...
1.5.1 Wechseln Sie in den Reiter Benutzerverwaltung und aktivieren die Option IdP-verwaltet.
1.5.2 Passen Sie die folgenden Parameter an:
...
| Info |
|---|
Die Konfiguration kann an dieser Stelle noch nicht gespeichert werden, da hierfür noch die IdP-Metadaten-URL hinterlegt werden muss. Diese wird in Schritt 2.2.8 in Entra ID ausgelesen und in Schritt 3.1.1 in der LMC eingetragen. |
1.5.3 Klicken Sie auf Einrichtung abschließen.
1.5.4 Kopieren Sie die folgenden Parameter und speichern diese in einer Text-Datei ab:
- TXT Resource Record: Tragen Sie diesen bei Ihrem DynDNS-Anbieter für die Domäne als TXT Resource Record ein.
- LMC Entity URL: Tragen Sie diesen in Schritt 2.2.4 als Bezeichner (Entitäts-ID) in Entra ID ein.
- Antwort URL: Tragen Sie diese in Schritt 2.2.4 als Antwort-URL (Assertionsverbraucherdienst-URL) in Entra ID ein.
2. Konfigurationsschritte in Microsoft Entra ID:
...
2.1.1 Öffnen Sie die Konfigurationsoberfläche von Entra ID und wechseln in das Menü Unternehmensanwendungen.
2.1.2 Wählen Sie die unter Verwalten die Option Alle Anwendungen aus und klicken auf Neue Anwendung.
2.1.3 Klicken Sie auf Eigene Anwendung erstellen.
2.1.4 Passen Seie die folgenden Parameter an und klicken auf Erstellen:
- Wie lautet der Name der App?: Vergeben Sie einen aussagekräftigen Namen für die App (in diesem Beispiel LTA-App).
- Was haben Sie mit Ihrer Anwendung vor?: Wählen Sie die Option Beliebige andere, nicht im Katalog gefundene Anwendung integrieren aus.
2.2 Single Sign on einrichten:
2.2.1 Klicken Sie in der soeben erstellten App auf 2. SSO einrichten.
2.2.2 Wählen Sie die Option SAML aus.
2.2.3 Klicken Sie in dem Feld Grundlegende SAML-Konfiguration auf Bearbeiten.
2.2.4 Tragen Sie die in Schritt 1.5.4 kopierten Parameter ein und klicken auf Speichern:
- Bezeichner (Entitäts-ID): Tragen Sie die LMC Entity URL ein.
- Antwort-URL (Assertionsverbraucherdienst-URL): Tragen Sie die Antwort URL ein.
2.2.5 Klicken Sie in dem Feld Attribute & Ansprüche auf Bearbeiten.
2.2.6 Klicken Sie auf Gruppenanspruch hinzufügen.
2.2.7 Wählen Sie die Option Alle Gruppen aus und klicken auf Speichern.
2.2.8 Kopieren Sie in dem Feld SAML-Zertifikate die App-Verbundmetadaten-URL und speichern diese in einer Text-Datei ab. Diese wird in Schritt 3.1.1 als IdP Metadaten-URL in der LMC hinterlegt.
2.3 Registrierung der Applikation:
2.3.1 Wechseln Sie in das Menü App-Registrierungen.
2.3.2 Klicken Sie in dem Reiter Alle Anwendungen auf die in Schritt 2.1.4 erstellte App.
2.3.3 Klicken Sie auf Ein Zertifikat oder Geheimnis hinzufügen.
2.3.4 Klicken Sie auf Neuer geheimer Clientschlüssel.
2.3.5 Passen Sie die folgenden Parameter an und klicken auf Hinzufügen:
...
| Info |
|---|
Nach Ablauf der Gültigkeit ist ein Abgleich der Active Directory Benutzer mit der LMC nicht mehr möglich. Dann muss ein neues Anwendungskennwort erstellt und dieses in der LMC hinterlegt werden. |
2.3.6 Kopieren Sie das Anwendungskennwort unter Wert und speichern dieses in einer Text-Datei ab.
| Hinweis |
|---|
Das Anwendungskennwort muss zwingend in diesem Schritt kopiert werden. Zu einem späteren Zeitpunkt wird das Kennwort unkenntlich gemacht. In diesem Fall muss das Kennwort gelöscht und neu erstellt werden. |
2.4 Kopieren der Anwendungs-ID und der Verzeichnis-ID:
...
- Anwendungs-ID (Client): Diese wird in Schritt 3.1.2 als Anwendungs-ID (Client-ID) eingetragen.
- Verzeichnis-ID (Mandant): Diese wird in Schritt 3.1.2 als Verzeichnis-ID (Mandant-ID) eingetragen.
2.5 API-Berechtigungen:
2.5.1 Wechseln Sie in das Menü API-Berechtigungen und klicken auf Berechtigung hinzufügen.
2.5.2 Wählen Sie im Reiter Microsoft-APIs die Option Microsoft Graph aus.
2.5.3 Wählen Sie die Option Anwendungsberechtigungen aus.
2.5.4 Wählen Sie die Berechtigung Group.Read.All aus und klicken auf Berechtigung hinzufügen.
| Info |
|---|
Durch Eingabe des Strings Group.Read. in der Suche ist die Berechtigung direkt zu finden. |
2.5.5 Klicken Sie auf Administratorzustimmung für <Active-Directory> erteilen.
2.5.6 Bestätigen Sie die Abfrage mit einem Klick auf Ja.
3. Weiterführende Konfigurationsschritte in der LMC:
...
3.1.1 Wechseln Sie erneut in die LTA-Benutzerverwaltung in der LMC und tragen im Feld IdP Metadaten-URL die in Schritt 2.2.8 kopierte App-Verbundmetadaten-URL ein.
3.1.2 Tragen Sie unter Zugangsdaten für IdP Gruppen-Synchronisation die folgenden Parameter ein:
- Anwendungs-ID (Client-ID): Tragen Sie die in Schritt 2.4 kopierte Anwendungs-ID (Client) ein.
- Client Secret: Tragen Sie das in Schritt 2.3.6 kopierte Anwendungskennwort ein.
- Verzeichnis-ID (Mandant-ID): Tragen Sie die in Schritt 2.4 kopierte Verzeichnis-ID (Mandant) ein.
3.1.3 Wählen Sie nach der Synchronisierung mit Microsoft Entra ID die Primärgruppe aus, welche zur Freigabe von LTA verwendet werden soll und aktivieren für diese Gruppe das Berechtigungsprofil. Klicken Sie anschließend auf Speichern.
| Info |
|---|
Für jeden Benutzer in dieser Gruppe wird eine LTA-Lizenz benötigt. |
3.2 Verbindungsziele:
...
3.3.1 Wechseln Sie in den Reiter Berechtigungsprofile und klicken auf Berechtigungsprofil hinzufügen.
3.3.2 Aktivieren Sie das Berechtigungsprofil Authorization profile über den Schieberegler und passen die folgenden Parameter an:
- ProfilnameProfile name: Vergeben Sie einen aussagekräftigen Namen für das Profil (in diesem Beispiel Administrator Admin).
- Benutzer Users / GruppenGroups: Wählen Sie im Dropdownmenü eine Gruppe aus dem Active Directory aus (in diesem Beispiel admin). Sie können auch mehrere Benutzer auswählen und diesen die gleichen Berechtigungen zuweisen.
...
3.3.3 Aktivieren Sie unter Status die gewünschten Verbindungsziele für den Benutzer (siehe Schritt 3.2.2) und klicken auf Erstellen Create.
4. Konfigurations-Schritte im LTA-Client:
4.1 Klicken Sie im LTA-Client auf Einstellungen Settings und wählen die Option LMC DomäneDomain aus.
4.2 Passen Sie die folgenden Parmeter an:
- URL: Tragen Sie die URL cloud.lancom.de ein.
- DomäneDomain: Tragen Sie die E-Mail Domäne ein, welche Sie in Schritt 1.5.1 in der LMC hinterlegt haben (in diesem Beispiel mydomain.decom).
