Konfiguration von SAML SSO für Microsoft 365/Entra ID Benutzer

Diese Schritte führen Sie durch die Einrichtung von SAML SSO für Microsoft 365/Entra ID (früher bekannt als Azure AD) Benutzer unter Verwendung von ADSelfService Plus als Identity Provider (IdP) und Microsoft 365/Entra ID als Service Provider (SP).

Hinweis:
  • SSO kann nur für Domains aktiviert werden, die in Microsoft Entra ID verifiziert sind.
  • SSO kann nicht für "\onmicrosoft.com" Domains aktiviert werden, die von Microsoft erstellt wurden.
  • SSO kann nicht für die Standarddomain (die primäre Domain, in der Benutzer erstellt werden) aktiviert werden. Es kann nur für benutzerdefinierte Domains konfiguriert werden. Microsoft Entra ID verbietet die SSO-Konfiguration für Standarddomains, damit Administratoren sich bei Office 365 anmelden können, unabhängig von Problemen mit dem IdP. Wenn Ihre Organisation keine benutzerdefinierte Office 365-Domain besitzt, müssen Sie eine kaufen, um SSO konfigurieren zu können.
  • Föderierte Domains, d.h. Domains, in denen SSO aktiviert wurde, können nicht für die Passwortsynchronisierung konfiguriert werden.

Schritte zur Verknüpfung von Microsoft 365/Entra ID und lokalen AD-Benutzerkonten

  1. Verwendung von Microsoft Entra Connect
    • GUID als sourceAnchor: Wenn Sie Microsoft Entra Connect haben, verwenden Sie es, um das sourceAnchor-Attribut in Office 365 mit dem GUID-Attributwert von AD zu aktualisieren.
    • Anderes eindeutiges AD-Attribut als sourceAnchor: Wenn Sie bereits ein anderes Attribut als GUID für das sourceAnchor-Attribut festgelegt haben, verwenden Sie die Konto-Verknüpfungsoption in ADSelfService Plus, um sie mit dem entsprechenden Attribut in AD zu verknüpfen.
  2. Verwendung eines Drittanbieter-Tools zur Konvertierung von GUID zu ImmutableID
    • GUID zu ImmutableID konvertieren: Wenn Sie Microsoft Entra Connect nicht haben, können Sie ein Drittanbieter-Tool herunterladen, das GUID in ImmutableID konvertiert. Verwenden Sie das Tool, um den GUID-Wert jedes Benutzers in ImmutableID-Werte zu konvertieren und aktualisieren Sie diese in Microsoft Entra ID.
    • Aktualisierung des ImmutableID-Werts in Microsoft Entra ID: Nachdem Sie GUID in ImmutableID konvertiert haben, müssen Sie den Wert für jeden Benutzer in Microsoft Entra ID aktualisieren, indem Sie die folgenden Schritte mit PowerShell-Befehlen ausführen.
      • Öffnen Sie PowerShell mit Administratorrechten.
      • Führen Sie folgenden Befehl aus, um Microsoft Graph PowerShell zu installieren, falls es noch nicht installiert ist:

        Install-Module Microsoft.Graph -Scope CurrentUser

        • Microsoft Graph PowerShell-Befehle für ImmutableID
      • Befehl zur Verbindung mit Microsoft Graph PowerShell:

        Connect-MgGraph -Scopes "Directory.AccessAsUser.All"

        Hinweis: Melden Sie sich mit einem Microsoft 365/Entra ID-Konto an, das Global Admin-Rechte besitzt.

      • Befehl zum Aktualisieren des ImmutableID-Attributs für bestehende Benutzer:

        Update-MgUserByUserPrincipalName -UserPrincipalName "<user_mailID>" -OnPremisesImmutableId "<immutable_id>"

      • Befehl zum Aktualisieren des ImmutableID-Attributs bei der Erstellung neuer Benutzer

        New-MgUser -AccountEnabled:$true -UserPrincipalName "user01@selfservice.com" -MailNickname "user01" -OnPremisesImmutableId "" -DisplayName "user01" -GivenName "user" -Surname "S"

      • Befehl zur Bestätigung, ob die Aktualisierung des ImmutableID-Attributs erfolgreich war

        Get-MgUserByUserPrincipalName -UserPrincipalName "<user_mailID>" -Property UserPrincipalName, OnPremisesImmutableId | select UserPrincipalName, OnPremisesImmutableId

Voraussetzung

  1. Melden Sie sich bei ADSelfService Plus als Administrator an.

  2. Navigieren Sie zu  Konfiguration → Self-Service → Password Sync/Single Sign On → Anwendung hinzufügen, danach wählen Sie Microsoft 365/Entra ID aus den angezeigten Anwendungen aus.
    Hinweis: Sie können die benötigte Microsoft 365/Entra ID Anwendung auch über die Suchleiste im linken Bereich oder die alphabetische Navigation im rechten Bereich finden.
  3. Klicken Sie IdP-Details oben rechts im Bildschirm an.

  4. Kopieren Sie im erscheinenden Pop-up-Fenster die Entity ID, Login URL und Logout URL und laden Sie das SSO-Zertifikat herunter, indem Sie auf Zertifikat herunterladen.

    5. Screenshot

klicken.

  1. Öffnen Sie PowerShell mit Administratorrechten.
  2. Führen Sie folgenden Befehl aus, um Microsoft Graph PowerShell zu installieren, falls es noch nicht installiert ist:

    Install-Module Microsoft.Graph -Scope CurrentUser

  3. Microsoft 365/Entra ID (Service Provider) Konfigurationsschritte

    Connect-MgGraph -Scopes "Directory.AccessAsUser.All"

  4. Verbinden Sie sich mit Microsoft Graph PowerShell mit dem folgenden Befehl. Melden Sie sich mit einem Microsoft Entra ID-Konto an, das Global Admin-Rechte besitzt:

    Holen Sie sich eine Liste der Domains durch Ausführen von:

  5. Get-MgDomain

    Geben Sie die Domain an, für die Sie SSO aktivieren möchten:

  6. $dom = "selfservice.com" Definieren Sie Login URL, Entity ID und Logout URL aus Schritt 4 der Voraussetzungen für und $url, $uri $logouturl

    Befehle.

    $url = "<login URL Wert>"

    $uri = "<entity ID Wert>"

    $logouturl = "<logout URL Wert>"

    Beispielwerte:

    $url = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

    $uri = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

  7. $logouturl = "https://selfservice.com:9251/iamapps/ssologout/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

    Kopieren Sie nun den Inhalt der SSO-Zertifikatdatei und weisen Sie ihn der Variablen $cert wie unten gezeigt zu:

    8. SSO-Zertifikatsdatei
  8. $cert = "MIICqjCCAhOgAwIBAgIJAN..........dTOjFfqqA="

    Führen Sie den folgenden Befehl aus, um SSO in Microsoft Entra ID zu aktivieren:

  9. New-MgDomainFederationConfiguration -DomainId $dom -IssuerUri $uri -PassiveSignInUri $url -SignOutUri $logouturl -SigningCertificate $cert -PreferredAuthenticationProtocol saml -federatedIdpMfaBehavior rejectMfaByFederatedIdp

    Um die Konfiguration zu testen, verwenden Sie den folgenden Befehl:

    10. Get-MgDomainFederationConfiguration
    Hinweis:

    Get-MgDomainFederationConfiguration -DomainId $dom | Format-List

    Geben Sie die Domain an, für die Sie SSO aktivieren möchten:

    Wenn Sie Microsoft 365/Entra ID SSO bereits mit einem anderen IdP aktiviert haben oder die SSO-Einstellungen von ADSelfService Plus aktualisieren möchten, müssen Sie zuerst SSO in Microsoft 365/Entra ID deaktivieren und danach die in diesem Handbuch beschriebenen Schritte durchführen. Um SSO in Microsoft 365/Entra ID zu deaktivieren, verwenden Sie den unten stehenden Befehl:

    $federations = Get-MgDomainFederationConfiguration -DomainId $dom

    Remove-MgDomainFederationConfiguration

    Remove-MgDomainFederationConfiguration -DomainId $dom -InternalDomainFederationId $federations.Id

Bitte beachten Sie, dass die vorgenommene Änderung einige Zeit in Anspruch nehmen kann, bis sie in Microsoft 365/Entra ID umgesetzt ist.

  1. ADSelfService Plus (Identity Provider) Konfigurationsschritte Microsoft 365/Entra ID Wechseln Sie nun zur Konfigurationsseite von ADSelfService Plus
  2. Geben Sie den Anwendungsnamen und Beschreibung.
  3. Im Feld Domain Name geben Sie den Domainnamen ein, den Sie in Schritt 4 der Microsoft 365/Entra ID Konfigurationsschritte verwendet haben.
  4. Im Feld Im Feld Richtlinien zuweisen
    Hinweis:wählen Sie die Richtlinien aus, für die Azure AD SAML SSO aktiviert werden soll. ADSelfService Plus ermöglicht die Erstellung von OU- und gruppenbasierten Richtlinien für Ihre AD-Domains. Um eine Richtlinie zu erstellen, gehen Sie zu.
  5. Konfiguration → Self-Service → Richtlinien-Konfiguration → Neue Richtlinie hinzufügen Wählen Sie die SAML Registerkarte und aktivieren Sie das Kontrollkästchen Single Sign-On aktivieren
  6. Wählen Sie das Name ID Format, das in der SAML-Antwort übermittelt werden soll. Das Name ID-Format gibt an, welcher Werttyp in der SAML-Antwort zur Benutzeridentitätsprüfung verwendet wird.

    7. Hinweis: Verwenden Sie Nicht spezifiziert als Standardoption, wenn Sie sich über das Format des Login-Attributwerts, der von der Anwendung verwendet wird, nicht sicher sind.

  7. Klicken Sie Anwendung hinzufügen

Hinweis: ADSelfService Plus unterstützt SP- und IdP-initiierten SAML SSO-Flows für Microsoft 365/Entra ID.

Zum Anfang

Danke!

Ihre Anfrage wurde an das technische Support-Team von ADSelfService Plus übermittelt. Unser technisches Support-Team wird Ihnen schnellstmöglich helfen.

 

Benötigen Sie technische Unterstützung?

  • Geben Sie Ihre E-Mail-ID ein
  • Sprechen Sie mit Experten
  •  
     
  •  
  • Durch das Klicken auf 'Sprechen Sie mit Experten' stimmen Sie der Verarbeitung personenbezogener Daten gemäß der Datenschutzrichtlinie.

Finden Sie nicht, wonach Sie suchen?

  •  

    Besuchen Sie unsere Community

    Stellen Sie Ihre Fragen im Forum.

     
  •  

    Fordern Sie zusätzliche Ressourcen an

    Senden Sie uns Ihre Anforderungen.

     
  •  

    Benötigen Sie Unterstützung bei der Implementierung?

    Probieren Sie OnboardPro aus

     

Copyright © 2026, ZOHO Corp. Alle Rechte vorbehalten.