Azure Active Directory (Azure AD) ist der cloudbasierte Identity and Access Management (IAM)-Dienst von Microsoft, der Ihren Mitarbeitern hilft, sich bei Ihrer Joomla-Site anzumelden und auf deren Ressourcen zuzugreifen. miniOrange Joomla LDAP bietet eine Lösung, bei der vorhandene Identitäten in Azure Active Directory Services für Single Sign-On (SSO) auf Ihrer Joomla-Site genutzt werden können. Für die Interaktion mit Ihrer von Azure Active Directory Domain Services (Azure AD DS) verwalteten Domäne wird meist das Lightweight Directory Access Protocol (LDAP) verwendet. Standardmäßig ist der LDAP-Verkehr nicht verschlüsselt, was in vielen Umgebungen ein Sicherheitsrisiko darstellt. Mit Azure Active Directory Domain Services können Sie die verwaltete Domäne für die Verwendung des sicheren Lightweight Directory Access Protocol (LDAPS) konfigurieren. Wenn Sie sicheres LDAP verwenden, wird der Datenverkehr verschlüsselt. Sicheres LDAP wird auch als LDAP über Secure Sockets Layer (SSL) bezeichnet.

Befolgen Sie die unten aufgeführte Schritt-für-Schritt-Anleitung, um eine sichere LDAP-Verbindung zwischen Azure Active Directory und miniOrange Joomla LDAP für Intranet zu konfigurieren

1. Erstellen und konfigurieren Sie eine Azure Active Directory Domain Services-Instanz

(Überspringen Sie dies, wenn Sie bereits eine AADDS-Instanz für ein Abonnement konfiguriert haben.)

1. Voraussetzungen

• Ein aktives Azure-Abonnement.
• Du brauchst globaler Administrator Berechtigungen in Ihrem Azure AD-Mandanten, um Azure Active Directory Domain Services entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis zu synchronisieren.
• Du brauchst Beiträger Berechtigungen in Ihrem Azure-Abonnement, um die erforderlichen Azure Active Directory Domain Services-Ressourcen zu erstellen.

1.1 Erstellen Sie eine Instanz und konfigurieren Sie Grundeinstellungen

• Klicken Sie in der oberen linken Ecke des Azure-Portals auf + Erstellen Sie eine Ressource.
• Geben Sie Domain Services in die Suchleiste ein und wählen Sie dann Azure AD-Domänendienste aus den Suchvorschlägen.



• Klicken Sie auf der Seite „Azure AD Domain Services“ auf Erstellen. Der Assistent zum Aktivieren von Azure AD-Domänendiensten wird gestartet.



• Füllen Sie die Felder im Fenster „Grundlagen“ des Azure-Portals aus, um eine Azure AD DS-Instanz zu erstellen:
  • Geben Sie unter Berücksichtigung der vorherigen Punkte einen DNS-Domänennamen für Ihre verwaltete Domäne ein.
  • Wählen Sie das Azure-Abonnement aus, in dem Sie die verwaltete Domäne erstellen möchten.
  • Wählen Sie die Ressourcengruppe aus, zu der die verwaltete Domäne gehören soll. Wählen Sie „Neu erstellen“ oder wählen Sie eine vorhandene Ressourcengruppe aus.
  • Wählen Sie den Azure-Standort aus, an dem die verwaltete Domäne erstellt werden soll.
  • Klicken Sie auf „OK“, um zum Abschnitt „Netzwerk“ zu gelangen.

1.2 Erstellen und konfigurieren Sie das virtuelle Netzwerk

• Füllen Sie die Felder im Netzwerkfenster wie folgt aus:
  • Wählen Sie im Fenster „Netzwerk“ die Option „Virtuelles Netzwerk auswählen“.
  • Wählen Sie für dieses Tutorial die Option „Neues virtuelles Netzwerk erstellen, in dem Azure AD DS bereitgestellt werden soll“.
  • Geben Sie einen Namen für das virtuelle Netzwerk ein, z. B. myVnet, und geben Sie dann einen Adressbereich an, z. B. 10.1.0.0/16.
  • Erstellen Sie ein dediziertes Subnetz mit einem eindeutigen Namen, z. B. DomainServices. Geben Sie einen Adressbereich an, z. B. 10.1.0.0/24.
• Nachdem das virtuelle Netzwerk und das Subnetz erstellt wurden, sollte das Subnetz automatisch ausgewählt werden, z. B. DomainServices. Sie können stattdessen ein alternatives vorhandenes Subnetz auswählen, das Teil des ausgewählten virtuellen Netzwerks ist.
• Klicken Sie auf OK um die Konfiguration des virtuellen Netzwerks zu bestätigen.

1.3 Konfigurieren Sie eine administrative Gruppe

• Der Assistent erstellt automatisch die AAD DC-Administratoren Gruppe in Ihrem Azure AD-Verzeichnis. Wenn in Ihrem Azure AD-Verzeichnis eine Gruppe mit diesem Namen vorhanden ist, wählt der Assistent diese Gruppe aus. Optional können Sie weitere Benutzer hinzufügen AAD DC-Administratoren Gruppe während des Bereitstellungsprozesses.
  
  Anmerkungen: Weiter unten in diesem Dokument haben wir Mitglieder der Administratorgruppe aufgenommen.

1.4 Synchronisierung konfigurieren

• Mit Azure Active Directory Domain Services können Sie alle in Azure AD verfügbaren Benutzer und Gruppen synchronisieren oder eine bereichsbezogene Synchronisierung nur bestimmter Gruppen durchführen.
• Wählen Sie den Bereich aus und klicken Sie dann auf OK.
  
  Anmerkungen: Der Geltungsbereich kann später nicht mehr geändert werden. Bei Bedarf ist die Erstellung einer neuen Domain erforderlich.

1.5 Stellen Sie Ihre verwaltete Domäne bereit

• Überprüfen Sie auf der Seite „Zusammenfassung“ des Assistenten die Konfigurationseinstellungen für die verwaltete Domäne. Sie können zu jedem Schritt des Assistenten zurückkehren, um Änderungen vorzunehmen
• Um die verwaltete Domäne zu erstellen, klicken Sie auf OK.
• Der Bereitstellungsprozess Ihrer verwalteten Domäne kann bis zu einer Stunde dauern. Im Portal wird eine Benachrichtigung angezeigt, die den Fortschritt Ihrer Azure AD DS-Bereitstellung anzeigt. Wählen Sie die Benachrichtigung aus, um den detaillierten Fortschritt der Bereitstellung anzuzeigen.
• Wenn die verwaltete Domäne vollständig bereitgestellt ist, wird auf der Registerkarte „Übersicht“ der Domänenstatus „Wird ausgeführt“ angezeigt.



Anmerkungen: Während des Bereitstellungsprozesses erstellt Azure AD DS zwei Unternehmensanwendungen mit den Namen Domain Controller Services und AzureActiveDirectoryDomainControllerServices in Ihrem Verzeichnis. Diese Unternehmensanwendungen werden für die Wartung Ihrer verwalteten Domäne benötigt. Es ist unbedingt erforderlich, dass diese Anwendungen zu keinem Zeitpunkt gelöscht werden.

2. Erstellen und delegieren Sie Zertifikate für sicheres LDAP

2.1 Erstellen Sie ein selbstsigniertes Zertifikat

• So verwenden Sie Sicheres LDAPZur Verschlüsselung der Kommunikation wird ein digitales Zertifikat verwendet. Dieses digitale Zertifikat wird auf Ihre verwaltete Azure AD DS-Domäne angewendet.
• Öffnen Sie eine Powershell Fenster als Administrator und führen Sie die folgenden Befehle aus.
  
  Anmerkungen: Ersetzen Sie die Variable $dnsName durch den DNS-Namen, der von Ihrer eigenen verwalteten Domäne verwendet wird, z. B. exampledomain.com. Diese Domäne sollte mit Ihrer von ADDS verwalteten Domäne identisch sein.
Machen Sie den folgenden Eintrag in Ihrer Hosts-Datei <Define your own DNS name used by your Azure AD DS managed domain
$dnsName="exampledomain.com"
# Get the current date to set a one-year expiration
$lifetime=Get-Date
# Create a self-signed certificate for use with Azure AD DS New-SelfSignedCertificate -Subject *.$dnsName `

-NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
-Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName
2.2 Exportieren Sie ein Zertifikat für Azure AD DS
Bevor Sie das im vorherigen Schritt erstellte digitale Zertifikat mit Ihrer verwalteten Azure AD DS-Domäne verwenden können, exportieren Sie das Zertifikat in eine PFX-Zertifikatdatei, die den privaten Schlüssel enthält.


• Um das Dialogfeld „Ausführen“ zu öffnen, drücken Sie die Tasten Windows und R.
• Öffnen Sie den Microsoft Store auf Ihrem Windows-PC. Microsoft-Verwaltungskonsole (MMC) indem Sie MMC im Dialogfeld „Ausführen“ eingeben und dann „OK“ auswählen.
• Klicken Sie in der Eingabeaufforderung der Benutzerkontensteuerung auf Ja um MMC als Administrator zu starten.
• Klicken Sie im Menü Datei auf Snap-in hinzufügen/entfernen…
• Im Snap-In-Assistent für Zertifikate, wählen ComputerkontoUnd wählen Sie dann > Weiter
• Wählen Sie auf der Seite „Computer auswählen“ die Option „Lokaler Computer:“ (der Computer, auf dem diese Konsole ausgeführt wird) und dann „Fertig stellen“ aus.
• Im Snap-Ins hinzufügen oder entfernen Dialog, klicken Sie auf OK um das Zertifikat-Snap-In zu MMC hinzuzufügen.
• Erweitern Sie im MMC-Fenster Konsolen-Root. Wählen Sie Zertifikate (Lokaler Computer) aus und erweitern Sie dann das Persönlicher Knoten, gefolgt von der Knoten „Zertifikate“..



• Das im vorherigen Schritt erstellte selbstsignierte Zertifikat wird angezeigt, z. B. exampledomain.com. Klicken Sie mit der rechten Maustaste auf dieses Zertifikat und wählen Sie dann Alle Aufgaben > Exportieren.



• Im Zertifikatsexport-Assistent, wählen Sie Weiter.
• Der private Schlüssel für das Zertifikat muss exportiert werden. Wenn der private Schlüssel nicht im exportierten Zertifikat enthalten ist, schlägt die Aktion zum Aktivieren von sicherem LDAP für Ihre verwaltete Domäne fehl.
  Wählen Sie auf der Seite „Privaten Schlüssel exportieren“ die Option „Ja, privaten Schlüssel exportieren“ und dann „Weiter“ aus.



• Von Azure AD DS verwaltete Domänen unterstützen nur .PFX-Zertifikatdateiformat Dazu gehört auch der private Schlüssel. Exportieren Sie das Zertifikat nicht im .CER-Zertifikatdateiformat ohne den privaten Schlüssel.
• Wählen Sie auf der Seite „Dateiformat exportieren“ die Option aus Persönlicher Informationsaustausch – PKCS #12 (.PFX) als Dateiformat für das exportierte Zertifikat. Aktivieren Sie das Kontrollkästchen „Wenn möglich alle Zertifikate in den Zertifizierungspfad einbeziehen“ und klicken Sie auf „Weiter“.



• Wählen Sie auf der Seite „Sicherheit“ die Option für Passwort zum Schutz der .PFX-Zertifikatdatei. Geben Sie ein Passwort ein, bestätigen Sie es und wählen Sie dann Weiter. Dieses Kennwort wird im nächsten Abschnitt verwendet, um sicheres LDAP für Ihre verwaltete Azure AD DS-Domäne zu aktivieren.



• Geben Sie auf der Seite „Zu exportierende Datei“ den Dateinamen und den Speicherort an, an den Sie das Zertifikat exportieren möchten, z. B C:\Benutzer\Kontoname\azure-ad-ds.pfx.
• Klicken Sie auf der Überprüfungsseite auf „Fertig stellen“. Exportieren Sie das Zertifikat in eine .PFX-Zertifikatdatei. Wenn das Zertifikat erfolgreich exportiert wurde, wird ein Bestätigungsdialog angezeigt
• Lassen Sie die MMC zur Verwendung im folgenden Abschnitt geöffnet.
2.3 Exportieren Sie ein Zertifikat für Client-Computer
Clientcomputer müssen dem Aussteller des sicheren LDAP-Zertifikats vertrauen, um über LDAPS erfolgreich eine Verbindung zur verwalteten Domäne herstellen zu können. Die Clientcomputer benötigen ein Zertifikat, um Daten erfolgreich zu verschlüsseln, die von Azure AD DS entschlüsselt werden. Führen Sie die folgenden Schritte aus, um das selbstsignierte Zertifikat zu exportieren und dann im vertrauenswürdigen Zertifikatspeicher auf dem Clientcomputer zu installieren:

• Gehen Sie zurück zur MMC Zertifikate (Lokaler Computer) > Persönlich > Zertifikatsspeicher. Das in einem vorherigen Schritt erstellte selbstsignierte Zertifikat wird angezeigt, z. B. exampledomain.com. Klicken Sie mit der rechten Maustaste auf dieses Zertifikat und wählen Sie dann „Alle Aufgaben“ > „Exportieren…“.
• Wählen Sie im Zertifikatexport-Assistenten „Weiter“ aus.
• Da Sie den privaten Schlüssel für Clients nicht benötigen, ist dies der Fall Wählen Sie auf der Seite „Privaten Schlüssel exportieren“ Nein, exportieren Sie den privaten Schlüssel nicht und wählen Sie dann Weiter aus.



• Wählen Sie auf der Seite „Dateiformat exportieren“ die Option aus Base-64-kodiertes X.509 (.CER) als Dateiformat für das exportierte Zertifikat:



• Geben Sie auf der Seite „Zu exportierende Datei“ den Dateinamen und den Speicherort an, an den Sie das Zertifikat exportieren möchten, z. B. C:\Benutzer\Kontoname\client.cer.



• Wählen Sie auf der Überprüfungsseite Fertig stellen bis aus Exportieren Sie das Zertifikat in eine .CER-Zertifikatdatei. Wenn das Zertifikat erfolgreich exportiert wurde, wird ein Bestätigungsdialog angezeigt.

3. Aktivieren Sie Secure LDAP für Azure AD DS

• Im Azure-Portal, suchen Sie im Feld „Ressourcen durchsuchen“ nach Domänendiensten. Wählen Azure AD-Domänendienste aus dem Suchergebnis.



• Wählen Sie Ihre verwaltete Domäne aus, z. B. exampledomain.com.



• Wählen Sie auf der linken Seite des Azure AD DS-Fensters aus Sicheres LDAP.



• Standardmäßig ist der sichere LDAP-Zugriff auf Ihre verwaltete Domäne deaktiviert. Schalten Sie „Sicheres LDAP“ auf „Aktivieren“..
• Toggle Ermöglichen Sie sicheren LDAP-Zugriff über das Internet ermöglichen.
• Wählen Sie das Ordnersymbol daneben aus .PFX-Datei mit einem sicheren LDAP-Zertifikat. Navigieren Sie zum Pfad der PFX-Datei und wählen Sie dann das in einem vorherigen Schritt erstellte Zertifikat aus, das den privaten Schlüssel enthält.
• Geben Sie das Passwort zum Entschlüsseln der PFX-Datei ein, das Sie in einem vorherigen Schritt festgelegt haben, als das Zertifikat in eine PFX-Datei exportiert wurde.
• Klicken Sie auf Speichern um sicheres LDAP zu aktivieren.
  
  Anmerkungen: Es wird eine Benachrichtigung angezeigt, dass sicheres LDAP für die verwaltete Domäne konfiguriert wird. Sie können andere Einstellungen für die verwaltete Domäne erst ändern, wenn dieser Vorgang abgeschlossen ist. Es dauert einige Minuten, sicheres LDAP für Ihre verwaltete Domäne zu aktivieren.



• Es wird eine Benachrichtigung angezeigt, dass sicheres LDAP für die verwaltete Domäne konfiguriert wird. Sie können andere Einstellungen für die verwaltete Domäne erst ändern, wenn dieser Vorgang abgeschlossen ist. Es dauert eine wenige Minuten um sicheres LDAP für Ihre verwaltete Domäne zu aktivieren.



4. Sicherheitsregeln hinzufügen

• Wählen Sie auf der linken Seite des Azure AD DS-Fensters aus Ferienhäuser.
• Wählen Sie dann das entsprechende aus Verbunden mit der Netzwerkgruppe mit dieser Domäne unter der Netzwerksicherheitsgruppe, die dem Subnetz zugeordnet ist.



• Die Liste der vorhandenen Sicherheitsregeln für eingehenden und ausgehenden Datenverkehr wird angezeigt. Wählen Sie auf der linken Seite des Netzwerksicherheitsgruppenfensters „Sicherheit“ > „Eingehende Sicherheitsregeln“.
• Auswählen Speichernund erstellen Sie dann eine Regel, um den TCP-Port 636 zuzulassen.
• Option A: Fügen Sie eine Eingangssicherheitsregel hinzu, um alle eingehenden TCP-Anfragen zuzulassen.

Einstellungen	Wert
Quelle	Jedes
Quellportbereiche	*
Reiseziel	Jedes
Zielportbereiche	636
Protokoll	TCP
Action	Erlauben
Priorität	401
Name und Vorname	Erlaube LDAPS

• Option B: Fügen Sie eine Eingangssicherheitsregel hinzu, um eingehende TCP-Anfragen von einem angegebenen Satz von IP-Adressen zuzulassen.(Empfohlen)

Einstellungen	Wert
Quelle	IP-Adressen
Quell-IP-Adressen/CIDR-Bereiche	Gültige IP-Adresse oder gültiger IP-Bereich für Ihre Umgebung.
Quellportbereiche	*
Reiseziel	Jedes
Zielportbereiche	636
Protokoll	TCP
Action	Erlauben
Priorität	401
Name und Vorname	Erlaube LDAPS





• Wenn Sie fertig sind, klicken Sie auf Speichern um die Regel zu speichern und anzuwenden.

5. Konfigurieren Sie DNS für den externen Zugriff

• Wenn der sichere LDAP-Zugriff über das Internet aktiviert ist, aktualisieren Sie die DNS-Zone, damit Clientcomputer diese verwaltete Domäne finden können. Die sichere externe LDAP-IP-Adresse wird auf der Registerkarte „Eigenschaften“ für Ihre verwaltete Azure AD DS-Domäne aufgeführt:



• Machen Sie den folgenden Eintrag in Ihrer Hosts-Datei <Secure LDAP external IP address>ldaps.<domainname>
Replace <Secure LDAP external IP address> with the IP we get from azure portal and replace
&l;tdomainname> with the domain name for which the certificate was created.(Value used in $dnsName)
Eg: 99.129.99.939 ldaps.exampledomain.com

6. Einem Benutzer die erfolgreiche Bindung ermöglichen

• Wählen Sie auf der linken Seite des Azure AD DS-Fensters aus Ferienhäuser.
• Wählen Sie dann das entsprechende aus Admin-Gruppe zugeordnet mit dieser Domain.



• Dann wählen Sie Mitglieder unter der Registerkarte „Verwalten“ im linken Seitenbereich.



• Klicken Sie auf Mitglieder hinzufügen und wählen Sie das Mitglied aus, das Sie für die Bindungsoperation verwenden würden. Melden Sie sich dann mit demselben Benutzer beim Azure-Portal an, der jetzt Administrator ist. (Falls nicht bereits angemeldet)
• Wählen Sie oben rechts die Benutzereinstellung aus und klicken Sie auf Konto ansehen.



• Wählen Sie dann „Self-Service-Passwort-Reset einrichten“ und fahren Sie mit der Einrichtung fort.



• Wählen Sie nach erfolgreicher Einrichtung Azure Portal aus der Liste der Apps aus.



• Gehen Sie dann erneut zum Benutzerprofil und wählen Sie Passwort ändern.



• Sobald das Passwort erfolgreich geändert wurde, ist dieser Benutzer für den Bindungsvorgang berechtigt.

7. Konfigurieren Sie Joomla LDAP mit Azure Active Directory

• Laden Sie die Zip-Datei für das miniOrange LDAP-Plugin für Joomla über den Link herunter hier.
• Melden Sie sich bei Ihrer Joomla-Site an Administrator Konsole.
• Klicken Sie im linken Umschaltmenü auf System, dann klicken Sie im Abschnitt „Installieren“ auf Erweiterungsoptionen.

• Hier klicken Sie auf Nach Datei suchen Klicken Sie auf die Schaltfläche, um die zuvor heruntergeladene Plugin-Datei zu finden und zu installieren.

• Sobald die Installation des Plugins erfolgreich ist. Klicken Sie nun auf Beginnen Sie mit der Verwendung des miniOrange LDAP-Plugins.

• Sie werden zur Registerkarte „LDAP konfigurieren“ weitergeleitet. Um Ihre Joomla-Site mit Microsoft Azure Active Directory zu verbinden, müssen Sie die folgenden Einstellungen konfigurieren:

Feld	Wert
Verzeichnisserver	Microsoft Active Directory
LDAP-Server-URL	LDAP-Server-URL – Dies ist der Domänenname, den wir in der Hostdateikonfiguration des Domain Name Systems hinzugefügt haben. Die LDAP-Server-URL erhalten Sie unter .
Dienstkontodomäne	Den Domänennamen des Dienstkontos erhalten Sie unter .
Kennwort für Dienstkonto	Passwort für den Account, der für die Bindung verwendet wird hier.
Suchbasis	Geben Sie den Distinguished Name des Suchbasisobjekts an, z. B.:cn=User,dc=domain,dc=com. Sie können die Suchbasis wie im Dropdown-Menü angegeben auswählen
Suchfilter	Mit Suchfiltern können Sie Suchkriterien definieren und eine effizientere und effektivere Suche ermöglichen. Beispiel: Benutzerprinzipalname


• Wählen Sie unter den Benutzer-LDAP-Zuordnungskonfigurationen Ihre aus Suchbasis (der LDAP-Baum, in dem nach Ihren Benutzern gesucht wird) und Ihr Benutzernamensattribut (der Wert, mit dem Ihr Benutzer im AD gesucht wird). Klicken Sie auf Speichern Benutzerzuordnung Schaltfläche, um Ihre Einstellungen zu speichern.

• Unter dem Abschnitt „Testauthentifizierung“., können Sie Ihre Benutzer eingeben Benutzername und Passwort um Ihre Verbindung und Authentifizierung mit dem LDAP-Server zu testen.

• Im Attributzuordnung Geben Sie auf der Registerkarte die ein Benutzername des in Ihrem AD vorhandenen Benutzers und klicken Sie auf Überprüfen Sie den Empfang der Attribute Klicken Sie auf die Schaltfläche, um eine Liste der vom AD empfangenen Attribute zu erhalten.

• Von dem Anmeldeeinstellungen Wählen Sie auf der Registerkarte ,Aktivieren Sie die LDAP-Anmeldung Kontrollkästchen, um die Anmeldung über LDAP zu aktivieren. Klicken Sie auf die Schaltfläche Speichern, um diese Option zu speichern. Sie können es erst aktivieren, nachdem Sie die Plugin-Konfiguration konfiguriert haben.

• Herzlichen Glückwunsch, Sie haben das erfolgreich konfiguriert miniOrange LDAP Plugin mit Ihrem Active Directory.

Aktiver Support rund um die Uhr

Wenn Sie auf Probleme stoßen oder Fragen haben, können Sie sich jederzeit an uns wenden joomlasupport@xecurify.com. Wenn Sie möchten, dass das Plugin zusätzliche Funktionen enthält, nehmen Sie bitte Kontakt mit uns auf, damit wir diese maßgeschneidert für Sie erstellen können. Wenn Sie möchten, können wir auch ein Online-Meeting vereinbaren, um Sie bei der Konfiguration zu unterstützen Joomla LDAP Plugin