Single Sign On - WordPress mit Azure AD

Anbindung von WordPress an Azure AD

Ziel war es unsere auf WordPress basierende Unternehmenswebseite an Azure AD anzubinden, um auch hier zum einen ein Single Sign On zu realisieren und zum anderen zentrale Kontrolle über die Benutzer und Administratoren der Webseite zu haben.

Die Ausgangssituation

WordPress Seite mit eigener Userverwaltung

WordPress bringt wie die meisten Tools und Onlineservices seine eigene Userverwaltung mit. Dies bedeutet für das Unternehmen jeden User anzulegen und entsprechend zu berechtigen. Beim Ausscheiden des Users aus dem Unternehmen müssen auch diese Zugänge bedacht werden, sonst besteht weiterhin Zugriff auf interne Daten der Firma.

Auch der User muss sich Usernamen und Passwörter merken, was meist zur Verwendung von Excel Sheets oder Zetteln mit Zugangsdaten führt.

Die Aufgabe

Single Sign On mit WordPress und Azure AD

Der User soll sich an seinem Rechner anmelden und erhält Zugriff auf alle für Ihn freigegebenen Anwendungen und Services, ohne sich irgendwo erneut anmelden zu müssen.

Die WordPress Seite muss also an Azure AD angebunden werden, um die Möglichkeiten eines echten Identity Managements mit Single Sign On zu nutzen.

Die Lösung

Plugin für SSO mit Azure AD

Bevor ich anfange etwas zu erfinden, was es eventuell schon gibt, bemühe ich mal die Suchmaschine meines Vertrauens und schaue, ob sich schon jemand damit beschäftigt hat.
Ich werde fündig, es gibt gleich mehrere Lösungen. Nach einiger Recherche fällt meine Wahl auf WPO365 Basic. Zugegeben, die Pro Variante kann einiges mehr, aber fürs Erste soll ein Single Sign On mit Azure Active Directory genügen. Die Einrichtung ist gut beschrieben, wer einigermaßen versiert mit Azure AD ist, kommt nach kurzer Zeit in den Genuss eines echten Single Sign Ons.

Die Installation

Installation und Konfiguration von WPO365

Plugin Installation

Suchen Sie in WordPress nach WPO365 und installieren das Plugin “WordPress + Office 365 login”.

Plugin Konfiguration

Die Konfiguration befindet sich unter “WPO365” -> Single Sign-On und folgende Dinge müssen konfiguriert werden:

Directory ID
Die Directory ID finden Sie in den Eigenschaften im Azure Active Directoryauf der portal.azure.com Management Seite.

Application ID
Um Ihre WordPress Seite bei Microsoft zu registrieren, müssen Sie eine neue Application Registration durchführen (Link zur Webseite des Plugins). Sobald Sie Ihre Seite registriert haben, müssen Sie die Application ID kopieren und hier einfügen.

Redirect URI
Hier wird die WordPress backend Seite eingetragen, wichtig die der Slash am Ende, wie z.B.: https://www.my-website.com/wp-admin/. Dieser Eintrag muss exakt mit einer der Reply URLs der registrierten Applikation in Azure Active Directory übereinstimmen.

Pages Blacklist
Normalerweise muss hier nichts geändert werden, es sei denn Sie nutzen

Eine angepasste Login Seite
E-Commerce Plugins wie z.B. woo-commerce
Custom Plugins mit eigener API
Andere Applicationen, die die WordPress REST API nutzen

Authentication Scenario
Wählen Sie Intranet, um WordPress Front- und Backend, oder Internet um nur das Backend mit dem Plugin zu schützen.

Das Fazit

Vorteile und Einschränkungen der Lösung

Das Plugin ist gut beschrieben und tut, was es soll. Es stellt lediglich Single Sign On mit Azure zur Verfügung, aber das tut es gut.

Ich kann gut damit leben, dass ich keine Gruppenberechtigungen vergeben kann und meine User nicht vollständig mit allen Daten synchronisiert werden. Wem das nicht genügt, der ist mit der Pro Variante des Plugins gut beraten.

Weitere Bilder