Freigeben über

Tutorial: Integration des einmaligen Anmeldens (SSO) von Microsoft Entra in Tulip

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie Tulip mit Microsoft Entra ID integrieren. Die Integration von Tulip mit Microsoft Entra ID ermöglicht Folgendes:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf Tulip hat.
  • Sie können Ihren Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Tulip anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • Tulip-Abonnement, für das einmalige Anmelden (Single Sign-On, SSO) aktiviert ist

Hinweis

Diese Integration kann auch über die Microsoft Entra US Government-Cloud-Umgebung verwendet werden. Sie finden diese Anwendung im Microsoft Entra-Anwendungskatalog für die US Government-Cloud. Sie können sie auf die gleiche Weise wie in der öffentlichen Cloud konfigurieren.

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • Tulip unterstützt IDP-initiiertes einmaliges Anmelden.

Um die Integration von Tulip mit Microsoft Entra ID zu konfigurieren, müssen Sie Tulip aus dem Katalog Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Tulip in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich Tulip aus und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für Tulip

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit Tulip die folgenden Schritte aus:

  1. Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.

  2. Konfigurieren des einmaligen Anmeldens für Tulip , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren.

    1. Um einmaliges Anmelden für eine Tulip-Instanz mit vorhandenen Benutzer*innen zu konfigurieren, wenden Sie sich an support@tulip.co.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Tulip>Einmaliges Anmelden.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Bearbeiten der SAML-Basiskonfiguration

  5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus, wenn Sie über eine Dienstanbieter-Metadatendatei verfügen:

    a. Laden Sie die Tulip-Metadatendatei herunter. Diese finden Sie auf der Seite mit den Einstellungen in Ihrer Tulip-Instanz.

    b. Klicken Sie auf Metadatendatei hochladen.

    image1

    b. Klicken Sie auf das Ordnerlogo, wählen Sie die Metadatendatei aus, und klicken Sie auf Hochladen.

    Bild2

    c. Nach dem erfolgreichen Upload der Metadatendatei werden die Werte unter Bezeichner und Antwort-URL im Abschnitt „Grundlegende SAML-Konfiguration“ automatisch eingefügt.

    image3

    Hinweis

    Falls die Werte Bezeichner und Antwort-URL nicht automatisch aufgefüllt werden, geben Sie die erforderlichen Werte manuell ein.

  6. Die Tulip-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute. Wenn nameID eine E-Mail-Adresse sein muss, ändern Sie das Format in Persistent.

    image

  7. Darüber hinaus wird von der Tulip-Anwendung erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.

    Name Quellattribut
    displayName user.displayname
    emailAddress user.mail
    badgeID user.employeeid
    groups user.groups

  8. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

Konfigurieren des SSO für Tulip

  1. Melden Sie sich bei Ihrer Tulip-Instanz als Kontobesitzer*in an.

  2. Gehen Sie zu Einstellungen ->SAML und führen Sie die folgenden Schritte auf der folgenden Seite aus.

    Screenshot der Konfiguration für Tulip

    a. Aktivieren Sie die SAML-Anmeldungen.

    b. Klicken Sie auf die XML-Metadatendatei, um die Metadatendatei des Dienstanbieters herunterzuladen, und verwenden Sie diese Datei zum Hochladen im Abschnitt Grundlegende SAML-Konfiguration in Azure-Portal.

    c. Laden Sie die Verbundmetadaten-XML-Datei von Azure in Tulpen hoch. Dadurch werden die Werte für SSO-Anmeldung, SSO-Abmelde-URL und die Zertifikate aufgefüllt.

    d. Stellen Sie sicher, dass die Attribute für Name, E-Mail und Badge nicht NULL sind. Geben Sie daher für alle drei eine eindeutige Zeichenfolge ein, und führen Sie eine Testauthentifizierung mit der Schaltfläche Authenticate rechts aus.

    e. Kopieren Sie nach erfolgreicher Authentifizierung die gesamte Anspruchs-URL, und fügen Sie sie in die entsprechende Zuordnung für die Attribute „Name“, „Email“ und „badgeID“ ein.

    • Fügen Sie den Wert für Name Attribute als http://schemas.microsoft.com/identity/claims/displayname oder die entsprechende Anspruchs-URL ein.

    • Fügen Sie den Wert für Email Attribute als http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name oder die entsprechende Anspruchs-URL ein.

    • Fügen Sie den Wert für Badge Attribute als http://schemas.xmlsoap.org/ws/2005/05/identity/claims/badgeID oder die entsprechende Anspruchs-URL ein.

    • Fügen Sie den Wert für Role Attribute als http://schemas.xmlsoap.org/ws/2005/05/identity/claims/groups oder die entsprechende Anspruchs-URL ein.

    f. Klicken Sie auf SAML-Konfiguration speichern.

Nächste Schritte

Nach dem Konfigurieren von Tulip können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.

Wenden Sie sich an support@tulip.co, falls Sie weitere Fragen haben oder vorhandene Benutzer*innen in Tulip migrieren möchten, damit diese SAML nutzen können.