Systemdokumentation – SAML SSO Integration „juris“ (Microsoft Entra ID)

1. Zweck

Dieses Dokument beschreibt die technische Umsetzung und den Betrieb der SAML-basierten Single Sign-On (SSO) Integration zwischen Microsoft Entra ID und der Anwendung „juris“.

Es dient als:

• technische Referenz für Administratoren

• Betriebsdokumentation

• Grundlage für Troubleshooting und Audits

2. Systemübersicht

3. Architektur

Authentifizierungsablauf:

1. Benutzer ruft die juris-Anwendung auf

2. Weiterleitung zu Microsoft Entra ID

3. Benutzer authentifiziert sich (inkl. MFA, falls konfiguriert)

4. Entra ID stellt ein SAML-Token aus

5. juris validiert das Token und gewährt Zugriff

4. Anwendungskonfiguration (Entra ID)

4.1 Allgemein

4.2 SAML-Konfiguration

5. Claims-Konfiguration

Folgende Benutzerattribute werden an juris übertragen:

Hinweise

• user.objectid wird als stabiler eindeutiger Identifier verwendet

• Änderungen an UPN oder E-Mail haben keinen Einfluss auf die Identitätszuordnung

6. Zugriffskonzept

6.1 Gruppenbasierter Zugriff

Der Zugriff auf juris wird über eine dedizierte Sicherheitsgruppe in Entra ID gesteuert:

6.2 Dynamische Regel

(user.companyName -eq "Niedersächsisches Studieninstitut für kommunale Verwaltung e. V.")

Zweck

• Automatische Aufnahme relevanter Benutzer

• Reduzierung manueller Pflege

6.3 Zuweisung zur Anwendung

• Die Gruppe ndssti-mita ist der Enterprise Application zugewiesen

• Nur zugewiesene Gruppen werden im SAML-Token berücksichtigt

7. SAML Gruppen-Claim

Ergebnis im SAML-Token

<saml:Attribute Name="groups">
  <saml:AttributeValue>ndssti-mita</saml:AttributeValue>
</saml:Attribute>

8. Sicherheitsaspekte

• Zentrale Authentifizierung über Entra ID

• Unterstützung von Multi-Faktor-Authentifizierung (MFA)

• Integration von Conditional Access möglich

• Keine lokale Passwortspeicherung in juris

• Eindeutiger Identifier verhindert Mehrdeutigkeiten

9. Protokollierung und Monitoring

Verfügbare Logs:

• Entra Sign-In Logs

• Audit Logs (Konfigurationsänderungen)

Wichtige Überwachungspunkte

• Fehlgeschlagene Anmeldeversuche

• Fehlende Gruppen-Claims

• Fehler bei Token-Ausstellung

10. Betriebsprozesse

10.1 Benutzer-Onboarding

• Benutzer wird in Entra ID angelegt bzw. synchronisiert

• Attribut companyName wird gesetzt

• Automatische Aufnahme in dynamische Gruppe

10.2 Benutzer-Offboarding

• Benutzerkonto wird deaktiviert oder gelöscht

• Zugriff auf juris wird automatisch entzogen

10.3 Änderungen

Änderungen an:

• Claims

• Gruppenregeln

• Anwendungskonfiguration

müssen:

• dokumentiert

• gemäß internen Prozessen freigegeben

werden.

11. Bekannte Einschränkungen

• Abhängigkeit von korrektem companyName Attribut

• Keine feingranulare Rollensteuerung innerhalb von juris über SAML

• Dynamische Gruppenmitgliedschaft abhängig von Datenqualität

12. Fehleranalyse

Problem: Benutzer kann sich nicht anmelden

Prüfen:

• Benutzer existiert in Entra ID

• Attribut companyName korrekt gesetzt

• Benutzer ist Mitglied der dynamischen Gruppe

Problem: Zugriff verweigert

Prüfen:

• Gruppe ndssti-mita der Anwendung zugewiesen

• Gruppen-Claim im SAML-Token enthalten

Problem: Fehlende Attribute

Prüfen:

• Claim-Mapping

• Attribut-Synchronisation aus dem AD

13. Compliance und Audit

Diese Implementierung unterstützt:

• Zentrale Identitätsverwaltung

• Nachvollziehbare Authentifizierungsprozesse

• Rollenbasierte Zugriffskontrolle über Gruppen

Audit-relevante Nachweise:

• Sign-In Logs

• Gruppenmitgliedschaften

• Konfigurationshistorie