Zu Content springen
Deutsch
Support anfordern
Zu securesafe.com
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Entra ID – Tenant-Instanzkonfiguration für SecureSafe Pass & File

Einführung

Diese Anleitung beschreibt, wie Sie SecureSafe mit Microsoft Entra ID (ehemals Azure AD) mittels SCIM-Provisioning und SAML SSO integrieren. Sie stellt einen konsistenten Einrichtungsprozess sicher, reduziert manuelle Konfigurationsfehler und klärt die für SecureSafe verwendete Terminologie.

  • SCIM Provisioning ermöglicht die Benutzerverwaltung für SecureSafe direkt in Entra ID. Unterstützte Benutzertypen sind Administratoren und Berater.

  • SAML SSO ermöglicht es Benutzern, sich mit ihren Entra ID-Zugangsdaten bei SecureSafe anzumelden.

Sie müssen SecureSafe als neue Enterprise-Anwendung erstellen und konfigurieren. Melden Sie sich dazu im Entra ID Admin Center an und verwenden Sie die erforderlichen Konfigurationsdetails, die vom SecureSafe-Team bereitgestellt wurden (siehe Abschnitt Voraussetzungen unten).

SecureSafe Glossar

Begriff Beschreibung
PLAN_OWNER Eine Person, die einen Plan verwaltet. Ein Plan Owner kann Benutzer zu einem Plan einladen (als Plan User oder Gäste). Ein Plan Owner verfügt außerdem über die Fähigkeiten und Berechtigungen eines Plan Users.

Derzeit hat ein Plan Owner Zugriff auf das Schlüsselmaterial aller Safes, die unter dem Plan erstellt wurden. Zukünftig kann dies geändert werden, um eine klare Trennung der Verantwortlichkeiten sicherzustellen.
PLAN_USER Eine Person, die einen Plan nutzen kann. Die Nutzung umfasst folgende Fähigkeiten: Erstellen von Team Safes, Verwaltung von Mitgliedschaften sowie Verwaltung der Inhalte dieser Team Safes. Ein Benutzer kann derzeit nur einem einzelnen Plan zugeordnet sein.
Tenant Ein Tenant ist eine Einheit (z. B. ein Unternehmen, eine Organisation oder eine Einzelperson), die ein gemeinsames Softwaresystem nutzt und darauf zugreift. Obwohl mehrere Tenants dieselbe Anwendungsinfrastruktur verwenden, sind Daten und Konfiguration voneinander isoliert. Jeder Tenant arbeitet so, als hätte er eine eigene dedizierte Instanz der Anwendung, auch wenn die zugrunde liegende Infrastruktur gemeinsam genutzt wird. Ein Beispiel für tenant-spezifische Konfiguration ist White Labelling.

Voraussetzungen

Stellen Sie vor Beginn der Konfiguration sicher, dass folgende Voraussetzungen erfüllt sind:

  • Ein aktiver Microsoft Entra ID Tenant mit administrativen Berechtigungen
  • Zugriff auf das Entra-Portal
  • SecureSafe benötigt folgende Entra ID-Benutzereigenschaften: givenName, familyName, email
  • Sie haben folgende Informationen vom SecureSafe-Team erhalten:
    • <SECURE_SAFE_SCIM_URL> – URL zu den SCIM-Endpunkten von SecureSafe
    • <SECURE_SAFE_SAML_URL> – URL für den SAML-Login zu SecureSafe
    • <BEARER_TOKEN> – wird zur Authentifizierung von Entra ID-Anfragen in SecureSafe verwendet
    • <TENANT_ID> – Tenant-ID zur Einrichtung des Logins (String, entspricht dem Tenant-Namen auf SecureSafe-Seite)

Erstellung der Anwendung

Für die Integration von SecureSafe muss eine neue Enterprise-Anwendung erstellt werden.

  • Klicken Sie auf Entra ID > Enterprise applications und anschließend auf New Application

Screenshot 2025-09-19 at 11.44.10

  • Klicken Sie auf „Create your own application“

Screenshot 2025-09-19 at 11.56.29

  • Vergeben Sie einen Namen für die Anwendung. Der Name muss innerhalb Ihrer Entra ID eindeutig sein. In einer Multi-Tenant-Umgebung von SecureSafe empfiehlt es sich, eine tenant-spezifische Kennung anzuhängen, z. B. SecureSafe_Tenant1

  • Wählen Sie „Integrate any other application you don’t find in the gallery (Non-gallery)“ und klicken Sie auf Create

application

SCIM Provisioning konfigurieren

Diese Konfiguration legt fest, welche Benutzerattribute von Entra ID an SecureSafe übertragen werden. Entra ID synchronisiert alle 40 Minuten mit SecureSafe.

Benutzerrollen erstellen

SecureSafe unterstützt zwei Rollen: PLAN_OWNER und PLAN_USER

  • Klicken Sie auf App registrations > All applications

Screenshot 2025-09-19 at 15.14.33

  • Wählen Sie die SecureSafe-Anwendung aus

  • Gehen Sie zu Manage > App roles

Screenshot 2025-09-19 at 15.15.54-1

  • Erstellen Sie eine App-Rolle für Administratoren
  • Verwenden Sie PLAN_OWNER als Display Name und Value und fügen Sie eine passende Beschreibung hinzu

owner

  • Erstellen Sie eine App-Rolle für Berater
  • Verwenden Sie PLAN_USER als Display Name und Value und fügen Sie eine passende Beschreibung hinzu

user

  • Löschen Sie alle anderen vorhandenen Rollen, um fehlerhafte Zuweisungen zu vermeiden

image-20260414-150804

Provisioning konfigurieren

Für das Provisioning müssen Endpunkte, Tenant Bearer Token und Benutzerattribut-Mapping definiert werden.

  • Klicken Sie auf Enterprise Applications > <ApplicationName>

apps

  • Klicken Sie auf Manage → Provisioning → Get started

Screenshot 2025-09-19 at 12.12.00-1

  • Setzen Sie Provisioning Mode auf: Automatic

  • Geben Sie die SCIM-Einstellungen ein:

    • SCIM endpoint: <SECURE_SAFE_SCIM_URL>
    • Secret Token: <BEARER_TOKEN>

  • Test Connection → sollte erfolgreich sein, wenn die SCIM-Endpunkte aktiv sind

  • Klicken Sie auf Save

  • Aktualisieren Sie die Seite, um die Änderungen zu sehen

Screenshot 2025-09-19 at 12.22.55-1

Provisioning Scope

SecureSafe unterstützt keine Synchronisation von Gruppen. Diese Funktion muss deaktiviert werden.

  • Klicken Sie auf Provisioning Microsoft Entra ID Groups

  • Deaktivieren und speichern Sie die Einstellung (ggf. Seite aktualisieren)

Screenshot 2025-09-19 at 14.15.18-1

Benutzerattribut-Mapping

SecureSafe benötigt nur eine Teilmenge der Entra ID-Benutzerattribute. Für einige Attribute ist ein spezifisches Mapping erforderlich.

  • Klicken Sie auf Provisioning Microsoft Entra ID Users

Screenshot 2025-09-19 at 13.54.56-1

  • Löschen Sie alle bestehenden Mappings, sodass nur folgende Parameter konfiguriert sind:

    • username (spezifisches Mapping, siehe unten)
    • active
    • email (spezifisches Mapping, siehe unten)
    • preferredLanguage (spezifisches Mapping, siehe unten)
    • name.givenName
    • name.familyName
    • externalId (spezifisches Mapping, siehe unten)
    • userType (neues benutzerdefiniertes Attribut, siehe unten)

Screenshot 2025-09-12 at 16.04.32

Die spezifische Zuordnung erfolgt über „Edit“. Es wird empfohlen, nach jeder Änderung zu speichern.

Screenshot 2025-09-19 at 15.07.41-1

Mapping userName

In SecureSafe können Benutzernamen nicht nachträglich geändert werden. Daher sollte der Benutzername nur bei der Erstellung übertragen werden.

  • Klicken Sie auf Edit userName

  • Setzen Sie die Eigenschaft auf Only during object creation

Screenshot 2025-07-22 at 10.00.12

  • Ok

Mapping Email

In SecureSafe ist eine E-Mail-Adresse erforderlich. Sie können den Standardwert aus mail verwenden oder alternativ userPrincipalName, falls keine E-Mail-Adresse hinterlegt ist.

Mapping preferredLanguage

Die Benutzersprache wird als Standardwert für alle Benutzer innerhalb des Tenants gesetzt. Da diese später direkt in SecureSafe geändert werden kann, sind keine Updates erforderlich.

  • Klicken Sie auf Edit preferredLanguage und setzen Sie den Mapping Type auf Constant

  • Verwenden Sie einen der folgenden Werte: EN, DE, FR oder IT

attribute

  • Setzen Sie die Eigenschaft auf Only during object creation

Screenshot 2025-07-22 at 10.00.12

  • Ok

Mapping externalId

Die externalId wird nur bei der Erstellung übertragen und basiert auf der objectId.

  • Klicken Sie auf Edit externalId

  • Setzen Sie die Eigenschaft auf Only during object creation

Screenshot 2025-07-22 at 10.00.12

  • Setzen Sie die Quelle auf objectId

Screenshot 2025-09-19 at 14.45.37

  • Klick auf Ok
Mapping userType

Der userType definiert, ob ein Benutzer Administrator oder Berater ist. Ein Benutzer kann nur eine dieser Rollen haben.

  • Klicken Sie auf Add new Mapping

Screenshot 2025-09-19 at 14.59.09

  • Setzen Sie den Mapping Type auf Expression und verwenden Sie folgende Expression:SingleAppRoleAssignment([appRoleAssignments])

  • Setzen Sie das Ziel auf userType (falls nicht vorhanden, muss es in Entra ID erstellt werden)

  • Klick auf Ok

attribute2

  • Überprüfen Sie die Konfiguration und speichern Sie

mapping

Provisioning aktivieren

Sobald alles konfiguriert ist, können Sie das Provisioning starten. Entra ID verwaltet dann die SecureSafe-Benutzer basierend auf den Daten Ihres Tenants.

  • Fügen Sie Benutzer/Gruppen zur Anwendung hinzu

  • Testen Sie das Provisioning bei Bedarf mit einem Benutzer

Screenshot 2025-09-29 at 17.11.28

  • Klicken Sie auf Provisioning > Overview > Start provisioning

Screenshot 2025-09-19 at 17.02.21-1

provisioning

 

SAML SSO konfigurieren

Dieser Abschnitt beschreibt die Konfiguration von SAML SSO für SecureSafe. Dabei werden SAML-Endpunkte definiert, Metadaten ausgetauscht und erforderliche Attribute sowie Claims zugeordnet.

Nach der Konfiguration können sich Benutzer mit ihren Entra ID-Zugangsdaten bei SecureSafe anmelden, abhängig von den in Entra ID definierten Zugriffsrichtlinien.

In SecureSafe können sich nur bereitgestellte Benutzer anmelden. Das bedeutet, dass SAML SSO nur für zuvor synchronisierte und autorisierte Konten verfügbar ist und somit eine zusätzliche Zugriffskontrolle gewährleistet.

  • Klicken Sie auf Single sign-on und SAML

Screenshot 2025-09-19 at 17.03.46-1

Screenshot 2025-09-19 at 17.04.39-1

  • Klicken Sie auf Basic SAML Configuration → Edit

  • Fügen Sie hinzu:

    • Identifier → <TENANT_ID>
    • Reply URL → <SECURE_SAFE_SAML_URL>

  • Klicken Sie auf Save

Screenshot 2025-09-19 at 17.10.04

Screenshot 2025-09-19 at 17.13.32

  • Laden Sie die Federation Metadata XML herunter und kopieren Sie die App Federation Metadata URL

Screenshot 2025-09-19 at 17.13.32

  • Übermitteln Sie folgende Informationen an das SecureSafe-Team, um den SAML-Login für Ihre Instanz zu aktivieren:

    • App Federation Metadata URL
    • Federation Metadata XML