SecurityGateway: Benutzerprüfung über Office 365/Azure Active Directory

In diesem Artikel zeigen wir Ihnen, wie Sie eine Office 365-Domäne als Quelle für die Benutzerprüfung in SecurityGateway einrichten. 

Als Datenquelle in SecurityGateway stehen seit der Version 6.1 auch das Office 365- und das Azure-Active Directory zur Verfügung. SecurityGateway kann mithilfe der neuen Datenquellen die Benutzer so direkt überprüfen, die ihnen zugewiesenen Aliasnamen abrufen und die Kennwörter auf ihre Gültigkeit prüfen.

Anbindung von Office 365
 
Es sind mehrere Schritte nötig, um eine Office 365-Domäne als Benutzerquelle einzurichten. Zuerst muss in SecurityGateway die Quelle als solche eingerichtet werden. 

Neben dem Typ, der Quelle und dem Domänennamen wird ein sogenannter "Dienstprinzipal" benötigt. Dabei handelt es sich um einen administrativen Benutzer, der entsprechende Zugriffsrechte besitzen muss, um die Namen und E-Mail-Adressen aller vorhandenen Benutzer auslesen zu können. 

Wir werden uns in nachfolgendem Artikel zuerst um die Erstellung des nötigen Dienstprinzipals kümmern und abschließend die Datenquelle in SecurityGateway einrichten. 

Damit SecurityGateway auf den Office 365-Tenant zugreifen kann, erfordert die Office 365-Umgebung Exchange Online. Bitte stellen Sie sicher, dass diese Funktion vorhanden ist. Des Weiteren wird das Windows Management Framework in der Version 5.1 und das Office365-Modul für die Windows PowerShell benötigt

Unter den folgenden Links finden Sie die Installationsanleitungen der benötigten Software:



Zusätzlich ist die Installation des MSOnline-Modules für die PowerShell nötig. Der korrekte Befehl hierfür lautet: 

Install-Module MSOnline

Um nun einen solchen Benutzer zu erstellen, benötigen Sie Zugriff auf die Office 365- oder Azure Active-Directory-Umgebung via PowerShell. 

Öffnen Sie Ihre PowerShell-Umgebung als Administrator und geben Sie folgenden Befehl ein: 
  • Office 365 Worldwide (+GCC)
    • Connect-MsolService -AzureUmwelt AzureCloud
  • Office 365 Deutschland
    • Connect-MsolService -AzureEnvironment AzureGermanyCloud
      


Nach erfolgreicher Verbindung öffnet sich folgendes Fenster:


Hier geben Sie nun die gültigen Anmeldedaten für einen vorhandenen administrativen Benutzer ein. Nach erfolgreicher Anmeldung können Sie sich optional bereits vorhandene Dienstprinzipale ansehen oder einen komplett neuen erstellen.  

Get-MsolServicePrincipal

Wir werden nun einen komplett neuen Dienstprinzipal für SecurityGateway erstellen. Dafür gibt es die folgende Befehlsstruktur: 

$principal = New-MsolServicePrincipal -DisplayName 'Security' -ServicePrincipalNames @("Security") -Type Password -Value 'PasswortIhrerWahl' -StartDate (Get-Date) -EndDate (Get-Date).AddYears(1)

Das Dienstprinzipal-Objekt wird erstellt und in der Variablen $principal gespeichert. Das Passwort des Prinzipals ist standardmäßig ein Jahr ab dem Erstellungsdatum gültig. Sie müssen in dem Befehl noch den gewünschten Benutzernamen und das gewünschte Kennwort einsetzen. In diesem Fall würden wir hier als Namen "Security" und "PasswortIhrerWahl" eingegeben. Zu guter Letzt muss dem Prinzipal die "Directory Readers"-Rolle hinzugefügt werden – das ist nötig, weil der Dienstprinzipal in der Lage sein muss, die Informationen aus dem Azure-AD auszulesen. Das nachfolgende Kommando erledigt dies:

Add-MsolRoleMember -RoleName "Directory Readers" -RoleMemberType ServicePrincipal -RoleMemberObjectId $principal.ObjectId

In der PowerShell sieht dies folgendermaßen aus: 


Nach erfolgreicher Durchführung wechseln wir nun in die Ansicht von SecurityGateway und erstellen hier eine neue Quelle für die Benutzerprüfung. Dies können Sie unter Einstellungen/Benutzer → Benutzerkonten → Datenquellen für Benutzerprüfung tun.

Geben Sie hier als Typen "Office365", eine optionale Beschreibung und den eigentlichen Domänennamen an. Der Cloud-Typ wird je nach Standort der Azure-Cloud gewählt. Als Auswahlmöglichkeiten gibt es hier Global, US-Government, Germany und China. Zu guter Letzt geben Sie noch die vorhin festgelegten Daten des Dienstprinzipals an.


Nun werden die Benutzer für die Domäne erfolgreich abgerufen.