Allgemeines
- Team Leo
- Technische Redaktion
- Product Management (Unlicensed)
Microsoft Entra ID (Azure AD) ist nicht die Cloudversion der Windows Server Active Directory (AD). Es soll auch ein lokales Active Directory nicht komplett ersetzt werden. Es dient vielmehr dazu, einen bereits vorhandenen Windows AD-Server mit Entra ID zu verbinden, um das Verzeichnis in Entra ID zu erweitern. Dadurch können Benutzer mit denselben Anmeldeinformationen auf lokale und auf cloudbasierte Ressourcen zugreifen.
Entra ID kann auch unabhängig von der Windows AD verwendet werden. Kleinere Unternehmen können z. B. mit der Entra ID als einzigem Verzeichnisdienst den Zugriff auf ihre Anwendungen und SaaS-Produkte wie Microsoft 365 und Salesforce verwalten.
Zu beachten: Die Entra ID dient nicht dazu, die lokalen AD-Accounts über alle Standorte eines Unternehmens zu verteilen. Die lokalen AD-Accounts werden nach Entra ID mittels 'Entra Connect' hochgeladen (One Way), um dort zentral verwaltet zu werden. Anwender, die sich mit enaio® client anmelden wollen, benötigen auch weiterhin ein Benutzerkonto in der lokalen AD.
Voraussetzungen
- enaio® server wird an einem Standort in einer lokalen Domäne betrieben.
- Benutzer aus der lokalen Domäne können sich mit enaio® client, enaio® webclient als Desktop-Anwendung oder enaio® webclient authentifizieren.
- Benutzer aus anderen Domänen, für die es in der lokalen Domäne kein Benutzerkonto gibt, können sich mit enaio® webclient gegenüber der Entra ID authentifizieren
- Neuanlage von Benutzern in enaio®.
- Alle Benutzer werden im Rahmen der Entra ID Synchronisation neu mit ihrem UPN als Loginnamen in enaio® angelegt.
- Benutzer in Bestandssystemen, deren Loginnamen auf dem bisher verwendeten Windows SAM-Namen basieren, können nicht mehr verwendet werden.
- Die Kerberos Authentifizierung am enaio® server ist eingeschaltet.
- Der Login in enaio® clients erfolgt über Angabe des UPN (wie z.B. meyer@firma.de).
- Benutzer verschiedener Domänen eines Unternehmens können in der Entra ID zusammengefasst und dort zentral verwaltet werden.
- Erlaubte Entra ID Gruppen im Rahmen der Synchronisierung → Security Groups
Übersicht der nutzbaren enaio® clients
| MS Active Directory | MS Entra ID | |
|---|---|---|
| enaio® client |  |  |
| enaio® webclient | | |
| enaio® webclient als Desktop-Anwendung | | |
| enaio® mobile | (nur Basic Auth) | |
Ablaufdiagramm
Der prinzipielle Ablauf sieht wie folgt aus.
Es wird eine Automatischen Aktion 'Benutzer/Gruppen Export' in enaio® administrator erstellt. Die Aktion exportiert alle Infos zu den Benutzern und Gruppen aus enaio® in eine XML-Datei.
Die Verbindung zur Entra ID liefert alle Sicherheits-Gruppen (Security Groups) und Benutzer und deren Verbindungen.
Diese XML-Datei und die Verbindung zur Entra ID dienen als Input für enaio® directory-sync (enaio-aad-sync.exe). Nach der Synchronisierung wird eine enaio® Import-Datei im XML-Format erstellt.
Diese XML-Datei wird mit der Automatischen Aktion 'Benutzer/Gruppen Import' über enaio® administrator importiert.
