Microsoft Entra ID SSO-Integrationshandbuch

Microsoft Entra ID bietet Unternehmen eine einfache Möglichkeit, Identität und Zugriff sowohl in der Cloud als auch vor Ort zu verwalten. Ihre Benutzer können dasselbe Arbeits- oder Schulkonto für die einmalige Anmeldung bei allen Cloud- und lokalen Webanwendungen verwenden. Ihre Benutzer können ihre bevorzugten Geräte verwenden, darunter iOS, Mac OS X, Android und Windows. Ihre Organisation kann vertrauliche Daten und Anwendungen sowohl vor Ort als auch in der Cloud mit integrierter Multi-Faktor-Authentifizierung schützen und so sicheren lokalen und Remote-Zugriff gewährleisten. Microsoft Entra ID erweitert Ihre lokalen Verzeichnisse, sodass Informationsarbeiter mit einem einzigen Organisationskonto sicher und konsistent auf ihre Unternehmensressourcen zugreifen können. Microsoft Entra ID bietet außerdem umfassende Berichte, Analysen und Self-Service-Funktionen zur Kostensenkung und Verbesserung der Sicherheit. Das Microsoft Entra ID SLA stellt sicher, dass Ihr Unternehmen jederzeit reibungslos läuft und auf Unternehmensebene skaliert werden kann.

 

Notiz

Sie müssen der Kontoinhaber Ihres PagerDuty -Kontos, um diese Änderungen vorzunehmen. Darüber hinaus sind SSO-Funktionen innerhalb von PagerDuty nur auf unserem Professionelle, geschäftliche und digitale Abläufe Pläne . Bitte Kontaktieren Sie unser Vertriebsteam wenn Sie an einem Upgrade Ihres Plans interessiert sind.

 

In Ihrem Azure-Verwaltungsportal

  1. Klicken Sie auf das Microsoft Entra ID Symbol, dann in der linken Menüspalte auf Unternehmensanwendungen .
  2. Klicken + Neue Anwendung .
  3. Suchen und auswählen PagerDuty und klicken Sie dann auf Erstellen .
  4. Klicken Sie auf die Kachel für Schritt 1 Zuweisen von Benutzern und Gruppen .
  5. Wählen Benutzer/Gruppe hinzufügen oben links.
  6. Wählen Sie alle gewünschten Benutzer Und Gruppen auf Wählen unten, dann Zuordnen .
    ( Notiz: Alle Benutzer, die die SSO-Anmeldung für PagerDuty verwenden, müssen dieser PagerDuty App in Azure entweder einzeln oder gruppenweise hinzugefügt werden, damit die Anmeldung funktioniert.)
  7. Navigieren Sie zurück zum Überblick oben in der linken Menüspalte, weiter zu Schritt 2 Einrichten der einmaligen Anmeldung und wählen Sie die SAML Fliese.
  8. Bearbeiten Sie den ersten Abschnitt. Grundlegende SAML-Konfiguration :
    • Satz Kennung (Entitäts-ID) in das folgende Format unter Verwendung Ihrer Subdomäne: 
       https://IHRE_SUBDOMAIN.pagerduty.com
    • Satz Anmelde-URL Zu: 
       https://IHRE_SUBDOMAIN.pagerduty.com/sso/saml/sign-in
    • Satz Antwort-URL Zu: 
       https://IHRE_SUBDOMAIN.pagerduty.com/sso/saml/consume
    • Klicken Speichern oben links.
    • Klicken Sie aus Grundlegende SAML-Konfiguration mit dem X Feld ganz oben rechts.
  9. Bearbeiten Sie den zweiten Abschnitt. Benutzerattribute und Ansprüche :
    • Klicken Sie auf den gewünschten Anspruch Eindeutige Benutzerkennung (Namens-ID) .
    • Wählen E-Mail-Adresse aus dem Wählen Sie das Format der Namenskennung Legen Sie im Dropdown-Menü die Quellattribut Wert auf Benutzer.Mail und klicken Sie dann auf Speichern .
    • Klicken Neuen Anspruch hinzufügen :
      • Legen Sie die Name Feld zu Name .
      • Stellen Sie sicher, dass Namensraum Ist leer .
      • Satz Quellattribut Zu Benutzer.Anzeigename .
      • Wiederholen Sie die Neuen Anspruch hinzufügen Schritt für jeden der folgenden optional Attribute, die Sie in PagerDuty bereitstellen möchten:
        1. Name : E-Mail-Adresse , Quellattribut : Benutzer.Mail .
        2. Name : berufliche Verantwortlichkeiten , Quellattribut : Benutzer.Jobtitel .
        3. Name : Rolle , Quellattribut : Dies kann ein fest codierter Wert sein, zum Beispiel eingeschränkter_Benutzer (A Antwortender Rolle), wenn Sie möchten, dass alle Benutzer mit der gleichen Rolle ausgestattet werden, oder Sie können Anspruchsbedingungen um die Rolle basierend auf der Gruppenmitgliedschaft zu bestimmen; in beiden Fällen muss der gesendete Wert einer von PagerDutys REST-API-Benutzerrollenwerte .
    • Klicken Sie aus Benutzerattribute und Ansprüche mit dem X Feld ganz oben rechts.
  10. Im dritten Abschnitt SAML-Signaturzertifikat , herunterladen Zertifikat (base64) .
  11. Beachten Sie den vierten Abschnitt, PagerDuty einrichten , und verlassen Sie die Seite hier; diese Werte benötigen Sie in Kürze auf der PagerDuty -Seite:
    • Anmelde-URL
    • Abmelde-URL

In PagerDuty

  1. Melden Sie sich in einem neuen Fenster bei PagerDuty als Kontoinhaber .
  2. Klicken Sie auf das Benutzersymbol in der oberen rechten Ecke und wählen Sie Kontoeinstellungen .
  3. Wählen Sie die Einmaliges Anmelden Registerkarte oben auf dem Bildschirm.
  4. Wählen SAML als Anmeldeauthentifizierungstyp.
  5. Öffnen Sie das zuvor heruntergeladene Zertifikat, kopieren Sie den gesamten Inhalt und fügen Sie ihn in das X.509-Zertifikat Feld.
  6. Wechseln Sie zurück zum Azure-Fenster, um die Werte für Anmelde-URL Und Abmelde-URL .
  7. Stellen Sie sicher, dass GENAUEN Vergleich des Authentifizierungskontexts erforderlich Option ist geprüft .
  8. Wenn Sie die Benutzernamen- und Kennwortauthentifizierung für Ihr PagerDuty -Konto für alle Benutzer außer dem Kontoinhaber deaktivieren möchten, können Sie deaktivieren Die Anmeldung mit Benutzername/Passwort zulassen Kontrollkästchen.
  9. Wenn Sie möchten, dass PagerDuty bei der ersten Anmeldung automatisch Konten für alle Personen erstellt, die über Azure SSO Zugriff haben, überprüfen das Kästchen neben Automatische Bereitstellung von Benutzern bei der ersten Anmeldung .

Häufig gestellte Fragen

Warum wird den Benutzern nur die E-Mail-Adresse bereitgestellt?

Wenn die Attributansprüche nicht richtig konfiguriert sind, werden Felder wie Name Und Rolle wird nicht ordnungsgemäß übertragen, wenn ein Benutzer bei der ersten SSO-Anmeldung erstellt wird. Dies geschieht normalerweise, wenn Namensraum ist bei diesen Ansprüchen nicht leer. Stellen Sie sicher, dass bei jedem Attributanspruch (mit Ausnahme des Eindeutige Benutzerkennung ) Die Namensraum Feld ist leer und jedes Name Der Wert des Felds wird genau so geschrieben, wie in Schritt 9 des Azure-Abschnitts oben angegeben.

Warum erhalte ich die Fehlermeldung „Authentifizierungsmethode ‚WindowsIntegrated‘ … stimmt nicht mit der angeforderten Authentifizierungsmethode überein …“?

Teil der SAML-Anforderung, die von PagerDuty während der ersten Authentifizierungsphase an Azure gesendet wird (wenn ein Benutzer klickt Mit meinem Identitätsanbieter anmelden und wird zu Azure umgeleitet) ist angeforderter Authentifizierungskontext (Die Angeforderter Authn-Kontext Element), das eine angegebene Präferenz für ein bestimmtes Mindestmaß an Sicherheit für die Benutzerauthentifizierung beim Identitätsanbieter darstellt. Unser SAML-Dienst berücksichtigt dies beim Senden von Anfragen an alle Dienstanbieter, einschließlich Azure.

Pro Implementierung des SAML-Protokolls von Azure , nur die Passwort Klasse des Authentifizierungstyps ( urn:oasis:names:tc:SAML:2.0:ac:classes:Password ) wird beim Anfordern eines Authentifizierungskontexts unterstützt:

Microsoft Entra ID unterstützt nur eine AuthnContextClassRef Wert: urn:oasis:names:tc:SAML:2.0:ac:classes:Password .

Darüber hinaus erfordert der SAML-Dienst von Azure, dass der Dienstanbieter angibt, dass eine genaue Übereinstimmung zwischen dem angeforderten und dem Authentifizierungskontext bestehen muss, um genau mit dem vom Dienstanbieter angeforderten Kontext übereinzustimmen (dies wird über die GENAUEN Vergleich des Authentifizierungskontexts erforderlich Option); andernfalls wird ein anderer Fehler ausgegeben, der besagt, dass der Kontextvergleich exakt sein muss.

Zusammenfassend:

  • PagerDuty beinhaltet die Angeforderter Authn-Kontext Element, um vom Identitätsanbieter zu verlangen, dass er zur Identifizierung der Benutzer mindestens eine Kennwortauthentifizierung verwendet.
  • Azure erwartet, dass der Dienstanbieter eine genaue Übereinstimmung zwischen dem bereitgestellten und dem angeforderten Authentifizierungstyp verlangt, wann immer Angeforderter Authn-Kontext ist vorgesehen.
  • Azure unterstützt die Anforderung einer Kennwortauthentifizierung nur bei der Angabe Angeforderter Authn-Kontext .

Benutzer können dieses Problem umgehen, indem sie einen anderen Webbrowser verwenden, der nicht versucht, sich über den Identitätsanbieter zu authentifizieren WindowsIntegrated Authentifizierungsmethode und Verwendung der Kennwortauthentifizierung für den Zugriff auf ihre Identität.

Wenn Ihre Organisation und Ihr IT-Workflow eine integrierte Windows-Authentifizierung erfordern und Ihre Endbenutzer von diesem bekannten Problem betroffen sind, teilen Sie uns bitte Ihr Feedback im PagerDuty -Community oder durch Senden Sie uns eine E-Mail .

Weitere Informationen:

Bereit, loszulegen?

Testen Sie jedes Produkt der Operations Cloud kostenlos. Keine Kreditkarte erforderlich.

Versuchen AIOps Versuchen Sie es mit Automatisierung Versuchen Sie es mit Incident Management Probieren Sie Customer Service Ops aus