fbpx

Hoe kunnen we u vandaag helpen?

SAML-configuratie voor eenmalige aanmelding - Azure AD

U bent hier:
< Terug

MyWorkDrive Azure AD SAML-overzicht

MyWorkDrive ondersteunt op SAML gebaseerde Web File Manager Single Sign On (SSO) bij Azure AD in plaats van traditionele Active Directory-verificatie voor alle benodigde aanmeldingen.

Voor SAML fungeert MyWorkDrive als serviceprovider (SP), terwijl Azure AD fungeert als identiteitsprovider (IdP). In een typisch scenario synchroniseren klanten hun Active Directory-referenties met Azure AD. Gebruikersaanmeldingen zijn ingesteld om hetzelfde upn-achtervoegsel te gebruiken om in te loggen op Active Directory als in Azure AD (in de meeste gevallen is dit het Office 365-abonnement van het bedrijf).

 

Azure AD SAML MyWorkDrive eenmalige aanmelding

Configuratie met behulp van deze instructies stelt u in staat beleid voor voorwaardelijke toegang in te schakelen/toe te passen voor functies in azure AD, zoals pre-verificatie en MFA op deze bedrijfstoepassing.

 

MyWorkDrive Azure AD SAML-configuratie

Voordat je start:
Zorg ervoor dat de MyWorkDrive-server wordt vertrouwd voor delegatie volgens onze Delegatie artikel

MyWorkDrive wordt vermeld als een goedgekeurde bedrijfstoepassing in Azure AD – Informatiekoppeling: https://azuremarketplace.microsoft.com/marketplace/apps/aad.myworkdrive?tab=Overview

Bekijk hier de instructies in de tutorial en informatielinks van Microsoft:
https://docs.microsoft.com/azure/active-directory/saas-apps/myworkdrive-tutorial

Vereisten

  • Zorg ervoor dat gebruikers een upn-achtervoegsel hebben toegepast voor de domeinnaam die overeenkomt met de aanmeldingsnaam van Azure AD, zodat ze zich met hun e-mailadres kunnen aanmelden bij uw MyWorkDrive-server (de meeste bedrijven synchroniseren hun Active Directory met dezelfde Azure AD-directory die ze gebruiken om in te loggen bij Office 365) .
  • Zorg ervoor dat de MyWorkDrive-server wordt vertrouwd voor delegatie volgens onze Delegatie artikel
  • Zorg ervoor dat uw MyWorkDrive-server op internet toegankelijk is voor clientaanmelding (web, mobiel, kaartstation). Schakel de Cloud Web Connector in of stel uw eigen openbare SSL-certificaat en hostnaam in die naar uw MyWorkDrive-server wijst via poort 443 (SSL) Bekijk ondersteuningsartikel.

Installatiestappen

  • Meld u aan bij portal.azure.com als beheerder en maak verbinding met Azure AD Domain (als u Office 365 gebruikt, is dit hetzelfde account dat u gebruikt om in te loggen op portal.office.com).
  • Klik op Azure Active Directory, Enterprise Applications – New Application – Zoek naar “MyWorkDrive” – MyWorkDrive toevoegen als Enterprise App.

  • Klik op Single sign-on in het menu aan de linkerkant en kies SAML (u hoeft SAML alleen te kiezen wanneer u voor het eerst met de configuratie begint)

 

  • Negeer de configuratiehandleiding bovenaan de pagina. Dit is handig wanneer u een SSO helemaal opnieuw instelt, maar biedt onnodige stappen bij het gebruik van de sjabloon die we bieden.

 

  • Begin met het bewerken van de informatie in vak 1. Selecteer Bewerken.

  • Accepteer de standaard Entiteits-ID van "MyWorkDrive"
    Dit hoeft alleen te worden gewijzigd als u meerdere MyWorkDrive-servers hebt ingesteld in uw Azure AD, aangezien Azure AD vereist dat elke bedrijfsapp een unieke entiteits-ID heeft. Als het wordt gewijzigd, moet het ook worden gewijzigd zodat het overeenkomt in het veld Naam serviceprovider van SSO-configuratie in MyWorkDrive-beheer. U krijgt een foutmelding over de Entiteits-ID komt niet overeen bij het inloggen van de gebruiker als deze niet correct zijn ingesteld.
  • Voer uw antwoord-URL in - dit is uw hostnaam gevolgd door /SAML/AssertionConsumerService.aspx
    bijvoorbeeld: https://uwserver.uwdomein.com/SAML/AssertionConsumerService.aspx
    Als u van plan bent meerdere domeinnamen voor de server te ondersteunen, zoals zowel een Cloud Web Connector- als een Direct-verbindingsadres, moet u ze allemaal invoeren als mogelijke antwoord-/antwoord-URL's.
  • Voer uw aanmeldings-URL in als gebruikers zich rechtstreeks bij MyWorkDrive aanmelden (in plaats van of naast toegang via de portal myapps.microsoft.com) met uw hostnaam gevolgd door: /Account/login-saml
    bijvoorbeeld: https://uwserver.uwdomein.com/Account/login-saml.
    Merk op dat dit technisch optioneel is, aangezien u een traditionele login kunt behouden terwijl u SSO alleen als optie aanbiedt, hoewel u dit meestal op deze manier wilt instellen.
  • Enkele uitlog-URL. Als u enkelvoudig uitloggen wilt gebruiken, stelt u uw uitlog-URL in als https://uwserver.uwdomein.com/SAML/SLOService.aspx
    Houd rekening met de onderstaande aanvullende informatie over hoe AzureAD omgaat met eenmalige afmelding.
  • Er hoeft niets ingevuld te worden in het veld Relay State, laat dit leeg.

 

  • Stel vervolgens de nieuwe MyWorkDrive-server beschikbaar voor gebruikers. Alleen die gebruikers die daadwerkelijk machtigingen hebben om via NTFS te delen en zoals geconfigureerd voor sharemachtigingen in MyWorkDrive, kunnen inloggen, ongeacht hoe u hier toegang inschakelt. U hebt twee opties: alle toestaan OF handmatig specifieke gebruikers selecteren. allemaal, klik op Eigenschappen in het linkermenu en stel vervolgens "Gebruikerstoewijzing vereist" in op Nee in de hoofdtekst. Dit is de meest normale configuratie omdat het dubbel beheer voorkomt. Voeg eenvoudig gebruikers toe aan AD en de juiste groepen. Ervan uitgaande dat u uw lokale AD synchroniseert met Azure AD, kunnen die gebruikers inloggen op de MyWorkDrive-server en de shares krijgen waarvoor ze toestemming hebben gekregen, zoals geconfigureerd in MyWorkDrive zonder ze één voor één toe te wijzen aan de Enterprise-app .OF Wijs handmatig gebruikers en groepen in de Azure Active Directory-portal toe aan de nieuwe MyWorkDrive-app
    Selecteer gebruikers en groepen in het linkermenu en gebruik vervolgens het item Gebruiker/groep toevoegen bovenaan het scherm.
    Opmerking Domein gebruikers groepen worden standaard niet gesynchroniseerd met Azure AD. Als u gebruikers handmatig toewijst, wijst u in de meeste gevallen op naam toe.
  • Kopieer in vak 3 de metadata-URL van het App Federation Signing Certificate naar het klembord. Er zijn geen andere wijzigingen vereist in vak 3, u hoeft niet te bewerken, kopieer gewoon de URL met behulp van het kopieerpictogram.

 

  • Negeer vakken 4, 5 en 6. Net als de configuratie-instructies hierboven, is dit handig als u een SSO helemaal opnieuw instelt - aangezien deze instructies onze sjabloon gebruiken, zijn acties in die vakken niet vereist.

  • Op de MyWorkDrive-server in het beheerdersdashboard, Enterprise-sectie, SAML/ADFS SSO inschakelen, kies Azure AD SAML en plak de Azure App Federation-metadata-URL die u uit vak 3 hebt gekopieerd.
  • Klik optioneel op "SSO-aanmelding vereisen" (hierdoor worden alle verbindingen automatisch omgeleid naar Azure AD SAML-aanmelding).
    Als u SSO-aanmelding vereisen niet selecteert, loggen gebruikers in wanneer ze naar uw MyWorkDrive-server-URL gaan met hun traditionele domeinaanmelding, en wordt de Azure AD-aanmelding alleen gebruikt wanneer er wordt geklikt als een koppeling vanuit de Office-portal of MyApps.
  • Selecteer optioneel Enable Single Logout, zie onderstaande opmerking over hoe Logout wordt afgehandeld in AzureAD
  • Optioneel, als u de Entiteits-ID in Azure AD Setup Box 1 hebt gewijzigd, wijzigt u de naam van de serviceprovider zodat deze overeenkomt precies wat u hebt ingevoerd in Azure AD Setup.
  • Klik op Opslaan. Hiermee worden het Azure AD SSL-certificaat en de instellingen automatisch voor u opgehaald.

Toegang testen

  • We raden u aan eerst met de webbrowser te testen voordat u doorgaat met het testen van de andere clients.
  • Mogelijk wilt u een andere browser gebruiken dan de browser die u routinematig gebruikt/waarbij u bent aangemeld OF de modus voor privé browsen om de aanmeldingservaring van Azure AD en eventueel beleid voor voorwaardelijke toegang voor MFA dat u mogelijk hebt toegepast, te valideren.
  • Als u SSO-aanmelding vereisen hebt ingeschakeld, bladert u naar de aanmeldings-URL van uw server, bijvoorbeeld https://uwserver.bedrijf.com en wordt u omgeleid naar Azure AD SAML om u aan te melden.
    Als u SSO-aanmelding vereisen niet hebt ingeschakeld, moet u de SAML-aanmeldings-URL opgeven, bijvoorbeeld https://uwserver.bedrijf.com/account/login-saml.m
  • Meld u aan met Azure AD. Na succesvolle aanmelding wordt uw testgebruiker omgeleid door uw MyWorkDrive-website en worden de toegewezen bestandsshares weergegeven.
  • Alternatief, als u gebruikers toewijst aan de app in azure AD, kunt u inloggen als een toegewezen gebruiker om: https://myapps.microsoft.com. Selecteer de MyWorkDrive-applicatie.

De gebruiker wordt automatisch aangemeld bij uw MyWorkDrive-browser Web File Manager.

Als bij het inloggen de gedeelde mappen van de gebruiker aanwezig zijn maar leeg zijn wanneer u erop klikt, is dat een indicatie dat Delegatie niet correct is ingesteld. Raadpleeg het artikel Delegatie instellen. Houd er rekening mee dat het doorgeven van wijzigingen in de delegatie 15 minuten of langer kan duren in AD. In het geval van een groot AD zijn er enkele uren uitgetrokken om de delegatie volledig uit te dragen.

 

SSO-aanmeldingen zijn volledig compatibel met alle MyWorkDrive-functies, waaronder:

  • alle clients (web, mobiel internet, Windows Map Drive, Mac Map Drive, iOS, Android en Teams)
  • de Cloud Web Connector
  • Bewerken in Local Office vanuit de webclient
  • en plaatsen in mobiel kantoor.

SAML Uitloggen

Azure Active Directory biedt geen ondersteuning voor SAML-afmelding. Door SP geïnitieerde SLO, waarbij een SAML-afmeldingsaanvraag wordt verzonden naar Azure AD, zorgt er niet voor dat een uitlogreactie wordt geretourneerd. In plaats daarvan geeft Azure AD een bericht weer dat aangeeft dat de gebruiker is uitgelogd en dat de browservensters moeten worden gesloten. Afmelden bij Azure AD zorgt er niet voor dat een uitlogverzoek naar de serviceprovider wordt verzonden. Azure AD biedt geen ondersteuning voor het configureren van een SAML-uitlogservice-URL voor de serviceprovider.

Probleemoplossen

  • Zorg ervoor dat u een browser gebruikt om privé of incognito te testen om cachingproblemen te voorkomen
  • Controleer nogmaals of de gebruiker kan inloggen zonder SAML en dat hij een e-mailadres gebruikt dat overeenkomt met zijn UPN in Active Directory
  • Gebruiker ontvangt fout: de aangemelde gebruiker xxx@xxx.com heeft geen rol toegewezen gekregen voor de toepassing – zoals beschreven in bovenstaande opmerkingen bij de installatie: wijs een gebruiker of groep waarvan ze lid zijn in de Azure Active Directory-portal toe aan de nieuwe MyWorkDrive-app (Enterprise applicaties – Alle applicaties – MyWorkDrive – Single sign-on (SAML-based sign-on) gebruikers en groepen of schakel de vereiste gebruikerstoewijzing uit door deze in te stellen op nee.
  • Mappen worden als leeg weergegeven nadat de gebruiker zich heeft aangemeld: Zorg ervoor dat de MyWorkDrive-server wordt vertrouwd voor overdracht volgens onze Delegatie artikel
  • Gebruiker ontvangt fout: de antwoord-URL die is opgegeven in de aanvraag, komt niet overeen met de antwoord-URL's die zijn geconfigureerd voor de toepassing. Controleer of de URL die is opgegeven in Azure AD SAML overeenkomt met het openbare webadres van de server en als reverse proxy's worden gebruikt, zijn ze niet opnieuw - het schrijven van de URL. Bovendien, als u uw eigen hostnaam gebruikt, bijv. https://uwserver.uwdomein.com, zorg er dan voor dat u MyWorkDrive Cloud Web Connect uitschakelt onder instellingen op uw MyWorkDrive-server (wanneer de Cloud Web Connector is ingeschakeld, gaan we ervan uit dat u onze *.myworkdrive gebruikt .net en breng wijzigingen aan in de antwoord-URL om hieraan tegemoet te komen).
  • Als u meerdere MFA-prompts ontvangt tijdens het inloggen, zorg er dan voor dat u twee factoren in MyWorkDrive Enterprise uitschakelt nadat u SSO vereist hebt ingeschakeld. Als u een MFA-vereiste hebt in Azure AD, wordt dat aangeroepen als onderdeel van de aanmelding via Azure AD en zijn er geen instellingen vereist in MyWorkDrive om dit in te schakelen.

 

Uw certificaat verlengen

Het SSO-certificaat dat is uitgegeven door micro soft en dat door MyWorkDrive wordt gebruikt om de communicatie tussen Azure AD en uw MyWorkDrive-server te beveiligen, verloopt periodiek. De standaard is 3 jaar, maar u kunt een lager bedrag kiezen bij het maken.

Dan verloopt je certificaat, je ontvangt een e-mail met enkele algemene richtlijnen van Microsoft, maar dankzij het integratiewerk dat we hebben gedaan om Azure AD eenvoudiger te implementeren, is het eigenlijk eenvoudiger dan Microsoft beschrijft.

De e-mail die u ontvangt noteert 5 stappen.

 

De twee wijzigingen in de instructies zijn:

  • Het oude certificaat verwijderen uit Azure AD
  • Gebruik MyWorkDrive om het nieuwe certificaat te downloaden, het is niet nodig om het certificaat handmatig te plaatsen

 

Na stap 4,

Verwijder uw oude certificaat in AzureAD.
U zult MyWorkDrive in de volgende stap onmiddellijk bijwerken met de nieuwe, dus maak de nieuwe actief (als dit niet automatisch gebeurt) en verwijder de oude omdat deze niet langer nodig is.
Op de oud/inactief certificaat, klik op het menu met 3 stippen aan de linkerrand van de certificaatrij en kies Certificaat verwijderen.

In plaats van stap 5

Nu, met slechts één certificaat dat wordt weergegeven op uw MyWorkDrive Azure AD-configuratie, slaat u de Azure AD-pagina op en logt u vervolgens in op het MyWorkDrive-beheerpaneel op de MyWorkDrive-server en bladert u naar het tabblad Enterprise.

Bevestig dat u Azure AD hebt geconfigureerd en sla de pagina vervolgens op.

 

MyWorkDrive gebruikt de ingebouwde Azure AD-configuratie om verbinding te maken met uw Azure AD en het certificaat te downloaden en bij te werken. Het is niet nodig om het nieuwe certificaat handmatig op het bestandssysteem te plaatsen of "Upload het naar MyWorkDrive", MyWorkDrive regelt dat voor u.

Het SAML-certificaat kan op een aantal locaties zijn opgeslagen, afhankelijk van uw versie van MyWorkDrive en of u Clustering hebt ingeschakeld.

 

Houd er rekening mee dat als u een foutbericht ontvangt over meerdere openbare ondertekeningscertificaten, dat een indicatie is dat u het oude certificaat niet uit Azure AD hebt verwijderd. Meld u opnieuw aan bij Azure AD en controleer nogmaals of het nieuwe certificaat actief is gemaakt en of het oude certificaat is verwijderd.