Aufbau\/Topologie der einzelnen Komponenten<\/h4>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_01.jpg\")
<\/p>\n
1. Einrichtung von SAML als Authentication Server auf der Firebox<\/h4>\n
Im ersten Schritt wird die Grundkonfiguration auf der Firebox vorbereitet.<\/p>\n
- \n
- mit dem WSM an der\u00a0Firebox anmelden<\/strong><\/li>\n
- unter Setup \u2192 Authentication \u2192\u00a0Authentication Servers <\/strong>den Reiter SAML<\/strong>\u00a0w\u00e4hlen<\/li>\n
- Checkbox\u00a0Enable SAML<\/strong>\u00a0aktivieren<\/li>\n
- Namen f\u00fcr den Identity Provider (IdP) eintragen (in diesem Beispiel\u00a0EntraID-SAML<\/strong>)
\nWICHTIG:\u00a0keine Leerzeichen oder Sonderzeichen wie \u00c4, \u00d6, \u00dc, \u00df usw. im IdP Namen verwenden \u2013 die Anmeldung klappt dann m\u00f6glicherweise, die Regeln ziehen aber nicht!!!<\/strong><\/li>\n- FQDN eintragen, \u00fcber den die Firebox von extern erreichbar ist (in diesem Beispiel vpn.ps-boc.de<\/a>)<\/li>\n
- den Punkt IdP Metadata URL erstmal leer lassen, wird nach der EntraID-Einrichtung eingetragen
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_02.png\")
<\/strong><\/li>\n<\/ol>\nOb die Einrichtung erfolgreich geklappt hat, sollte unter\u00a0https:\/\/<firebox-ip>\/auth\/saml\/<\/em><\/strong>\u00a0gepr\u00fcft werden.
\nDas X.509 Zertifikat f\u00fcr die sp\u00e4tere Verwendung im EntraID-Portal herunterladen!
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_03.png\")
\n<\/strong><\/p>\n2. Microsoft Entra – Unternehmensanwendung konfigurieren<\/h4>\n
F\u00fcr die eigentliche Verbindung zwischen der Firebox und EntraID wird eine Unternehmensanwendung definiert. Dazu mit administrativen Rechten bei Microsoft anmelden und die folgenden Punkte durchkonfigurieren:<\/p>\n
- \n
- Anwendungen \u2192 Unternehmensanwendungen \u2192 Neue Anwendung<\/li>\n
- Eigene Anwendung erstellen<\/li>\n
- Die Anwendung bekommt einen Namen, in unserem Beispiel\u00a0T40 SAML \u2192 Erstellen\u00a0<\/strong>klicken und die Anwendung wird angelegt<\/li>\n
- Welche Gruppen diese Anwendung nutzen d\u00fcrfen, wird \u00fcber\u00a0Benutzer und Gruppen \u2192 Benutzer\/Gruppe<\/strong> hinzuf\u00fcgen definiert (vorhandene Benutzer und Gruppen setzen wir hier als gegeben voraus)<\/li>\n
- Weiter geht es mit der eigentlichen SAML-Konfiguration. Unter\u00a0Einmaliges Anmelden<\/strong>\u00a0wird die Grundlegende SAML-Konfiguration definiert. Hier werden die Eintr\u00e4ge von der Konfigurationsseite\u00a0https:\/\/<FQDN>\/auth\/saml\/<\/em><\/strong>\u00a0verwendet<\/em><\/li>\n
- Im Bereich\u00a0Attribute & Anspr\u00fcche<\/strong>\u00a0wird angegeben, welche Attribute aus welcher Gruppe bei der Anmeldung gelesen werden sollen. \u00dcber\u00a0Neuen Gruppenanspruch hinzuf\u00fcgen<\/strong>\u00a0wird definiert, das als Quellattribut\u00a0Anzeigename f\u00fcr reine Cloudgruppen<\/strong> verwendet werden soll. So kann sp\u00e4ter entweder der Benutzername oder eine EntraID-Gruppe in den Firewall-Regeln verwendet werden<\/li>\n
- Im Bereich SAML-Zertifikate findet sich eine App-Verbundmetadaten-URL. Diese wird f\u00fcr die Firebox ben\u00f6tigt (Punkt 1.6 IdP Metadaten URL). Es empfiehlt sich die URL jetzt in einen Editor zu kopieren f\u00fcr die sp\u00e4tere Verwendung<\/li>\n
- Das Zertifikat was unter Punkt 1 gespeichert wurde, wird unter Tokenverschl\u00fcsselung, Zertifikat importieren heraufgeladen<\/li>\n
- Anschlie\u00dfend die Tokenverschl\u00fcsselung f\u00fcr dieses Zertifikat aktivieren<\/li>\n<\/ol>\n
Damit ist die Installation auf der EntraID-Seite abgeschlossen.<\/p>\n
- Welche Gruppen diese Anwendung nutzen d\u00fcrfen, wird \u00fcber\u00a0Benutzer und Gruppen \u2192 Benutzer\/Gruppe<\/strong> hinzuf\u00fcgen definiert (vorhandene Benutzer und Gruppen setzen wir hier als gegeben voraus)<\/li>\n
- unter Setup \u2192 Authentication \u2192\u00a0Authentication Servers <\/strong>den Reiter SAML<\/strong>\u00a0w\u00e4hlen<\/li>\n
![\"\"](\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/07\/User-Policies_SAML-mit-EntraID_04-1024x707.png\")
![\"\"](\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/07\/User-Policies_SAML-mit-EntraID_05-1024x707.png\")
![\"\"](\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/07\/User-Policies_SAML-mit-EntraID_06-1024x707.png\")
![\"\"](\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/07\/User-Policies_SAML-mit-EntraID_07-1024x707.png\")
![\"\"](\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/07\/User-Policies_SAML-mit-EntraID_08-1024x707.png\")
![\"\"](\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/07\/User-Policies_SAML-mit-EntraID_09.png\")
![\"\"](\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/07\/User-Policies_SAML-mit-EntraID_10-1024x535.png\")