So konfigurieren Sie den Zugriff auf WebApps von EntraID nahtlos über mehrere Domänen hinweg

In der heutigen schnelllebigen digitalen Landschaft ist die Bereitstellung eines nahtlosen und sicheren Zugriffs auf Unternehmensanwendungen eine Kernanforderung für IT-Teams. Dies gilt insbesondere für Organisationen, die über mehrere geografische Standorte, Tochtergesellschaften oder Geschäftsbereiche verfügen, die jeweils ihre eigenen Domänen nutzen. Hier kommt Entra ID (ehemals Azure Active Directory) ins Spiel, die von Microsoft entwickelte Identitäts- und Zugriffsmanagementlösung, die als zentraler Dreh- und Angelpunkt für die Authentifizierung und Autorisierung dient.

Dieser Artikel beleuchtet detailliert, wie Sie den Zugriff auf Ihre WebApps über mehrere Domänen hinweg mithilfe von Entra ID nahtlos konfigurieren können. Wir werden die zugrunde liegenden Konzepte, die notwendigen Schritte und bewährte Methoden behandeln, um eine optimale Benutzererfahrung und gleichzeitig hohe Sicherheitsstandards zu gewährleisten.

Einleitung: Die Herausforderung des Multi-Domänen-Zugriffs

Moderne Unternehmen sind oft nicht auf eine einzelne Domäne beschränkt. Fusionen, Übernahmen, globale Expansion oder einfach die Aufteilung in verschiedene Geschäftsbereiche führen dazu, dass Benutzer mit unterschiedlichen E-Mail-Adressen und UPNs (User Principal Names) existieren, z.B. [email protected] und [email protected]. Das Ziel ist, dass all diese Benutzer über ihre jeweiligen Identitäten auf alle relevanten WebApps zugreifen können, ohne sich jedes Mal neu anmelden zu müssen oder verwirrende Login-Seiten zu sehen.

Ohne eine zentrale und gut konfigurierte Lösung kann dies zu einer fragmentierten Benutzererfahrung, erhöhten Support-Anfragen und potenziellen Sicherheitslücken führen. Entra ID bietet die Möglichkeit, diese Komplexität zu managen und einen echten Single Sign-On (SSO) über alle Domänen hinweg zu realisieren, der sowohl benutzerfreundlich als auch sicher ist.

Grundlagen des Identitäts- und Zugriffsmanagements mit Entra ID

Bevor wir in die technischen Details eintauchen, lassen Sie uns einige Schlüsselkonzepte auffrischen:

• Entra ID (ehemals Azure Active Directory): Dies ist der cloudbasierte Identitäts- und Zugriffsmanagementdienst von Microsoft. Er dient als zentraler Identitätsprovider (IdP), der Benutzeridentitäten speichert und die Authentifizierung für Anwendungen und Dienste durchführt.
• WebApps: Dies sind browserbasierte Anwendungen, die Benutzer über das Internet oder ein Intranet nutzen. Sie können unternehmenseigen, SaaS-Lösungen (Software as a Service) oder Drittanbieter-Anwendungen sein.
• Single Sign-On (SSO): Das Kernziel. SSO ermöglicht es Benutzern, sich einmal anzumelden und auf mehrere Anwendungen und Dienste zuzugreifen, ohne sich erneut authentifizieren zu müssen. Dies ist entscheidend für eine nahtlose Benutzererfahrung.
• Identitätsprotokolle: Entra ID unterstützt gängige Authentifizierungsprotokolle wie SAML (Security Assertion Markup Language) und OpenID Connect (OIDC) / OAuth 2.0. Diese Protokolle definieren, wie Identitätsinformationen sicher zwischen dem IdP (Entra ID) und der WebApp (Service Provider) ausgetauscht werden.
• Benutzerdefinierte Domänen: Dies sind Ihre eigenen Domänennamen (z.B. ihr-unternehmen.com, tochterfirma.org), die Sie in Ihrem Entra ID-Mandanten hinzufügen und verifizieren, um die Benutzeridentitäten Ihrer Organisation zu verwalten.

Schritt 1: Vorbereitung in Entra ID – Die Domänen-Grundlage legen

Der erste und vielleicht wichtigste Schritt ist die korrekte Einrichtung Ihrer Domänen in Entra ID.

A. Hinzufügen und Verifizieren von benutzerdefinierten Domänen

Jede Domäne, unter der Ihre Benutzer operieren (z.B. contoso.com, fabrikam.org, subsidiary.net), muss Ihrem Entra ID-Mandanten hinzugefügt und verifiziert werden. Dies ist entscheidend, damit Entra ID die UPNs und E-Mail-Adressen dieser Domänen erkennen und verwalten kann.

1. Navigieren Sie im Microsoft Entra Admin Center zu Identität > Einstellungen > Domänennamen.
2. Klicken Sie auf + Benutzerdefinierte Domäne hinzufügen.
3. Geben Sie den vollständigen Domänennamen ein und klicken Sie auf Domäne hinzufügen.
4. Entra ID stellt Ihnen DNS-Einträge (in der Regel einen TXT- oder MX-Eintrag) zur Verfügung. Fügen Sie diese Einträge bei Ihrem Domänenregistrar hinzu.
5. Nachdem die DNS-Änderungen propagiert wurden, kehren Sie zum Entra Admin Center zurück und klicken Sie auf Überprüfen. Die Domäne sollte als „Verifiziert“ angezeigt werden.

Wiederholen Sie diesen Vorgang für alle Domänen, die von Ihren Benutzern verwendet werden.

B. Benutzeridentitäten über Domänen hinweg

Stellen Sie sicher, dass Ihre Benutzeridentitäten korrekt in Entra ID vorhanden sind und die richtigen Domänen-Suffixe verwenden.

• Cloud-Benutzer: Wenn Ihre Benutzer direkt in Entra ID erstellt werden, können Sie ihnen UPNs mit jeder der verifizierten Domänen zuweisen (z.B. [email protected] oder [email protected]).
• Synchronisierte Benutzer (Hybrid-Umgebungen): Wenn Sie Benutzer aus einem lokalen Active Directory mit Entra ID synchronisieren (mittels Entra Connect), stellen Sie sicher, dass die UPNs im lokalen AD mit den verifizierten Domänen in Entra ID übereinstimmen oder dass alternative UPN-Suffixe korrekt konfiguriert und synchronisiert werden. Es ist auch wichtig, dass die E-Mail-Adressen der Benutzer in ihren Entra ID-Profilen korrekt sind, da viele Anwendungen diese für die Identifizierung nutzen.

C. Gruppen für effektives Zugriffsmanagement

Um den Zugriff auf WebApps effizient zu verwalten, verwenden Sie Sicherheitsgruppen in Entra ID. Erstellen Sie Gruppen (z.B. „Zugriff_WebAppX_Contoso“, „Zugriff_WebAppX_Fabrikam“) und fügen Sie die entsprechenden Benutzer hinzu. Dies vereinfacht die Zuweisung von Berechtigungen und ermöglicht eine granulare Kontrolle.

Schritt 2: Die WebApp in Entra ID registrieren und konfigurieren

Jede WebApp, die Entra ID für die Authentifizierung nutzen soll, muss in Entra ID registriert werden.

A. Die Wahl zwischen „App-Registrierungen” und „Unternehmensanwendungen”

• App-Registrierungen: Wird verwendet, wenn Sie eine neue, maßgeschneiderte Anwendung entwickeln oder eine Anwendung registrieren, die Sie als Entwickler steuern. Hier konfigurieren Sie die fundamentalen Authentifizierungseinstellungen.
• Unternehmensanwendungen (Enterprise Applications): Hier finden Sie alle in Ihrem Mandanten registrierten Anwendungen, einschließlich jener, die Sie über „App-Registrierungen” erstellt haben, sowie Tausende von vorintegrierten SaaS-Anwendungen aus dem Entra ID-Anwendungskatalog. Für die meisten Konfigurationen und insbesondere die Zuweisung von Benutzern/Gruppen verwenden Sie diesen Bereich.

B. Auswahl des Authentifizierungsprotokolls

Abhängig von der WebApp wählen Sie das passende Protokoll:

• SAML (Security Assertion Markup Language): Ideal für viele ältere oder unternehmensinterne Anwendungen, die als Service Provider (SP) fungieren. Dies ist die häufigste Wahl für SSO mit SaaS-Anwendungen.
• OpenID Connect (OIDC) / OAuth 2.0: Das bevorzugte Protokoll für moderne Web- und Mobilanwendungen, das tokenbasierten Zugriff ermöglicht.

C. Konfiguration der Redirect URIs (Reply URLs)

Dies ist ein kritischer Punkt für die Multi-Domänen-Konfiguration. Die Redirect URIs (manchmal auch Reply URLs genannt) sind die Adressen, an die Entra ID den Benutzer nach erfolgreicher Authentifizierung zurückleitet, zusammen mit dem Authentifizierungstoken. Stellen Sie sicher, dass alle relevanten URLs der WebApp, die möglicherweise von Benutzern aus verschiedenen Domänen verwendet werden, hier eingetragen sind.

• Wenn Ihre WebApp unter verschiedenen Domänen erreichbar ist, z.B. https://app.contoso.com/auth und https://app.fabrikam.org/auth, müssen beide URIs in der App-Registrierung hinterlegt werden.
• Achten Sie auf exakte Übereinstimmung, einschließlich Protokoll (HTTP/HTTPS) und Pfad.

D. API-Berechtigungen und Anwendungsrollen (für OIDC/OAuth)

Bei OIDC/OAuth-basierten Anwendungen müssen Sie die erforderlichen API-Berechtigungen für die App konfigurieren (z.B. „Microsoft Graph / User.Read” für den Zugriff auf grundlegende Benutzerprofile). Bei Bedarf können Sie auch Anwendungsrollen (App Roles) definieren, um eine granulare Autorisierung innerhalb der Anwendung zu ermöglichen, basierend auf den vom Benutzer übermittelten Rollenansprüchen.

E. Zuweisung von Benutzern und Gruppen

Im Bereich der „Unternehmensanwendungen” weisen Sie die Benutzer und Gruppen zu, die auf die WebApp zugreifen dürfen. Dies ist ein Sicherheitsmechanismus, der sicherstellt, dass nur autorisierte Identitäten die App nutzen können.

F. Anspruchszuordnung (Claim Mapping)

Entra ID sendet Benutzerattribute (Ansprüche oder Claims) an die WebApp, um den Benutzer zu identifizieren und zu autorisieren. Standardmäßig werden oft der UPN, die E-Mail-Adresse und der Anzeigename gesendet. Stellen Sie sicher, dass die gesendeten Ansprüche den Erwartungen der WebApp entsprechen. Oft wird die E-Mail-Adresse als eindeutiger Bezeichner verwendet, unabhängig von der Domäne im UPN. Sie können benutzerdefinierte Ansprüche hinzufügen oder bestehende ändern, um spezifische Informationen (z.B. Gruppenmitgliedschaften, Mitarbeiter-ID) zu übermitteln.

Schritt 3: Implementierung auf Seiten der WebApp (Service Provider)

Die WebApp selbst muss so konfiguriert werden, dass sie die von Entra ID gesendeten Authentifizierungsanfragen und -antworten verarbeiten kann.

• SAML-SP-Konfiguration: Wenn Ihre WebApp SAML verwendet, müssen Sie die Metadaten von Entra ID importieren (oder manuell die URL für den SSO-Endpunkt, das Zertifikat und die Entra ID-Entity-ID konfigurieren). Die WebApp muss auch ihre eigene Entity-ID und ihre Assertion Consumer Service (ACS) URL bereitstellen, die Sie wiederum in Entra ID hinterlegen.
• OIDC-Client-Konfiguration: Bei OIDC agiert die WebApp als OIDC-Client. Sie benötigt die Client-ID (Anwendungs-ID) und den Client-Secret (wenn es sich um eine vertrauliche Client-Anwendung handelt), die Sie in der App-Registrierung in Entra ID finden. Die WebApp muss dann in der Lage sein, den OIDC-Flow zu initiieren, das von Entra ID empfangene ID-Token zu validieren und die darin enthaltenen Ansprüche zur Benutzeridentifizierung zu nutzen.
• Verarbeitung von Ansprüchen: Die WebApp muss in der Lage sein, die von Entra ID übermittelten Ansprüche (z.B. E-Mail, UPN, Gruppennamen) zu interpretieren und basierend darauf den Benutzer zu identifizieren und die entsprechenden Berechtigungen innerhalb der Anwendung zu erteilen.

Schritt 4: Nahtlosen Zugriff über mehrere Domänen ermöglichen

Jetzt kommen wir zu den spezifischen Strategien, um den Zugriff über mehrere Domänen hinweg tatsächlich nahtlos zu gestalten.

A. Die Bedeutung von Home Realm Discovery (HRD)

Home Realm Discovery (HRD) ist der Prozess, bei dem der Identitätsprovider (IdP) ermittelt wird, der für die Authentifizierung eines Benutzers zuständig ist. Wenn ein Benutzer versucht, sich anzumelden, muss Entra ID wissen, zu welcher Domäne der Benutzer gehört, um die richtige Authentifizierungserfahrung zu bieten.

• Entra IDs integrierte HRD-Funktionalität: Entra ID erkennt standardmäßig die Domäne des Benutzers anhand des UPN-Suffixes. Wenn ein Benutzer [email protected] eingibt, weiß Entra ID, dass er zur Domäne contoso.com gehört.
• Nutzung von domain_hint und login_hint: Für eine noch nahtlosere Erfahrung, insbesondere bei initialen Anmeldungen, können Anwendungen den domain_hint– oder login_hint-Parameter in die Authentifizierungsanfrage an Entra ID aufnehmen.
  • Der login_hint-Parameter enthält den Benutzernamen (z.B. [email protected]). Dies füllt das Benutzernamenfeld auf der Entra ID-Anmeldeseite vorab aus.
  • Der domain_hint-Parameter enthält nur den Domänennamen (z.B. contoso.com). Dies kann Entra ID helfen, direkt zur Authentifizierung des entsprechenden Verbundpartners (falls vorhanden) zu springen oder die richtige Branding-Seite anzuzeigen, noch bevor der Benutzer seinen vollständigen UPN eingegeben hat.

  Durch die intelligente Verwendung dieser Parameter kann die Anmeldeaufforderung für den Benutzer stark vereinfacht und beschleunigt werden.

B. Konsistente Benutzererfahrung durch Branding

Passen Sie die Anmeldeseiten von Entra ID an Ihr Unternehmensbranding an. So sehen Benutzer, unabhängig von ihrer Domäne, eine vertraute und konsistente Anmeldeseite. Dies reduziert Verwirrung und erhöht das Vertrauen.

C. Verwaltung von SSO-Sitzungen und Token-Lebensdauern

Entra ID verwaltet SSO-Sitzungen über Cookies und Token. Wenn ein Benutzer sich einmal authentifiziert hat, versucht Entra ID, diese Sitzung für nachfolgende Anmeldeanforderungen wiederzuverwenden. Die Lebensdauer dieser Sitzungen kann über Richtlinien gesteuert werden, um ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zu finden. Primary Refresh Tokens (PRTs) spielen eine wichtige Rolle bei Windows-10-Geräten, die in Entra ID registriert oder eingebunden sind, da sie für persistente SSO-Sitzungen sorgen.

D. Verbesserte Sicherheit durch Conditional Access

Conditional Access (Bedingter Zugriff) in Entra ID ist ein leistungsstarkes Werkzeug, um die Sicherheit zu erhöhen, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Sie können Richtlinien erstellen, die den Zugriff auf WebApps basierend auf einer Vielzahl von Signalen steuern, darunter:

• Benutzer oder Gruppen: Wen die Richtlinie betrifft.
• Cloud-Apps oder Aktionen: Auf welche Anwendungen die Richtlinie angewendet wird.
• Bedingungen: Standort des Benutzers, Gerätestatus (konform, hybrid Entra ID joined), Client-App (Browser, mobile App), Anmelderisiko etc.
• Zugriffssteuerung: Erfordern von Multi-Faktor-Authentifizierung (MFA), Erzwingen eines konformen Geräts, blockieren des Zugriffs.

Diese Richtlinien funktionieren domänenübergreifend und stellen sicher, dass alle Benutzer, unabhängig von ihrer Ursprungsdomäne, dieselben Sicherheitsanforderungen erfüllen müssen, um auf vertrauliche WebApps zuzugreifen.

Best Practices für eine reibungslose Implementierung

• Gründliches Testen und Validieren: Testen Sie den SSO-Fluss intensiv mit Testbenutzern aus allen betroffenen Domänen und verschiedenen Szenarien (erster Login, erneuter Login, MFA-Prompt etc.).
• Überwachung und Fehlerbehebung: Nutzen Sie die Anmelde- und Überwachungsprotokolle im Entra Admin Center. Diese liefern detaillierte Informationen über erfolgreiche und fehlgeschlagene Anmeldeversuche und helfen bei der Identifizierung von Problemen.
• Sicherheit geht vor: Least Privilege und MFA: Wenden Sie das Prinzip der geringsten Rechte an. Weisen Sie Benutzern und Gruppen nur die absolut notwendigen Berechtigungen zu. Erzwingen Sie MFA über Conditional Access für alle Benutzer, insbesondere für den Zugriff auf sensible WebApps, unabhängig von ihrer Domäne.
• Dokumentation und Benutzerschulung: Erstellen Sie klare Anleitungen für Ihre Endbenutzer und den Support-Desk. Klären Sie, wie der neue Anmeldeprozess funktioniert und welche Vorteile er bietet.
• Gängige Fallstricke vermeiden:
  • UPN-Mismatches: Stellen Sie sicher, dass die UPNs in Entra ID korrekt sind und von der WebApp als Identifikatoren akzeptiert werden. Bei lokalen synchronisierten Benutzern achten Sie auf alternative UPN-Suffixe.
  • URI-Fehler: Eine der häufigsten Fehlerquellen sind falsch konfigurierte Redirect URIs oder ACS URLs. Überprüfen Sie diese sorgfältig.
  • Anspruchszuordnung: Vergewissern Sie sich, dass die WebApp die von Entra ID gesendeten Attribute (Claims) korrekt interpretiert und verarbeitet.
  • Zertifikatsablauf: Bei SAML-Anwendungen überwachen Sie den Ablauf von Signaturzertifikaten in Entra ID und aktualisieren Sie diese gegebenenfalls in der WebApp.

Fazit: Agilität und Sicherheit in einer vernetzten Welt

Die Konfiguration eines nahtlosen Zugriffs auf WebApps über mehrere Domänen hinweg mit Entra ID ist eine Investition, die sich in vielerlei Hinsicht auszahlt. Sie vereinfacht nicht nur die Benutzererfahrung durch Single Sign-On und reduziert den administrativen Aufwand, sondern erhöht auch die Sicherheit durch eine zentrale Kontrolle über Authentifizierung und Autorisierung.

Durch die konsequente Anwendung der hier beschriebenen Schritte – von der Domänenverifizierung über die App-Registrierung bis hin zur Nutzung von HRD und Conditional Access – schaffen Sie eine robuste, skalierbare und benutzerfreundliche Identitätsinfrastruktur. In einer Welt, in der Flexibilität und Sicherheit gleichermaßen entscheidend sind, ebnet Entra ID den Weg für eine effiziente und zukunftssichere Zugriffsverwaltung.

Die Fähigkeit, Benutzern aus verschiedenen Domänen einen einheitlichen und sicheren Zugriff auf Ressourcen zu ermöglichen, ist nicht nur eine technische Notwendigkeit, sondern ein strategischer Vorteil, der die Produktivität steigert und die Akzeptanz von Cloud-Diensten innerhalb Ihrer Organisation fördert.