SSO-Verbindungen zu Ihrem OVHcloud Account über Entra ID aktivieren

Ziel

Sie können die Authentifizierungsmethode Single Sign-On (SSO) verwenden, um sich in Ihren OVHcloud Kunden-Account einzuloggen. Um diese Verbindungen zu aktivieren, müssen Ihr Account und Ihr Entra ID (vormals Azure Active Directory) mithilfe von SAML-Authentifizierungen (Security Serving Markup Language) konfiguriert werden.

Diese Anleitung erklärt, wie Sie Ihren OVHcloud Kunden-Account mit einem externen Entra ID verbinden.

Voraussetzungen

• Sie haben Zugriff auf die Rollen Application Administrator und User Administrator eines Entra ID Dienstes.
• Sie verfügen über einen OVHcloud Kunden-Account.

Zugriff auf das OVHcloud Kundencenter

• Direkter Link: SAML SSO
• Navigationspfad: Identität, Sicherheit und Operationen > Benutzer > SSO-Verbindung

In der praktischen Anwendung

Entra ID Benutzer und Gruppen

Ihr Entra ID fungiert als Identity Provider. Authentifizierungsanfragen für Ihren OVHcloud Account werden nur dann akzeptiert, wenn Sie diesen zuerst als vertrauenswürdig deklariert haben.

Konfigurieren Sie zunächst Identitäten auf der Seite des Identity Providers.

Entra ID Benutzer

Gehen Sie auf Ihr Entra ID Dashboard.

Klicken Sie auf Users im linken Menü.

Erstellen Sie neue Benutzer oder überprüfen Sie Ihre vorhandenen Benutzer, indem Sie darauf klicken.

Für dieses Beispiel wird der Benutzer John Smith verwendet.

Bei Ausführung einer SSO-Authentifizierung wird die Identität von John Smith von Entra ID für den OVHcloud Account bereitgestellt. Diese Identität muss jedoch mindestens eine Gruppe enthalten. Wenn noch keine Gruppe existiert, fügen Sie den Benutzer John Smith wie folgt hinzu.

Entra ID Gruppen

Klicken Sie auf Groups im linken Menü.

Klicken Sie oben auf New group und geben Sie alle notwendigen Daten ein.

Für dieses Beispiel wird die Gruppe manager@ovhcloudsaml verwendet.

Klicken Sie auf den Button Create, um alle Informationen zu dieser Gruppe anzuzeigen.

Alle Benutzer, die für die SSO-Authentifizierung verwendet werden sollen, müssen zu einer Gruppe hinzugefügt werden.

In diesem Beispiel gehört der Benutzer John Smith zur Gruppe manager@ovhcloudsaml.

Klicken Sie im Interface der ausgewählten Gruppe links auf Members und klicken Sie im oberen Menü auf Add Members.

Wählen Sie den Benutzer aus, der zu dieser Gruppe hinzugefügt werden soll, und klicken Sie dann auf den Button Select.

Damit ist der Benutzer der Gruppe zugewiesen.

Um SSO-Authentifizierungen durchzuführen, muss eine Entra ID Anwendung erstellt werden.

SSO muss für diese Anwendung konfiguriert werden.

Entra ID Anwendungen

Erstellen Sie zunächst eine Anwendung, wenn diese noch nicht existiert.

Eine Entra ID Anwendung erstellen

Klicken Sie auf Enterprise applications im linken Menü.

Klicken Sie oben auf New application.

Klicken Sie oben auf Create your own application.

Wählen Sie links Non-gallery aus und klicken Sie auf den Button Create.

Die Anwendungsdetails werden angezeigt.

Die Entra ID Anwendung wird nun erstellt. Benutzer, die SSO-Authentifizierungen über diese Anwendung durchführen sollen, müssen zur Application hinzugefügt werden.

Entra ID Anwendung - Zuweisung von Benutzern

Öffnen Sie Users and groups im linken Menü und klicken Sie oben auf Add user/group.

Klicken Sie dann auf den Bereich Users, wählen Sie den Benutzer aus, der zur Anwendung hinzugefügt werden soll, und klicken Sie auf den Button Select.

Wenn die Anwendung erstellt und einem Benutzer zugewiesen wurde, kann SSO via SAML eingerichtet werden.

Entra ID Application SSO

Klicken Sie links auf den Button Overview und öffnen Sie den Bereich Set up single sign on.

Klicken Sie auf SAML.

Klicken Sie oben auf Upload metadata file.

Klicken Sie auf das Icon Select a file und wählen Sie die Metadaten-Datei für den OVHcloud Service Provider aus. Klicken Sie auf den Button Add.

Sie erhalten die passende Metadatendatei über folgende Links:

• Metadaten der EU-Region
• Metadaten der CA-Region

Laden Sie die Metadatendatei herunter.

Die SAML-Konfiguration wird angezeigt.

Klicken Sie im Bereich Attributes & Claims auf den Button Edit.

Fügen Sie das UPN-Attribut (User Principal Name) zu den SAML-Informationen hinzu, um OVHcloud über die E-Mail des Benutzers zu informieren. Dies ist ein notwendiger Schritt.

Klicken Sie im oberen Menü auf Add a new claim.

Geben Sie im Feld Name den Wert http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn ein.

Geben Sie im Feld Source attribute user.mail ein.

Ihr Interface sollte dann dem folgenden Screenshot sehr ähnlich sein:

Klicken Sie auf Save

Deklarieren Sie jetzt das Attribut, das für die Gruppe des Benutzers verwendet wird.

Klicken Sie oben auf Add a group claim.

Wählen Sie Security Groups und Group ID aus Source attribute und klicken Sie dann auf Save.

Der Claim groups sollte nun in der Liste erscheinen.

Kopieren und speichern Sie den Wert des Claim name (etwa in einem Texteditor), da er später benötigt wird.

Kopieren Sie aus SAML certificates den Wert im Feld App Federation Metadata Url.

Verwenden Sie diesen Link zum Herunterladen der Metadaten-Datei der Entra ID Anwendung, um sie später im OVHcloud Kunden-Account zu verwenden.

Das Vertrauen zum OVHcloud Account und die Verbindung konfigurieren

Das Hinzufügen Ihrer Entra ID Anwendung als vertrauenswürdiger Identity Provider erfolgt auf der Seite SAML SSO Ihres OVHcloud Kundencenters, in dem Sie die Metadaten des Identity Providers hinterlegen können.

OVHcloud Vertrauen aufbauen

Geben Sie im Feld Nutzerattributname den UPN der Entra ID Anwendung ein und im Feld Name des Gruppenattributs den zuvor gespeicherten Wert des Claim name für groups.

Geben Sie die XML-Metadaten der Entra ID Anwendung aus der zuvor gespeicherten Datei ein.

Sie können die lokalen Benutzer beibehalten, indem Sie die Option Aktive OVHcloud User beibehalten aktivieren.

Klicken Sie auf den Button Bestätigen.

Ihre Entra ID Anwendung gilt nun als vertrauenswürdiger Identity Provider. Dennoch müssen im OVHcloud Account Gruppen hinzugefügt werden.

Um dies zu erreichen, überprüfen Sie das Attribut "Group", das von Ihrer Entra ID Anwendung zurückgegeben wird: das Feld Object Id.

Deklaration von Gruppen für OVHcloud

Um eine Gruppe hinzuzufügen, gehen Sie zum Abschnitt Identitäten und dann zum Tab Nutzergruppen. Klicken Sie dann auf die Schaltfläche Eine Gruppe anmelden:

Geben Sie den Gruppennamen ein und wählen Sie die zugehörige Rolle aus. Klicken Sie anschließend auf Bestätigen.

Die erstellte Gruppe sollte in der Liste erscheinen.

Achtung, wenn Sie die Berechtigung Keine erteilen, müssen Sie dieser Gruppe Rechte über die IAM-Richtlinien zuweisen.

Verbindung via SSO

Geben Sie auf der OVHcloud Login-Seite Ihre Kundenkennung ein, gefolgt von /idp*. Klicken Sie ohne ein Passwort einzugeben auf Login.

Sie werden dann auf die Loginseite Ihrer Entra ID Anwendung weitergeleitet. Wählen Sie Use another account.

Geben Sie die E-Mail-Adresse des Benutzers der Entra ID Anwendung ein und klicken Sie dann auf den Button Next.

Geben Sie das Passwort des Benutzers der Entra ID Anwendung ein und klicken Sie dann auf den Button Sign In.

Sie sind nun mit derselben Kundenkennung eingeloggt, jedoch über Entra ID SSO und mit Ihrem Azure Application Benutzer.

Wenn Ihre E-Mail nicht unterhalb von Connected via SSO angezeigt wird, haben Sie das UPN-Attribut nicht korrekt konfiguriert, sodass einige Funktionen möglicherweise nicht funktionieren.

Weiterführende Informationen

OVHcloud Kunden-Account erstellen

OVHcloud Kunden-Account absichern und persönliche Informationen verwalten

Das Passwort Ihres Kunden-Accounts anlegen und verwalten

Den OVHcloud Kunden-Account mit der Zwei-Faktor-Authentifizierung absichern

Verwendung von IAM-Richtlinie über Ihr Kundencenter.

Treten Sie unserer User Community bei.