Die kostenlose Software Nextcloud wird immer mehr in Unternehmen genutzt. So liegt es nahe, die Benutzerverwaltung dem Azure AD von Microsoft (O365/M365) zu überlassen. Ich zeige euch hier wir ihr die Einmalige Anmeldung (Single Sign-On) via SAML einrichtet.
1/4 – Nextcloud vorbereiten und die „SSO & SAML authentication“ App installieren:
Für die Einrichtung der Azure AD Anbindung wird die Nextcloud App „SSO & SAML authentication“ benötigt. Die App findet ihr unter der Kategorie „Einbindung„. Nach der Aktivierung sollte unter den Nextcloud Einstellungen der Punkt „SSO & SAML-Autorisierung“ auftauchen
2/4 – Die AzureAD Enterprise Application erstellen und Single Sign On konfigurieren:
In das Webinterface von Azure Active Directory wechseln (https://aad.portal.azure.com/) > Azure Active Directory auswählen und auf „Unternehmensanwendungen“ klicken
„Alle Anwendungen“ auswählen und oben rechts auf „Neue Anwendung“ klicken.
„Eigene Anwendung erstellen“ auswählen, ein App Namen vergeben (z.B. Nextcloud), sicherstellen das „Non-Gallery“ ausgewählt ist und unten auf „Erstellen“ klicken.
In der Nextcloud Applikation, in der linken Navigation „Benutzer und Gruppen“ auswählen und oben auf „Benutzer/Gruppe hinzufügen“ klicken. Die Benutzer oder Gruppen auswählen die Nextcloud nutzen dürfen und auf auswählen und danach auf Zuweisen klicken.
Erneut in der linken Navigation „Einmaliges Anmelden“ auswählen und dort dann die Box „SAML“ anklicken.
In der ersten Box oben rechts auf „Bearbeiten“ klicken.
Nun im oberen Bereich „Bezeichner hinzufügen“ und „Antwort-URL hinzufügen“ anklicken und die URLs der Nextcloud angeben:
Als Bezeichner: https://urlzunextcloud.de/index.php/apps/user_saml/saml/metadata
Als Antwort URL: https://urlzunextcloud.de
Alles andere bleibt frei. Danach oben auf „Speichern“ klicken.
In der dritten Box gibt es nun die Möglichkeit die „Verbundmetadaten-XML“ herunterzuladen. Das bitte einmal machen, die benötigen wir jetzt.
Die XML-Datei die gerade heruntergeladen wurde öffnen und nach „<X509Certificate>“ suchen. Nun den Teil kopieren, der zwischen <X509Certificate> und </X509Certificate> steht und irgendwo zwischenspeichern. Dieser wird gleich benötigt.
3/4 – Nextcloud „SSO & SAML-Autorisierung“ konfigurieren:
Zurück im Nextcloud Interface in der APP „SSO & SAML-Autorisierung“ auf „Integrierte SAML-Autorisierung benutzen“ klicken.
Unter „Allgemein“ in dem Feld „Attribut dem die UID zugeordnet werden soll„
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Unter „Daten des Identitätsanbieters“ in dem Feld „Indentifikationsmerkmal des Autorisierungsdienstes (muss URI sein)“ die Daten aus dem Azure AD aus der Box 4 „Azure AD-Bezeichner„
https://sts.windows.net/7b…………………….db10/
in dem Feld „URL-Ziel des Autorisierungsdienstes an den der Dienstanbieter die Anmeldungsanfragen senden soll“ die Daten aus dem Azure AD aus der Box 4 „URL für Anmeldung„
https://login.microsoftonline.com/7b…………………….db10/saml2
nun den Button „Zeige optionale Autorisierungsdienst-Einstellungen“ unter dem Feld anklicken und weiter gehts.
in dem Feld „URL-Adresse des Autorisierungsdienstes an den der Dienstanbieter die SLO-Anfrage senden soll“ die Daten aus dem Azure AD aus der Box 4 „Abmelde-URL„
https://login.microsoftonline.com/7b…………………….db10/saml2
in dem Feld „Öffentliches X.509-Zertifikat des Autorisierungsdienstes“ kommt nun der vorhin extrahierte Teil aus der XML hinein:
MIIC8DCCAdigAwIBA…
Unter „Attribute zuordnen“ den Satz „Einstellungen der Attribute-Zuordnung anzeigen…“ anklicken, um das Menü zu öffnen. In dem Feld „Attribut dem der Anzeigename zugeordnet werden soll„
http://schemas.microsoft.com/identity/claims/displayname
In dem Feld „Attribut dem die E-Mail-Adresse zugeordnet werden soll„
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
4/4 – Speichern, wichtige URL und Test:
Jetzt noch einmal in der linken Navigation auf „SSO & SAML-Autorisierung“ klicken, um die Daten zu speichern. Ganz oben findet man in der Orangenen Box die URL um sich unabhängig vom Azure AD anzumelden (z.B. für den Admin den ihr gerade zur Einrichtung nutzt).
Ruft ihr nun in einem privaten Fenster oder mit einem anderen Browser die URL der Nextcloud auf, kommt direkt die Microsoft Anmeldung.
Korrektur:
In dem Feld „Attribut dem die E-Mail-Adresse zugeordnet werden soll„
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
sollte besser das hier sein:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Quelle: https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/the-role-of-claims