Leitfaden zur SSO-Integration in Azure Active Directory

Azure Active Directory (Azure AD) bietet Unternehmen eine einfache Möglichkeit, Identität und Zugriff sowohl in der Cloud als auch vor Ort zu verwalten. Ihre Benutzer können dasselbe Arbeits- oder Schulkonto für die einmalige Anmeldung bei jeder Cloud- und lokalen Webanwendung verwenden. Ihre Benutzer können ihre bevorzugten Geräte verwenden, darunter iOS, Mac OS X, Android und Windows. Ihre Organisation kann vertrauliche Daten und Anwendungen sowohl vor Ort als auch in der Cloud mit integrierter Multi-Faktor-Authentifizierung schützen und so einen sicheren lokalen und Remote-Zugriff gewährleisten. Azure AD erweitert Ihre lokalen Verzeichnisse, sodass Informationsarbeiter ein einziges Organisationskonto verwenden können, um sicher und konsistent auf ihre Unternehmensressourcen zuzugreifen. Azure AD bietet außerdem umfassende Berichte, Analysen und Self-Service-Funktionen, um Kosten zu senken und die Sicherheit zu verbessern. Das Azure AD SLA stellt sicher, dass Ihr Geschäft jederzeit reibungslos läuft und auf Unternehmensebene skaliert werden kann.

 

Notiz

Du musst der Kontoinhaber Ihres PagerDuty Kontos, um diese Änderungen vorzunehmen. Darüber hinaus sind SSO-Funktionen innerhalb von PagerDuty nur auf unserem Professionelle, geschäftliche und digitale Abläufe Pläne . Bitte Kontaktieren Sie unser Vertriebsteam wenn Sie an einem Upgrade Ihres Plans interessiert sind.

 

In Ihrem Azure-Verwaltungsportal

  1. Drücke den Azure Active Directory Symbol, und klicken Sie dann in der linken Menüspalte auf Geschäftliche Anwendungen .
  2. Klicken + Neue Anwendung .
  3. Suchen und auswählen PagerDuty , dann klick Erstellen .
  4. Klicken Sie auf die Kachel für Schritt 1 Zuweisen von Benutzern und Gruppen .
  5. Wählen Benutzer/Gruppe hinzufügen oben links.
  6. Wählen Sie alle gewünschten Benutzer Und Gruppen , klicken Wählen unten, dann Zuordnen .
    ( Notiz: Alle Benutzer, die die SSO-Anmeldung für PagerDuty verwenden, müssen dieser PagerDuty App in Azure entweder einzeln oder als Gruppe hinzugefügt werden, damit die Anmeldung funktioniert.)
  7. Navigieren Sie zurück zur Überblick oben in der linken Menüspalte, gehe zu Schritt 2 Einrichten der einmaligen Anmeldung und wählen Sie die SAML Fliese.
  8. Bearbeiten Sie den ersten Abschnitt. Grundlegende SAML-Konfiguration :
    • Satz Kennung (Entitäts-ID) in das folgende Format unter Verwendung Ihrer Subdomäne: 
       https://YOUR_SUBDOMAIN.pagerduty.com
    • Satz Anmelde-URL Zu: 
       https://YOUR_SUBDOMAIN.pagerduty.com/sso/saml/sign-in
    • Satz Antwort-URL Zu: 
       https://YOUR_SUBDOMAIN.pagerduty.com/sso/saml/consume
    • Klicken Speichern oben links.
    • Klicken Sie aus Grundlegende SAML-Konfiguration mit dem X Feld ganz oben rechts.
  9. Bearbeiten Sie den zweiten Abschnitt. Benutzerattribute und Ansprüche :
    • Klicken Sie auf den gewünschten Anspruch Eindeutige Benutzerkennung (Namens-ID) .
    • Wählen E-Mail-Adresse von dem Wählen Sie das Format für die Namenskennung legen Sie die Quellattribut Wert auf Benutzer.Mail , dann klick Speichern .
    • Klicken Neuen Anspruch hinzufügen :
      • Legen Sie die Name Feld zu Name .
      • Stelle sicher das Namensraum Ist leer .
      • Satz Quellattribut Zu Benutzer.Anzeigename .
      • Wiederholen Sie die Neuen Anspruch hinzufügen Schritt für jeden der folgenden Optional Attribute, die Sie in PagerDuty bereitstellen möchten:
        1. Name : E-Mail-Adresse , Quellattribut : Benutzer.Mail .
        2. Name : Aufgaben , Quellattribut : Benutzer.Jobtitel .
        3. Name : Rolle , Quellattribut : Dies kann ein fest codierter Wert sein, zum Beispiel eingeschränkter_Benutzer (A Antwortender Rolle), wenn Sie möchten, dass alle Benutzer die gleiche Rolle erhalten, oder Sie können Anspruchsbedingungen um die Rolle basierend auf der Gruppenmitgliedschaft zu bestimmen; in beiden Fällen muss der gesendete Wert einer von PagerDutys REST-API-Benutzerrollenwerte .
    • Klicken Sie aus Benutzerattribute und Ansprüche mit dem X Feld ganz oben rechts.
  10. Im dritten Abschnitt SAML-Signaturzertifikat , herunterladen Zertifikat (base64) .
  11. Beachten Sie den vierten Abschnitt, PagerDuty einrichten , und verlassen Sie die Seite hier. Diese Werte werden Sie in Kürze auf der PagerDuty Seite benötigen:
    • Anmelde-URL
    • Abmelde-URL

In PagerDuty

  1. Melden Sie sich in einem neuen Fenster bei PagerDuty als Kontoinhaber .
  2. Klick auf das Benutzersymbol in der oberen rechten Ecke und wählen Sie Account Einstellungen .
  3. Wähle aus Einmalige Anmeldung Registerkarte oben auf dem Bildschirm.
  4. Wählen SAML als Anmeldeauthentifizierungstyp.
  5. Öffnen Sie das zuvor heruntergeladene Zertifikat, kopieren Sie den gesamten Inhalt und fügen Sie ihn in das X.509-Zertifikat Feld.
  6. Wechseln Sie zurück zum Azure-Fenster, um die Werte für Anmelde-URL Und Abmelde-URL .
  7. Stellen Sie sicher, dass GENAUEN Vergleich des Authentifizierungskontexts erforderlich Option ist geprüft .
  8. Wenn Sie die Benutzernamen- und Kennwortauthentifizierung für Ihr PagerDuty Konto für alle Benutzer außer dem Kontoinhaber deaktivieren möchten, können Sie deaktivieren Die Anmeldung mit Benutzername/Passwort zulassen Kontrollkästchen.
  9. Wenn Sie möchten, dass PagerDuty bei der ersten Anmeldung automatisch Konten für alle Personen erstellt, die über Azure SSO Zugriff haben, überprüfen das Kästchen neben Automatische Bereitstellung von Benutzern bei der ersten Anmeldung .

FAQ

Warum wird den Benutzern nur die E-Mail-Adresse bereitgestellt?

Wenn die Attributansprüche nicht richtig konfiguriert sind, werden Felder wie Name Und Rolle wird nicht richtig übertragen, wenn ein Benutzer bei der ersten SSO-Anmeldung erstellt wird. Normalerweise passiert das, wenn Namensraum ist bei diesen Ansprüchen nicht leer. Stellen Sie sicher, dass bei jedem Attributanspruch (außer dem Eindeutige Benutzerkennung ) Die Namensraum ist das Feld leer und jedes Name Der Wert des Felds wird genau so geschrieben, wie in Schritt 9 des Azure-Abschnitts oben angegeben.

Warum erhalte ich die Fehlermeldung „Authentifizierungsmethode ‚WindowsIntegrated‘ … stimmt nicht mit der angeforderten Authentifizierungsmethode überein …“?

Teil der SAML-Anforderung, die von PagerDuty während der ersten Authentifizierungsphase an Azure gesendet wird (wenn ein Benutzer klickt Mit meinem Identitätsanbieter anmelden und wird zu Azure umgeleitet) ist angeforderter Authentifizierungskontext (Die Angeforderter Authn-Kontext Element), das eine angegebene Präferenz für ein bestimmtes Mindestmaß an Sicherheit für die Benutzerauthentifizierung beim Identitätsanbieter darstellt. Unser SAML-Dienst berücksichtigt dies beim Senden von Anfragen an jeden Dienstanbieter, einschließlich Azure.

Pro Implementierung des SAML-Protokolls in Azure , nur der Passwort Klasse des Authentifizierungstyps ( urn:oasis:names:tc:SAML:2.0:ac:classes:Passwort ) wird beim Anfordern eines Authentifizierungskontexts unterstützt:

Azure AD unterstützt nur einen AuthnContextClassRef Wert: urn:oasis:names:tc:SAML:2.0:ac:classes:Passwort .

Darüber hinaus erfordert der SAML-Dienst von Azure, dass der Dienstanbieter angibt, dass eine genaue Übereinstimmung zwischen dem angeforderten und dem Authentifizierungskontext bestehen muss, um genau dem vom Dienstanbieter angeforderten Kontext zu entsprechen (dies wird aktiviert über die GENAUEN Vergleich des Authentifizierungskontexts erforderlich Option); andernfalls wird ein anderer Fehler ausgegeben, der besagt, dass der Kontextvergleich exakt sein muss.

In Summe:

  • PagerDuty beinhaltet die Angeforderter Authn-Kontext Element, um vom Identitätsanbieter zu verlangen, dass er zur Identifizierung der Benutzer zumindest eine Kennwortauthentifizierung verwendet.
  • Azure erwartet vom Dienstanbieter eine genaue Übereinstimmung zwischen dem bereitgestellten und dem angeforderten Authentifizierungstyp, wann immer Angeforderter Authn-Kontext wird gestellt.
  • Azure unterstützt die Anforderung einer Authentifizierung mit dem Kennworttyp nur bei der Angabe Angeforderter Authn-Kontext .

Benutzer können dieses Problem umgehen, indem sie einen anderen Webbrowser verwenden, der nicht versucht, sich über den WindowsIntegriert Authentifizierungsmethode und Verwendung der Kennwortauthentifizierung für den Zugriff auf ihre Identität.

Wenn Ihre Organisation und Ihr IT-Workflow eine integrierte Windows-Authentifizierung erfordern und Ihre Endbenutzer von diesem bekannten Problem betroffen sind, teilen Sie uns bitte Ihr Feedback im PagerDuty Gemeinschaft oder von Senden Sie uns eine E-Mail .

Weitere Informationen:

Beginnen Sie noch heute mit der Nutzung von PagerDuty

Testen Sie PagerDuty 14 Tage lang kostenlos – keine Kreditkarte erforderlich.

MELDEN SIE SICH AN