prozent sicher, da ich selbst keinen administrativen Zugang zu Personio bei uns habe. Allerdings denke ich, dass das System clever genug ist, sowas zu berücksichtigen. Im Zweifel würde ich einfach mal ein Admin-Konto bei Personio anlegen, welches kein Pendant in der AD hat. Dann muss ja zwangsläufig eine Anmeldung ohne oAuth erfolgen.

 

Eine abschließende Frage zu diesem Thema hätte ich allerdings noch:

Wenn wir jetzt den Punkt aktivieren, dass die Anmeldung ausschließlich über oAuth stattfindet, wie kann sich dann ein Administrator im Fehlerfall bei Personio anmelden ohne oAuth verwenden zu müssen?

Wäre gut wenn es hier von Seiten von Personio mal eine Aussage gäbe :) 

Benutzerebene 7
Abzeichen +22

Hallo @panda, Hallo @Fyero,

vielen Dank für die Frage und den Hinweis. Markiert uns Moderatoren auch gerne, wenn ihr Rückfragen habt, dann bekommen wir auf jeden Fall eine Benachrichtigung und sehen den Beitrag. :) 

Wenn ausschließlich OAuth aktiviert ist, können auch Admins sich ausschließlich mit dieser Login Methode anmelden. Sollte Euer Support-Zugriff offen sein und das Personio Support-Team Zugriff darauf haben, dann können sich die Account- und Kontoinhaber beim Support melden und bspw. eine Änderung in den Einstellungen zum optionalen OAuth anfordern. Sofern der Support Zugriff gegeben ist es an sich technisch möglich Euch zu unterstützen. 

Ich hoffe, das hilft Euch weiter, beim Aufsetzen Eurer Einstellungen. :) 

Liebe Grüße
Lena

Deine Antwort