Microsoft Entra SSO
Microsoft Entra SSO ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft, der Ihren Mitarbeitenden hilft, sich anzumelden und auf Ressourcen zuzugreifen. Sie können Entra SSO verwenden, um den Zugriff auf Ihre Apps und Ihre App-Ressourcen basierend auf Ihren Geschäftsanforderungen zu steuern.
Voraussetzungen
Bei der Einrichtung werden Sie aufgefordert, eine Assertion Consumer Service (ACS)-URL anzugeben.
| Voraussetzung | Details |
|---|---|
| Assertion Consumer Service (ACS)-URL | https://<SUBDOMAIN>.braze.com/auth/saml/callback Bei einigen Identitätsanbietern kann dies auch als Reply-URL, Audience-URL oder Audience-URI bezeichnet werden. |
| Entity-ID | braze_dashboard |
| RelayState-API-Schlüssel | Um die Anmeldung über den Identitätsanbieter zu aktivieren, gehen Sie zu Einstellungen > API-Schlüssel und erstellen Sie einen API-Schlüssel mit sso.saml.login-Berechtigungen. |
Vom SP (Service Provider) initiierte Anmeldung innerhalb von Microsoft Entra SSO
1. Schritt: Braze aus der Galerie hinzufügen
- Gehen Sie in Ihrem Microsoft Entra Admin Center zu Identity > Applications > Enterprise Applications und wählen Sie dann New application.
- Suchen Sie im Suchfeld nach Braze, wählen Sie es aus dem Ergebnisbereich aus und wählen Sie dann Add.
2. Schritt: Microsoft Entra SSO konfigurieren
- Gehen Sie in Ihrem Microsoft Entra Admin Center zur Braze-Anwendungsintegrationsseite und wählen Sie Single sign-on.
- Wählen Sie auf der Seite Select a single sign-on method die Option SAML als Ihre Methode.
- Wählen Sie auf der Seite Set up Single Sign-On with SAML das Bearbeitungssymbol für Basic SAML Configuration.
- Konfigurieren Sie die Anwendung im IdP-initiierten Modus, indem Sie eine Reply URL eingeben, die Ihre Braze-Instanz mit dem folgenden Muster kombiniert:
https://<SUBDOMAIN>.braze.com/auth/saml/callback. - Konfigurieren Sie den RelayState, indem Sie Ihren generierten RelayState-API-Schlüssel in das Feld Relay State eingeben.
Setzen Sie das Feld Sign-On URL nicht. Lassen Sie dieses Feld leer, um Probleme mit Ihrem IdP-initiierten SAML SSO zu vermeiden.
- Formatieren Sie SAML-Assertions in dem spezifischen Format, das Braze erwartet. In den folgenden Tabs zu Nutzerattributen und Nutzeransprüchen erfahren Sie, wie diese Attribute und Werte formatiert werden müssen.
Sie können die Werte dieser Attribute im Abschnitt User Attributes auf der Seite Application Integration verwalten.
Verwenden Sie die folgenden Attributzuordnungen:
givenname=user.givennamesurname=user.surnameemailaddress=user.mailname=user.userprincipalnameemail=user.userprincipalnamefirst_name=user.givennamelast_name=user.surnameUnique User Identifier=user.userprincipalname
Es ist äußerst wichtig, dass das E-Mail-Feld mit dem übereinstimmt, was für Ihre Nutzer:innen in Braze eingerichtet ist. In den meisten Fällen ist dies identisch mit user.userprincipalname. Wenn Sie jedoch eine andere Konfiguration haben, arbeiten Sie mit Ihrem Systemadministrator zusammen, um sicherzustellen, dass diese Felder exakt übereinstimmen.
Wählen Sie auf der Seite Set up Single Sign-On with SAML die Option Edit, um den Dialog User Attributes zu öffnen. Bearbeiten Sie dann die Nutzeransprüche gemäß dem richtigen Format.
Verwenden Sie die folgenden Anspruchsnamenzuordnungen:
claims/givenname=user.givennameclaims/surname=user.surnameclaims/emailaddress=user.userprincipalnameclaims/name=user.userprincipalnameclaims/nameidentifier=user.userprincipalname
Es ist äußerst wichtig, dass das E-Mail-Feld mit dem übereinstimmt, was für Ihre Nutzer:innen in Braze eingerichtet ist. In den meisten Fällen ist dies identisch mit user.userprincipalname. Wenn Sie jedoch eine andere Konfiguration haben, arbeiten Sie mit Ihrem Systemadministrator zusammen, um sicherzustellen, dass diese Felder exakt übereinstimmen.
Sie können diese Nutzeransprüche und Werte im Abschnitt Manage claim verwalten.
- Gehen Sie zur Seite Set up Single Sign-On with SAML, scrollen Sie dann zum Abschnitt SAML Signing Certificate und laden Sie das entsprechende Certificate (Base64) basierend auf Ihren Anforderungen herunter.
- Gehen Sie zum Abschnitt Set up Braze und kopieren Sie die entsprechenden URLs zur Verwendung in der Braze-Konfiguration.
3. Schritt: Microsoft Entra SSO in Braze konfigurieren
Nachdem Sie Braze im Microsoft Entra Admin Center eingerichtet haben, stellt Microsoft Entra eine Ziel-URL (Anmelde-URL) und ein x.509-Zertifikat bereit, die Sie in Ihr Braze-Konto eingeben.
Nachdem Ihr Account Manager SAML SSO für Ihr Konto aktiviert hat, gehen Sie wie folgt vor:
- Gehen Sie zu Einstellungen > Admin-Einstellungen > Sicherheitseinstellungen und schalten Sie den Abschnitt SAML SSO auf EIN.
- Fügen Sie auf derselben Seite Folgendes hinzu:
| Voraussetzung | Details |
|---|---|
SAML Name |
Dies wird als Button-Text auf dem Anmeldebildschirm angezeigt. Dies ist in der Regel der Name Ihres Identitätsanbieters, z. B. „Microsoft Entra“. |
Target URL |
Dies ist die von Microsoft Entra bereitgestellte Anmelde-URL. |
Certificate |
Das x.509 PEM-kodierte Zertifikat wird von Ihrem Identitätsanbieter bereitgestellt. |
Wenn Sie möchten, dass sich Ihre Braze-Kontonutzer:innen nur mit SAML SSO anmelden, können Sie die Single Sign-on-Authentifizierung einschränken auf der Seite Unternehmenseinstellungen.