Wie funktioniert die Nextcloud Authentifizierung gegen Azure AD?

  1. Startseite
  2. Wissensdatenbank
  3. Fragen zur FL1 Nextcloud
  4. Wie funktioniert die Nextcloud Authentifizierung gegen Azure AD?

Wie funktioniert die Nextcloud Authentifizierung gegen Azure AD?

In vielen Unternehmen, Schulen, Universitäten und anderen Organisationen wird das Microsoft Active Directory genutzt, um Benutzer zu verwalten. Natürlich ist auch möglich die FL1 Nextcloud gegen das Microsoft Azure AD zu authentifizieren.

Vorbereitung auf Seiten der Nextcloud

Melden Sie sich mit einem administrativen Account in der FL1 Nextcloud Instanz an. Klicken Sie unter Einstellungen in der linken Navigation auf den Punkt „SSO & SAML-Autorisierung“.

Sollte der Punkt nicht ersichtlich sein, muss erst die App SSO & SAML-Autorisierung installiert werden. Nachdem Sie integrierte SAML-Autorisierung gewählt haben, erscheint eine Maske wie im Screenshot zu sehen.

Dieser Schritt dient als Vorbereitung für die folgenden Schritte, weil hier im weiteren Verlauf Daten aus dem AzureAD eingetragen werden müssen. Zunächst wird die Maske aber so wie sie ist gelassen. Das Fenster bleibt offen für später.

Erstellen der AzureAD Enterprise Application 

Öffnen Sie nun das Azure Portal um zur Verwaltung des AzureAD zu kommen. Das Azure Portal ist unter https://portal.azure.com erreichbar. Die Anmeldung dort muss mit einem Account erfolgen der Globaladmin ist, um die entsprechenden Rechte zu haben.

Im AzureAD angekommen navigieren Sie zum Punkt „Enterprise Applications

Klicken Sie anschliessend auf den Punkt „New Application“, oben, oberhalb der nun zu sehenden Tabelle. 

Da es Nextcloud nicht als Vorlage in der nun zu sehenden App Gallery gibt, klicken sie anschliessend auf „Create your own application“.Nun folgen Sie den den Schritten zur Konfiguration der neuen AzureAD Enterprise Application. 

    1. Name der Applikation 
      Dieser Name hat keine technische Bewandtnis und ist frei wählbar. Als Auswahl bei den drei Radiobutton unter dem Namen wählen Sie den Button aus, der beschreibt das man eine Applikation anbinden möchte, die nicht in der Gallery vorhanden ist. Klicken Sie anschliessend auf „Create“ um die Erstellung zu starten. 

Als ersten Schritt nach der Erstellung muss ein erster Testuser aus dem AzureAD ausgewählt werden, der die Anwendung später verwenden soll. Ohne einen ausgewählten User, schlägt die Einrichtung fehl. 

 

Klicken Sie daher in der linken Navigation auf „Users and groups“ und dann auf „+ Add user/group“. Später ist es evtl. sinnvoll hier eine AzureAD Gruppe mit aufzunehmen, in der alle User enthalten sind, die sich in der Nextcloud anmelden können sollen. 

 

Nun geht es mit der Konfiguration der Verbindung zwischen der AzureAD Enterprise Application und der Nextcloud weiter.

Klicken Sie dazu in der linken Navigation auf den Punkt „Single Sign-On“ und dann auf die Kachel „SAML“.

Wie die erscheinende Maske vermuten lässt, muss nun mit der Konfiguration des ersten Blocks begonnen werden, indem man auf „Edit“ klickt. 

Die Werte die bereitgestellt werden müssen sind die beiden Felder „Identifier (Entity ID)“ und „Reply URL (Assertion Consumer Service URL)“.

 

Die Werte lauten hierbei wie folgt:

    1. Identifiert: https://domaindernextcloud.tld/apps/user_saml/saml/metadata
      Diese URL kann sich durch Versionsunterschiede oder Nextcloud Einstellungen wie URL Shortener ändern!
    2. Reply URL: https://domaindernextcloud.tld

 

Nachdem die Werte gespeichert wurden kann können Sie im Block 3 der SAML Konfiguration das Federation Metadata XML File herunterladen. Das wird später noch benötigt.

Bereitstellen der AzureAD Parameter in der Nextcloud Konfiguration

Gehen Sie wieder zurück in die Maske der Nextcloud Konfiguration, die zu Beginn geöffnet wurde.

Die auszufüllenden Felder sind die folgenden:

    1. Allgemein (Attribut dem die UID zugeordnet werden soll)
      1. Hier wird das Attribut eingetragen auf das die UID gemapped werden soll.
      2. http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    2. Daten des Autorisierungsdienstes
      1. Identifikationsmerkmal des Autorisierungsdienstes (muss URI sein)
        1. Hier wird der AzureAD Identifier aus der AzureAD Konfiguration eingefügt.
      2. URL-Ziel des Autorisierungsdienstes an den der Dienstanbieter die Anmeldungsanfrage senden soll
        1. Hier wird die Login URL aus der AzureAD Konfiguration eingefügt.
      3. Das folgende Feld wird erst eingeblendet, nachdem Sie auf „Zeige optionale Autorisierungsdienst-Einstellungen“ geklickt haben.
        1. URL-Adresse des Autorisierungsdienstes an den der Dienstanbieter die SLO-Anfrage senden soll.
          1. Hier wird die Logout URL aus der AzureAD Konfiguration eingefügt.
      4. Die folgenden Felder werden erst eingeblendet, nachdem Sie auf „Einstellungen der Attribute-Zuordnung anzeigen“ geklickt haben.
        1. Attribut dem der Anzeigename zugeordnet werden soll
          1. http://schemas.microsoft.com/identity/claims/displayname
        2. Attribut dem die E-Mail-Adresse zugeordnet werden soll
          1. http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Die folgenden beiden Screenshots zeigen zum einen die ausgefüllte Maske in der Nextcloud Konfiguration und zum anderen nochmal die Stelle, wo die Werte der AzureAD Konfiguration hergenommen werden.

Hinterlegen des AzureAD Signing Certificate in der Nextcloud Konfiguration

Als letzter Wert fehlt nun noch das AzureAD Siging Zertifikat in der Nextcloud Konfiguartion. Dieses muss als Zeichenfolge in das Feld „Öffentliches des Autorisierungsdienstes“ eingetragen werden. Zu finden ist das Zertifikat in die zuvor im AzureAD heruntergeladene Federation XML Datei. Öffnen Sie es und suchen Sie nach dem String „“ Der zu kopierende Wert ist die Zeichenfolge, die zwischen den beiden Stellen und steht.

Letzter Schritt vor dem Test

Um die Einstellungen nun in der Nextcloud zu speichern muss schlicht der Punkt „SSO & SAML-Autorisierung“ durch ein klick auf den gleichnamigen Punkt in der Navigation neu geladen werden.

Anschließend müssen Sie sich dringend die Fallback URL aus der orangen Box notieren (wenn nicht schon passiert), diese verschafft Ihnen wieder Zugriff zur Nextcloud Instanz, sollte Sie sich durch einen Konfigurationsfehler ausgesperrt haben.

Test der Anmeldung

Um den Test noch einfach zu gestalten, sollten Sie nun den Browser mit der Nextcloud Admin Sitzung offen lassen und einfach eine neuen Session im “Privacy Mode” in einem Browser starten.

Gehen Sie dort auf die Startadresse der FL1 Nextcloud Instanz und Sie werden sehen, das Sie sofort zum typischen Microsoft 365 Login umgeleitet werden.

Hier melden Sie sich mit den Logindaten des zuvor ausgewählten Testusers an und führen z. B. auch seine MFA aus. Haben Sie hier alles richtig eingeben, landen Sie im Dashboard Ihrer FL1 Nextcloud.

War dieser Beitrag hilfreich?
Ja Nein

Weitere Beiträge

Support

Keinen passenden Artikel gefunden?
Support kontaktieren