Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- omnivista_cirrus_10_microsoft_entra_id_integration [2025/09/21 17:32] – simon
+++ omnivista_cirrus_10_microsoft_entra_id_integration [2025/09/22 09:14] (aktuell) – simon
@@ Zeile 46: / Zeile 46: @@
 ===== Anbindung der angelegten App-Registrierung im OmniVista Cirrus 10.x =====
-Die Anbindung von Entra ID befindet sich unter "Network Access -> UPAM-NAC -> External Source". Dort kann man in dem Reiter "Cloud Identity"
+Die Anbindung von Entra ID befindet sich unter "Network Access -> UPAM-NAC -> External Source". Dort kann man in dem Reiter "Cloud Identity" das "Microsoft Entra ID (Azure) anbinden.
+{{ :0:createcloudidentity_entraid.png?direct |}}
+Die Zuordnung der Clients ist wie folgt:
+  * Client ID = Anwendungs-ID (Client)
+  * Tenant ID = Verzeichnis-ID (Mandant)
+  * Client Secret = Wert (Geheimer Clientschlüssel)
+  * Email Suffix = Primäre Domäne
+{{ :0:zuordnung_ids.png?direct |}}
+===== Konfigurieren der SSID =====
+Hier die wichtigsten Informationen zum Konfigurieren der SSID:
+  * Encryption Type = WPA3_AES
+  * Radius Server = UPAMRadiusServer
+  * Authentication Source = Cloud Identity (angelegte External Source)
+{{ :0:1_createssid_basicinformation.png?direct |}}
+{{ :0:2_createssid_authenticationstrategy.png?direct |}}
+{{ :0:3_createssid_authenticationsource.png?direct |}}
+{{ :0:4_createssid_defaultvlan.png?direct |}}
+{{ :0:5_createssid_apgroupzuweisung.png?direct |}}
+{{ :0:6_createssid_maptovlan.png?direct |}}
+===== Client Einstellung =====
+Um sich erfolgreich mit der SSID zu verbinden, benötigt man KEIN Zertifikat. Als Authentifizierungsmethode wählt man "TTLS" aus. Anschließend kann man sich mit Benutzer/Passwort, welches im Entra ID hinterlegt ist, einloggen.
+{{ :0:clienteinstellung.png?direct&400 |}}
+===== MFA Clients =====
+Sollte der MFA Login aktiv sein, muss man bei den Benutzern ein Regelwerk anlegen. Bei den Benutzer gibt es die Einstellung "MFA pro Benutzer". Unter diesem Punkt gibt es einen Reiter "Diensteinstellungen". Dort kann man "Vertrauenswürdige IPs" hinterlegen. Da die angelegte Anwendung unter App-Registrierung immer mit der selben IP-Adresse im Entra ID anfragt, kann man diese IP-Adresse als Vertrauenswürdig einstufen und die MFA wird "nur" für diese Anwendung ausgesetzt.
+=== Fehlermeldung Logs MFA Clients ===
+{{ :0:benutzer_anmeldeprotokoll_1.png?direct |}}
+=== Erfolgreiche Logs MFA Clients ===
+{{ :0:benutzer_anmeldeprotokoll_2.png?direct |}}
+=== IP-Adresse der Anwendung (App-Registrierung) ===
+{{ :0:benutzer_anmeldeprotokoll_3.png?direct |}}
+=== MFA pro Benutzer - Vertrauenswürdige IP eintragen ===
+{{ :0:benutzer_mfasetting_1.png?direct |}}
+{{ :0:benutzer_mfasetting_2.png?direct |}}