Nextcloud SAML: Single Sign-On mit Azure AD

von

In diesem Blogbeitrag zeigen wir Ihnen Schritt für Schritt, wie Sie Nextcloud SAML Azure AD für Single Sign-On (SSO) konfigurieren.

Vorteile von Nextcloud SAML Azure AD

  • Verbesserte Benutzerfreundlichkeit: Benutzer müssen sich nur einmal bei Azure AD anmelden, um Zugriff auf Nextcloud zu erhalten.
  • Erhöhte Sicherheit: Die Authentifizierung wird zentral von Azure AD verwaltet, was die Sicherheit Ihrer Nextcloud-Instanz erhöht.
  • Vereinfachte Benutzerverwaltung: Sie können Benutzer und Gruppen in Azure AD verwalten und diese Berechtigungen werden automatisch auf Nextcloud übertragen.

Voraussetzungen

  • Microsoft Entra-Abonnement
  • Nextcloud-Instanz
  • Nextcloud App „SSO & SAML authentication“

Anwendung in Entra erstellen

  1. Melden Sie sich bei Ihrem Microsoft Entra-Portal an
  2. Navigieren Sie zu Anwendungen > Unternehmensanwendungen > Eigene Anwendung erstellen
  3. Geben Sie der Anwendung einen Namen (z. B. „Nextcloud“) und wählen Sie Beliebige andere, nicht im Katalog gefundene Anwendung integrieren
  4. Klicken Sie auf Erstellen
  5. Klicken Sie auf Einmaliges Anmelden und dann auf SAML

SAML-Konfiguration in Entra

  1. Geben Sie den Bezeichner und die Antwort-URL ein
    • Bezeichner: https://nextcloud.yourdomain.com/apps/user_saml/saml/metadata
    • (Optional) Mit index.php: https://nextcloud.yourdomain.com/index.php/apps/user_saml/saml/metadata
    • Antwort-URL: https://nextcloud.yourdomain.com
    • (Optional) Mit index.php: https://nextcloud.yourdomain.com/index.php
  2. Laden Sie das SAML-Zertifikat im Base64-Format herunter
  3. Notieren Sie sich die URL für Anmeldung, den Azure AD-Bezeichner und die Abmelde-URL
  4. Fügen Sie unter Benutzer und Gruppen hinzu, wer sich anmelden darf

SSO & SAML-Autorisierung in Nextcloud

  1. Installieren Sie die Nextcloud App „SSO & SAML authentication“
  2. Rufen Sie in den Administrator Einstellungen „SSO & SAML-Autorisierung“auf

Allgemein:

  1. Zeile 1: Attribut für das UID mapping ⇒ http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Daten des Identitätsanbieters:

  1. Zeile 1: Azure AD-Bezeichner
  2. Zeile 2: URL für Anmeldung
  3. Zeile 3: URL für Anmeldung
  4. Zeile 5: Zertifikat ohne „—–BEGIN CERTIFICATE—–“ und „—–END CERTIFICATE—–“

Attribute zuordnen:

  1. Zeile 1: Attribut für das Anzeigenamen Mapping ⇒ http://schemas.microsoft.com/identity/claims/displayname
  2. Zeile 2: Attribut für das Email Adressen Mapping ⇒ http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Abschließende Hinweise:

  • Die Einstellungen werden automatisch gespeichert
  • Ist alles richtig eingetragen, können sich Microsoft 365-Benutzer jetzt anmelden
  • Der Login für lokale Nextcloud-Benutzer ist dann nur noch über  https://cloud.domain.de/login?direct=1 möglich

Weitere interessante Artikel zum Thema Nextcloud finden Sie hier.

Falls Sie Fragen haben oder Unterstützung bei der Einrichtung von Nextcloud SAML benötigen, können Sie uns kontaktieren.

Tim Perelli
Letzte Artikel von Tim Perelli (Alle anzeigen)