Passwortsynchronisierung mit Microsoft 365/Azure

Der Echtzeit-Passwort-Synchronisierer von ADSelfService Plus stellt sicher, dass Benutzer ein einziges Passwort für verschiedene Anwendungen verwenden, wodurch passwortbezogene Probleme reduziert werden. Jedes Mal, wenn ein Benutzer sein Active Directory-Passwort zurücksetzt oder ändert, wird das neue Passwort automatisch mit seinem Microsoft 365/Azure-Konto synchronisiert.

Microsoft 365/Azure kann mit ADSelfService Plus für die Passwortsynchronisierung konfiguriert werden, entweder durch Verwendung der Azure-Administrator-Anmeldedaten zur Autorisierung der Passwortsynchronisierung für Azure-Benutzerkonten (Passwortauthentifizierung) oder durch Erstellen einer Anwendung in Azure und Ermöglichen der Passwortsynchronisierung mittels OAuth (OAuth-Client-Anmeldeinformationen).

Schritte zur Konfiguration von Microsoft 365/Azure-Konten mit ADSelfService Plus

Voraussetzungen

Wenn Sie OAuth Client Credentials verwenden

müssen Sie eine neue Azure-Anwendung für ADSelfService Plus registrieren, indem Sie folgende Schritte ausführen:

1. Melden Sie sich an bei portal.azure.com mit Ihren Azure-Administrator-Anmeldedaten.
2. Unter Azure servicesklicken Sie Microsoft Entra ID. Navigieren Sie im linken Bereich zu Verwalten > App-Registrierungen > Neue Registrierung.

3. Geben Sie einen Namen Ihrer Wahl ein und wählen Sie Konten in diesem Organisationalverzeichnis als unterstützte Kontotypen.
4. Wenn die automatische Verknüpfung deaktiviert ist, wählen Sie Web als Plattform und fügen Sie die entsprechende Umleitungs-URI entsprechend dem von ADSelfService Plus verwendeten Protokoll ein:
5. Wenn HTTP in ADSelfService Plus aktiviert ist: https://identitymanager.manageengine.com/api/public/v1/oauth/redirect
6. Wenn HTTPS in ADSelfService Plus aktiviert ist: https://<productAccessUrl>/LinkAccountCallback
7. Klicken Sie auf Registrieren.

8. Auf der Übersicht angezeigten Seite finden Sie die Anwendungsdetails. Kopieren Sie die Client-ID und Mandanten-ID , die bei der Konfiguration in ADSelfService Plus verwendet werden.

9. Navigieren Sie im linken Bereich der registrierten Anwendungsseite zu Zertifikate & Geheimnisse und klicken Sie auf Neues Client-Geheimnis.

10. Geben Sie einen Beschreibung für das Client-Geheimnis, und geben Sie im Feld Ablaufdatum die gültige Laufzeit für das Client-Geheimnis an. Klicken Sie auf Hinzufügen.

11. Das Client-Geheimnis wird erstellt. Kopieren Sie die angezeigte Zeichenfolge unter Wert , die später für die Konfiguration in ADSelfService Plus verwendet wird.

12. Sie müssen außerdem je nach Anforderungen folgende Rollen für Ihre App festlegen:
    • Wenn Sie Passwörter synchronisieren müssen, die von allen Benutzern einschließlich Administratoren zurückgesetzt werden, stellen Sie sicher, dass der Anwendung die Rolle Globaler Administrator zugewiesen ist.
      • Navigieren Sie dazu zu Microsoft Entra ID > Verwalten > Rollen und Administratorenund wählen Sie die Rolle Globaler Administrator aus.
      
      • Klicken Sie auf Fügen Sie Zuweisungen hinzu. Im Mitglieder auswählen Feld wählen Sie die von Ihnen erstellte ADSelfService Plus OAuth-Passwort-Synchronisierungsanwendung aus und klicken auf Auswählen.
      • Klicken Sie auf Weiter.
      
      • Navigieren Sie zur Einstellungsseite , behalten Sie die Standardeinstellungen aller Felder bei, füllen Sie das Feld Begründung eingeben aus und klicken auf Zuweisen.
      
    • Wenn Sie nur Passwörter synchronisieren müssen, die von Nicht-Administratoren zurückgesetzt wurden, stellen Sie sicher, dass der Anwendung sowohl die Rolle Benutzeradministrator als auch Passwortadministrator zugewiesen ist und folgen dabei den oben beschriebenen Schritten.

Wenn Sie Passwortauthentifizierung verwenden

Stellen Sie sicher, dass Sie das Windows Azure AD-Modul für Windows PowerShell für Ihr Betriebssystem auf Ihrem ADSelfService Plus-Server installiert haben.

Um es zu installieren, öffnen Sie eine erhöhte PowerShell-Eingabeaufforderung und führen Sie die folgenden Befehle aus:

• Install-module msonline
• Install-module AzureAd

Konfigurationsschritte

1. Melden Sie sich mit Administratorkonten bei ADSelfService Plus an.
2. Navigieren Sie zu Konfiguration > Self-Service > Passwort-Sync/Single Sign On.
3. Wählen Sie die Microsoft 365/Azure Anwendung aus.

Hinweis: Sie können die gewünschte Microsoft 365/Azure Anwendung auch über die Suchleiste im linken Bereich oder die alphabetische Navigationsoption im rechten Bereich finden.

4. Geben Sie den Anwendungsnamen und Beschreibung.
5. Geben Sie den Domänennamen Ihres Microsoft 365/Azure-Kontos ein.
6. Auf der Weisen Sie im Feld Richtlinien zu

Hinweisdie Richtlinien zu, für die die Passwortsynchronisierung aktiviert werden soll. : ADSelfService Plus ermöglicht die Erstellung von OU- und Gruppen-basierten Richtlinien für Ihre AD-Domänen. Um eine Richtlinie zu erstellen, gehen Sie zu.

7. Unter Konfiguration > Self-Service > Richtlinienkonfiguration > Neue Richtlinie hinzufügenPasswort-Sync , wählen Sie.
8. Passwortsynchronisierung aktivieren Sie können die Passwortsynchronisierung entweder über Passwortauthentifizierung oder.

   OAuth Client Credentials

   

   1. A. Passwortauthentifizierung Wenn Sie Passwortauthentifizierung wählen, geben Sie den und Benutzernamen und das
   2. Klicken Sie auf Passwort.

   Ihres Microsoft 365/Azure-Administratorkontos ein.

   

   1. Anwendung hinzufügen B. OAuth Client Credentials und Wenn Sie OAuth Client Credentials wählen, fügen Sie den Mandanten-ID, Client-ID, Client-Geheimnis der Azure-Anwendung, wie in den Voraussetzungen beschrieben kopiert,
   2. in die entsprechenden Felder ein. Wählen Sie aus dem Dropdown-Menü Azure-Umgebung
   3. Klicken Sie auf Passwort.