SAML mit Microsoft 365

1. Zammad als Anwendung in Microsoft Entra ID registrieren

  • Melden Sie sich im Microsoft Entra Admin Center mit administrativen Rechten an

  • Navigieren Sie zu „Identity“ > „Applications“ > „Enterprise Applications“

  • Klicken Sie auf „New Application“ und wählen Sie „Create your own application“

  • Geben Sie einen Namen für die Anwendung ein, z.B. „Zammad SAML Integration“

  • Wählen Sie „Integrate any other application you don’t find in the gallery“, und klicken Sie dann auf „Create“

2. Konfigurieren Sie SAML-basiertes Single Sign-On (SSO)

  • Nachdem die Anwendung erstellt wurde, gehen Sie zur Übersichtsseite

  • Wählen Sie „Single sign-on“ aus dem linken Menü

  • Wählen Sie „SAML“ als Anmeldemethode

  • Klicken Sie im Abschnitt „Basic SAML Configuration“ auf „Edit“:

    • Identifier (Entity ID): Verwenden Sie die Entity ID von Zammad, die Sie unter https://ihre.zammad.domain/auth/saml/metadata finden können

    • Reply URL (Assertion Consumer Service URL): Setzen Sie sie auf https://ihre.zammad.domain/auth/saml/callback

  • Speichern Sie die Konfiguration

3. Benutzer-Attribute und Claims-Zuordnung konfigurieren

Klicken Sie im Abschnitt „Attributes & Claims“ auf „Edit“. Standardmäßig sind einige Angaben wie User Principal Name, Email Address, First Name und Last Name bereits konfiguriert.

Screenshots der "Attribute & Claims"-Konfiguration im Entra Admin Center

4. Laden Sie das SAML-Zertifikat herunter

Laden Sie im Abschnitt „SAML Signing Certificate“ das „Certificate (Base64)“ herunter:

Screenshot zeigt den hervorgehobenen Zertifikatexport

5. Zammad konfigurieren

  • Als Administrator bei Zammad anmelden

  • Gehen Sie in den Einstellungen zu Einstellungen > Sicherheit > Anwendungen von Drittanbietern > Authentifizierung über SAML.

  • Geben Sie die folgenden Informationen an:

    • IDP SSO target URL: Die Anmelde-URL aus dem Microsoft Entra Admin Center.

    • IDP single logout target URL: Die Logout URL aus dem Microsoft Entra Admin Center.

    • Name Identifier Format: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    • SAML IdP-Zertifikat: Laden Sie das zuvor heruntergeladene Base64-Zertifikat hoch.

    • Speichern Sie die Einstellungen

6. Benutzer zuweisen

Weisen Sie in Microsoft Entra ID die entsprechenden Benutzer der Zammad-Anwendung zu, um ihnen Zugriff zu gewähren.

Hinweis

Lesen Sie weiter unter Allgemeine Zammad-Konfiguration für eine Beschreibung der einzelnen Felder in Zammad.