Hoe kunnen we u vandaag helpen?

SAML-configuratie voor eenmalige aanmelding - Azure AD

U bent hier:
< Terug

MyWorkDrive Azure AD SAML SSO-overzicht

MyWorkDrive ondersteunt op SAML gebaseerde Web File Manager Single Sign On (SSO) bij Azure AD in plaats van traditionele Active Directory-verificatie voor alle benodigde aanmeldingen.

In dit artikel wordt beschreven hoe u AzureAD/Entra SSO instelt met een openbare URL. Als u een interne URL wilt gebruiken, wilt u een Azure-toepassingsgateway implementeren.

Voor SAML fungeert MyWorkDrive als een serviceprovider (SP), terwijl de Azure AD fungeert als de identiteitsprovider (IDP). In een typisch scenario synchroniseren klanten hun Active Directory-referenties met Azure AD. Gebruikersaanmeldingen zijn ingesteld om hetzelfde upn-achtervoegsel te gebruiken om in te loggen bij Active Directory als in Azure AD (in de meeste gevallen is dit het Office 365-abonnement van het bedrijf).

 

Azure AD SAML MyWorkDrive eenmalige aanmelding

Configuratie met behulp van deze instructies stelt u in staat beleid voor voorwaardelijke toegang in te schakelen/toe te passen voor functies in azure AD, zoals pre-verificatie en MFA op deze bedrijfstoepassing.

 

MyWorkDrive Azure AD SAML-configuratie

Voordat je start:
Zorg ervoor dat de MyWorkDrive-server wordt vertrouwd voor delegatie volgens onze Delegatie artikel

MyWorkDrive wordt vermeld als een goedgekeurde bedrijfstoepassing in Azure AD – Informatiekoppeling: https://azuremarketplace.microsoft.com/marketplace/apps/aad.myworkdrive?tab=Overview

Bekijk hier de instructies in de tutorial en informatielinks van Microsoft:
https://docs.microsoft.com/azure/active-directory/saas-apps/myworkdrive-tutorial

Vereisten

  • Zorg ervoor dat gebruikers een upn-achtervoegsel hebben toegepast voor de domeinnaam die overeenkomt met de aanmeldingsnaam van Azure AD, zodat ze zich met hun e-mailadres kunnen aanmelden bij uw MyWorkDrive-server (de meeste bedrijven synchroniseren hun Active Directory met dezelfde Azure AD-directory die ze gebruiken om in te loggen bij Office 365) .
  • Zorg ervoor dat de MyWorkDrive-server wordt vertrouwd voor delegatie volgens onze Delegatie artikel
  • Zorg ervoor dat uw MyWorkDrive-server toegankelijk is via internet voor client-login (web, mobiel, kaartstation). Schakel de Cloud Web Connector in of stel uw eigen openbare SSL-certificaat en hostnaam in die naar uw MyWorkDrive-server wijzen via poort 443 (SSL) Bekijk ondersteuningsartikel.

Installatiestappen

  • Meld u aan bij portal.azure.com als beheerder en maak verbinding met Azure AD Domain (als u Office 365 gebruikt, is dit hetzelfde account dat u gebruikt om in te loggen op portal.office.com).
  • Klik op Azure Active Directory, Enterprise Applications – New Application – Zoek naar “MyWorkDrive” – MyWorkDrive toevoegen als Enterprise App.

  • Klik op Single sign-on in het menu aan de linkerkant en kies SAML (u hoeft SAML alleen te kiezen wanneer u voor het eerst met de configuratie begint)

 

  • Negeer de configuratiegids bovenaan de pagina. Dit is handig wanneer u een SSO helemaal opnieuw opzet, maar biedt onnodige stappen bij het gebruik van de door ons geleverde sjabloon.

 

  • Begin met het bewerken van de informatie in vak 1. Selecteer Bewerken.

  • Accepteer de standaard Entiteits-ID van "MyWorkDrive"
    Dit hoeft alleen te worden gewijzigd als u meerdere MyWorkDrive-servers hebt ingesteld in uw Azure AD, aangezien Azure AD vereist dat elke bedrijfsapp een unieke entiteits-ID heeft. Wanneer gewijzigd, moet het ook worden gewijzigd zodat het overeenkomt met het veld Serviceprovidernaam van de SSO-configuratie in MyWorkDrive admin. U krijgt een foutmelding over Entiteits-ID komt niet overeen bij het inloggen van de gebruiker als deze niet correct zijn ingesteld.
  • Voer uw antwoord-URL in - dit is uw hostnaam gevolgd door /SAML/AssertionConsumerService.aspx
    bijvoorbeeld: https://uwserver.uwdomein.com/SAML/AssertionConsumerService.aspx
    Als u van plan bent meerdere domeinnamen voor de server te ondersteunen, zoals zowel een Cloud Web Connector- als een Direct-verbindingsadres, moet u ze allemaal invoeren als mogelijke antwoord-/antwoord-URL's.
  • Voer uw aanmeldings-URL in als gebruikers zich rechtstreeks bij MyWorkDrive aanmelden (in plaats van of naast toegang via de portal myapps.microsoft.com) met uw hostnaam gevolgd door: /Account/login-saml
    bijvoorbeeld: https://uwserver.uwdomein.com/Account/login-saml.
    Merk op dat dit technisch optioneel is, aangezien u een traditionele login kunt behouden terwijl u SSO alleen als optie aanbiedt, hoewel u dit meestal op deze manier wilt instellen.
  • Enkele uitlog-URL. Als u enkelvoudige afmelding wilt gebruiken, stelt u uw uitlog-URL in als https://uwserver.uwdomein.com/SAML/SLOService.aspx
    Houd rekening met de onderstaande aanvullende informatie over hoe AzureAD omgaat met eenmalige afmelding.
  • Er hoeft niets ingevuld te worden in het veld Relay State, laat dit leeg.

 

  • Maak vervolgens de nieuwe MyWorkDrive-server beschikbaar voor gebruikers. Alleen die gebruikers die daadwerkelijk machtigingen hebben om te delen via NTFS en zoals geconfigureerd bij machtigingen voor delen in MyWorkDrive, kunnen succesvol inloggen, ongeacht hoe u hier toegang inschakelt. U hebt twee opties: alle toestaan OF handmatig specifieke gebruikers selecteren. alles, klik op Eigenschappen in het linkermenu en stel vervolgens "Gebruikerstoewijzing vereist" in op Nee in de hoofdtekst. Dit is de meest normale configuratie omdat dubbele administratie wordt vermeden. Voeg eenvoudig gebruikers toe aan AD en de juiste groepen. Ervan uitgaande dat u uw lokale AD naar Azure AD synchroniseert, kunnen die gebruikers zich aanmelden bij de MyWorkDrive-server en de shares krijgen waarvoor ze toestemming hebben gekregen zoals geconfigureerd in MyWorkDrive zonder ze een voor een aan de Enterprise-app te hoeven toewijzen .OF Wijs handmatig gebruikers en groepen in de Azure Active Directory-portal toe aan de nieuwe MyWorkDrive-app
    Selecteer gebruikers en groepen in het linkermenu en gebruik vervolgens het item Gebruiker/groep toevoegen bovenaan het scherm.
    Opmerking Domein gebruikers groepen worden standaard niet gesynchroniseerd met Azure AD. Als u gebruikers handmatig toewijst, wijst u in de meeste gevallen op naam toe.
  • Kopieer in vak 3 de metadata-URL van het App Federation Signing Certificate naar het klembord. Er zijn geen andere wijzigingen vereist in vak 3, u hoeft niet te bewerken, kopieer gewoon de URL met behulp van het kopieerpictogram.

 

  • Negeer vakken 4, 5 en 6. Net als de configuratie-instructies hierboven, is dit handig als u een SSO helemaal opnieuw opzet – aangezien deze instructies ons sjabloon gebruiken, zijn acties in die vakken niet vereist.

  • Op de MyWorkDrive-server in het beheerdersdashboard, Enterprise-sectie, SAML/ADFS SSO inschakelen, kies Azure AD SAML en plak de Azure App Federation-metadata-URL die u uit vak 3 hebt gekopieerd.
  • Klik optioneel op "SSO-aanmelding vereisen" (hierdoor worden alle verbindingen automatisch omgeleid naar Azure AD SAML-aanmelding).
    Als u SSO-aanmelding vereisen niet selecteert, loggen gebruikers in wanneer ze naar uw MyWorkDrive-server-URL gaan met hun traditionele domeinaanmelding, en wordt de Azure AD-aanmelding alleen gebruikt wanneer er wordt geklikt als een koppeling vanuit de Office-portal of MyApps.
  • Selecteer optioneel Enable Single Logout, zie onderstaande opmerking over hoe Logout wordt afgehandeld in AzureAD
  • Optioneel, als u de Entiteits-ID in Azure AD Setup Box 1 hebt gewijzigd, wijzigt u de naam van de serviceprovider zodat deze overeenkomt precies wat u hebt ingevoerd in Azure AD Setup.
  • Klik op Opslaan. Hiermee worden het Azure AD SSL-certificaat en de instellingen automatisch voor u opgehaald.

Toegang testen

  • We raden u aan eerst met de webbrowser te testen voordat u doorgaat met het testen van de andere clients.
  • Mogelijk wilt u een andere browser gebruiken dan de browser die u routinematig gebruikt/waarbij u bent aangemeld OF de modus voor privé browsen om de aanmeldingservaring van Azure AD en eventueel beleid voor voorwaardelijke toegang voor MFA dat u mogelijk hebt toegepast, te valideren.
  • Als u SSO-aanmelding vereisen hebt ingeschakeld, bladert u naar de aanmeldings-URL van uw server, bijvoorbeeld https://uwserver.bedrijf.com en wordt u omgeleid naar Azure AD SAML om u aan te melden.
    Als u SSO-aanmelding vereisen niet hebt ingeschakeld, moet u de SAML-aanmeldings-URL opgeven, bijvoorbeeld https://uwserver.bedrijf.com/account/login-saml.m
  • Meld u aan met Azure AD. Na succesvol inloggen wordt uw testgebruiker omgeleid door uw MyWorkDrive-website en worden de toegewezen bestandsshares weergegeven.
  • Alternatief, als u gebruikers toewijst aan de app in azure AD, kunt u inloggen als een toegewezen gebruiker om: https://myapps.microsoft.com. Selecteer de MyWorkDrive-applicatie.

De gebruiker wordt automatisch aangemeld bij uw MyWorkDrive-browser Web File Manager.

Als bij het inloggen de gedeelde mappen van de gebruiker aanwezig zijn maar leeg zijn wanneer u erop klikt, is dat een indicatie dat Delegatie niet correct is ingesteld. Raadpleeg het artikel Delegatie instellen. Houd er rekening mee dat het 15 minuten of langer kan duren voordat wijzigingen in delegatie zijn doorgevoerd op AD. In het geval van een grote AD zijn er enkele uren genoteerd voor delegatie om volledig te propageren.

 

SSO-aanmeldingen zijn volledig compatibel met alle MyWorkDrive-functies, waaronder:

  • alle clients (web, mobiel internet, Windows Map Drive, Mac Map Drive, iOS, Android en Teams)
  • de Cloud Web Connector
  • Bewerken in Local Office vanuit de webclient
  • en plaatsen in mobiel kantoor.

SAML Uitloggen

Azure Active Directory biedt geen ondersteuning voor SAML-afmelding. Door SP geïnitieerde SLO, waarbij een SAML-afmeldingsaanvraag wordt verzonden naar Azure AD, zorgt er niet voor dat een uitlogreactie wordt geretourneerd. In plaats daarvan geeft Azure AD een bericht weer dat aangeeft dat de gebruiker is uitgelogd en dat de browservensters moeten worden gesloten. Afmelden bij Azure AD zorgt er niet voor dat een uitlogverzoek naar de serviceprovider wordt verzonden. Azure AD biedt geen ondersteuning voor het configureren van een SAML-uitlogservice-URL voor de serviceprovider.

Probleemoplossen

  • Zorg ervoor dat u een browser gebruikt om privé of incognito te testen om cachingproblemen te voorkomen
  • Controleer nogmaals of de gebruiker kan inloggen zonder SAML en dat hij een e-mailadres gebruikt dat overeenkomt met zijn UPN in Active Directory
  • Gebruiker ontvangt fout: de aangemelde gebruiker xxx@xxx.com heeft geen rol toegewezen gekregen voor de toepassing – zoals beschreven in bovenstaande opmerkingen bij de installatie: wijs een gebruiker of groep waarvan ze lid zijn in de Azure Active Directory-portal toe aan de nieuwe MyWorkDrive-app (Enterprise applicaties – Alle applicaties – MyWorkDrive – Single sign-on (SAML-based sign-on) gebruikers en groepen of schakel de vereiste gebruikerstoewijzing uit door deze in te stellen op nee.
  • Mappen worden blanco weergegeven nadat de gebruiker is ingelogd: Zorg ervoor dat de MyWorkDrive-server wordt vertrouwd voor delegatie volgens onze Delegatie artikel
  • Gebruiker ontvangt een fout: de antwoord-URL die is opgegeven in het verzoek, komt niet overeen met de antwoord-URL's die voor de toepassing zijn geconfigureerd: controleer of de URL die is opgegeven in Azure AD SAML overeenkomt met het openbare webadres van de server en als reverse proxy's worden gebruikt, zijn ze niet opnieuw -het schrijven van de URL. Als u bovendien uw eigen hostnaam gebruikt, bijvoorbeeld https://uwserver.uwdomein.com, zorg er dan voor dat u de MyWorkDrive Cloud Web Connect uitschakelt onder de instellingen op uw MyWorkDrive-server (wanneer de Cloud Web Connector is ingeschakeld, gaan we ervan uit dat u onze *.myworkdrive gebruikt). .net en breng wijzigingen aan in de antwoord-URL om hieraan tegemoet te komen).
  • Als u tijdens het inloggen meerdere MFA-prompts ontvangt, zorg er dan voor dat u twee factoren in MyWorkDrive Enterprise uitschakelt nadat u SSO vereisen hebt ingeschakeld. Als u een MFA-vereiste hebt in Azure AD, wordt deze aangeroepen als onderdeel van de aanmelding via Azure AD en zijn er geen instellingen vereist in MyWorkDrive om deze in te schakelen.

 

Uw certificaat verlengen

Het SSO-certificaat dat is uitgegeven door Microsoft en wordt gebruikt door MyWorkDrive om de communicatie tussen Azure AD en uw MyWorkDrive-server te beveiligen, verloopt periodiek. De standaard is 3 jaar, maar u kunt bij aanmaak een lager bedrag kiezen.

Dan verloopt je certificaat, je ontvangt een e-mail met enkele algemene richtlijnen van Microsoft, maar dankzij het integratiewerk dat we hebben gedaan om Azure AD eenvoudiger te implementeren, is het eigenlijk eenvoudiger dan Microsoft beschrijft.

De e-mail die u ontvangt noteert 5 stappen.

 

De twee wijzigingen in de instructies zijn:

  • Het oude certificaat verwijderen uit Azure AD
  • Gebruik MyWorkDrive om het nieuwe certificaat te downloaden, het is niet nodig om het certificaat handmatig te plaatsen

 

Na stap 4,

Verwijder uw oude certificaat in AzureAD.
U zult MyWorkDrive in de volgende stap onmiddellijk bijwerken met de nieuwe, dus maak de nieuwe actief (als dit niet automatisch gebeurt) en verwijder de oude omdat deze niet langer nodig is.
Op de oud/inactief certificaat, klik op het menu met 3 stippen aan de linkerrand van de certificaatrij en kies Certificaat verwijderen.

In plaats van stap 5

Nu, met slechts één certificaat dat wordt weergegeven op uw MyWorkDrive Azure AD-configuratie, slaat u de Azure AD-pagina op en logt u vervolgens in op het MyWorkDrive-beheerpaneel op de MyWorkDrive-server en bladert u naar het tabblad Enterprise.

Bevestig dat u Azure AD hebt geconfigureerd en sla de pagina vervolgens op.

 

MyWorkDrive gebruikt de ingebouwde Azure AD-configuratie om verbinding te maken met uw Azure AD en het certificaat te downloaden en bij te werken. Het is niet nodig om het nieuwe certificaat handmatig op het bestandssysteem te plaatsen of te "Uploaden naar MyWorkDrive", MyWorkDrive regelt dat voor u.

Het SAML-certificaat kan op een aantal locaties zijn opgeslagen, afhankelijk van uw versie van MyWorkDrive en of u Clustering hebt ingeschakeld.

 

Houd er rekening mee dat als u een foutbericht ontvangt over meerdere openbare ondertekeningscertificaten, dit een indicatie is dat u het oude certificaat niet uit Azure AD kunt verwijderen. Meld u opnieuw aan bij Azure AD en controleer nogmaals of het nieuwe certificaat actief is gemaakt en het oude certificaat is verwijderd.