---
title: "SSO-Verbindungen zu Ihrem OVHcloud Account über Active Directory Federation Services (AD FS) aktivieren"
description: "Erfahren Sie hier, wie Sie Active Directory Federation Services über SAML 2.0 mit Ihrem OVHcloud Account verbinden"
url: https://docs.ovhcloud.com/de/guides/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs
lang: de
lastUpdated: 2025-05-15
---
# SSO-Verbindungen zu Ihrem OVHcloud Account über Active Directory Federation Services (AD FS) aktivieren

## Ziel

Sie können die Authentifizierungsmethode **Single Sign-On** (SSO) verwenden, um sich in Ihren OVHcloud Kunden-Account einzuloggen. Um diese Verbindungen zu aktivieren, müssen Ihr Account und Ihr **AD FS** (_Active Directory Federation Services_) mithilfe von SAML-Authentifizierungen (_Security Serving Markup Language_) konfiguriert werden.

**Diese Anleitung erklärt, wie Sie Ihren OVHcloud Kunden-Account mit einem externen Active Directory verbinden.**

## Voraussetzungen

- AD FS (Active Directory Federation Services) wird auf Ihrem Server ausgeführt.
- Sie verfügen über einen [OVHcloud Kunden-Account](/de/guides/account-and-service-management/account-information/ovhcloud-account-creation.md).


***

### Zugriff auf das OVHcloud Kundencenter

- **Direkter Link:** <ManagerLink to="/#/iam/identities/sso">SAML SSO</ManagerLink>
- **Navigationspfad:** <code className="action">Identität, Sicherheit und Operationen</code> > <code className="action">Benutzer</code> > <code className="action">SSO-Verbindung</code>

***


## In der praktischen Anwendung

:::info
Damit ein Service Provider (Ihr OVHcloud Account) eine SSO-Verbindung zu einem Identity Provider (Ihrem AD FS) herstellen kann, ist es notwendig, das gegenseitige Vertrauensverhältnis zu konfigurieren (_Party Trust_).

:::

### AD FS Trust aufbauen

Ihr AD FS fungiert als Identity Provider. Authentifizierungsanfragen für Ihren OVHcloud Account werden nur dann akzeptiert, wenn Sie diesen zuerst als Relying Party deklariert haben.

Im Zusammenhang mit Active Directory bedeutet dies, dass er als `Relying Party Trust` hinzugefügt werden muss.

Öffnen Sie im Server-Manager `Tools
` und wählen Sie `AD FS Management
` aus.
![Menu Windows Server](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/windows_server_tools_menu.png)
Klicken Sie auf `Relying Party Trusts
`.
![AD FS](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_menu.png)
Klicken Sie dann auf `Add Relying Party Trust...
`.
![AD FS](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_relying_party_trusts_menu.png)
Wählen Sie `Claims aware
` aus und bestätigen Sie mit dem `Start
` Button.
![AD FS eine Genehmigung hinzufügen - Schritt 1](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_add_relying_party_trust_1.png)
Sie können die Informationen über die Relying Party manuell eingeben oder aus einer Metadatendatei importieren.

#### OVHcloud SP Metadaten importieren

Sie erhalten die passende Metadatendatei über folgende Links:

- [Metadaten der EU-Region](https://www.ovh.com/auth/sso/saml/sp/metadata.xml)
- [Metadaten der CA-Region](https://ca.ovh.com/auth/sso/saml/sp/metadata.xml)

Wählen Sie `Import data about the relying party from a file
` und dann Ihre Metadatendatei aus.
Klicken Sie anschließend auf den Button `Next
`.
![AD FS - Genehmigung hinzufügen - Schritt 2](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_add_relying_party_trust_2.png)
Geben Sie einen Anzeigenamen für die Relying Party ein und klicken Sie auf den Button `Next
`.
![AD FS - Genehmigung hinzufügen - Schritt 3](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_add_relying_party_trust_3.png)
Klicken Sie im `Next
` im Fenster der Zugriffskontrolle.
![AD FS - Genehmigung hinzufügen - Schritt 4](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_add_relying_party_trust_4.png)
Klicken Sie erneut auf `Next
`, um fortzufahren.
![AD FS - Genehmigung hinzufügen - Schritt 5](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_add_relying_party_trust_5.png)
Klicken Sie im letzten Fenster auf den Button `Close
`. Die Genehmigung von OVHcloud als Relying Party wird nun zu Ihrem AD FS hinzugefügt.
![AD FS](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_relying_party_trusts.png)
:::info
Mit OVHcloud als hinzugefügter Relying Party sollten Sie sich bereits über eine SSO-Verbindung einloggen können. Alle Informationen zur Identität des Benutzers (als SAML "_assertion_") sind jedoch nicht verfügbar, bis Sie eine Policy konfigurieren, um die Active Directory LDAP Eigenschaften Attributen der SAML _Assertion_ in Einklang zu bringen.

:::

#### Zuordnung derLDAP Attribute zu den SAML Attributen

Klicken Sie auf den Eintrag für OVHcloud im Bereich "Relying Party Trusts".

![AD FS-Zulassungsschema Schritt 1](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_relying_party_trusts_mapping_1.png)
Klicken Sie anschließend auf `Edit Claim Issuance Policy ...
`.
![AD FS-Zulassungsschema Schritt 2](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_relying_party_trusts_mapping_2.png)
Klicken Sie auf den Button `Add Rule...
`.
![AD FS-Zulassungsschema Schritt 3](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_relying_party_trusts_mapping_3.png)
Klicken Sie auf `Next
`.
Geben Sie einen Regelnamen ein und definieren Sie Ihre Entsprechungstabelle.

Wählen Sie `Active Directory` als `Attribute Store` aus.

:::info
Folgende Einstellungen können frei konfiguriert werden, damit der Service Provider die Daten des LDAP Active Directory korrekt interpretieren kann. Als Beispiel können Sie das unten stehende Bild verwenden.

:::

Wenn Sie fertig sind, klicken Sie auf den Button `Finish
`.
![AD FS-Zulassungsschema Schritt 4](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_relying_party_trusts_mapping_4.png)
![AD FS-Zulassungsschema Schritt 5](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_relying_party_trusts_mapping_5.png)
Klicken Sie auf den Button `Apply
` und bestätigen Sie mit `OK
`.
![Zustimmungsschema Schritt 6](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_relying_party_trusts_mapping_6.png)
Wenn die Entsprechungstabelle vollständig ist, vertraut Ihr AD FS nun OVHcloud als Service Provider. Stellen Sie im nächsten Schritt sicher, dass der OVHcloud Account Ihrem AD FS als Identity Provider vertraut.

### Das Vertrauen zum OVHcloud Account und die Verbindung konfigurieren

Das Hinzufügen Ihrer AD FS als vertrauenswürdiger Identity Provider erfolgt im OVHcloud Kundencenter
, in dem Sie die Metadaten des Identity Providers hinterlegen können.
Öffnen Sie die Seite SAML SSO
.
Im Bereich `SSO-Verbindung
` geben Sie die XML-Metadaten Ihres AD FS ein. In diesem Fall ist das `Name des Gruppenattributs`
 optional. Klicken Sie auf `Bestätigen
`.
Sie können die lokalen Benutzer beibehalten, indem Sie das Kontrollkästchen `Aktive OVHcloud User beibehalten` aktivieren.

![OVHcloud SSO-Verbindung Schritt 2](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_user_management_connect_sso_2.png)
Sie sollten nun Ihren AD FS als Identity Provider sowie die Standardgruppen sehen können.

![OVHcloud SSO-Verbindung Schritt 3](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_user_management_connect_sso_3.png)
Für weitere Informationen klicken Sie auf den Link unter der `URL des SSO Dienstes`.

![OVHcloud SSO-Verbindung Schritt 4](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_user_management_connect_sso_4.png)
![OVHcloud SSO-Verbindung Schritt 5](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_user_management_connect_sso_5.png)
Mit dem Button `...
` können Sie den SSO aktualisieren oder löschen und die Details einsehen.
![OVHcloud SSO-Verbindung Schritt 6](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_user_management_connect_sso_6.png)
Ihr AD FS gilt nun als vertrauenswürdiger Identity Provider. Dennoch müssen im OVHcloud Account Gruppen hinzugefügt werden.

:::warning
Wenn Sie sich in diesem Schritt über SSO verbinden, wird wahrscheinlich eine Fehlermeldung `Not in valid groups` angezeigt.

Ihr OVHcloud Account überprüft, ob der authentifizierende Benutzer zu einer bestehenden Gruppe auf dem Account gehört.

:::

Überprüfen Sie hierzu, welche Informationen dem von AD FS zurückgegebenen Attribut "Group" entsprechen.

Verwenden Sie zur Verdeutlichung das folgende Beispiel des Benutzers "John Doe" eines Active Directory, wie im Bild dargestellt.

![AD FS Benutzer](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_user.png)
Überprüfen Sie die Entsprechungstabelle in AD FS:

![AD FS-Bestätigungsschema](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/adfs_relying_party_trusts_mapping_4.png)
In diesem Beispiel ist das Attribut "Gruppe", das von Active Directory für den Benutzer "John Doe" zurückgegeben wird: "title". Dies entspricht dem "job title", dessen Wert `manager@<my-domain>.com` ist.

Sie können dies auch in der SAML _Assertion_ überprüfen:

```xml
<AttributeStatement>
    <Attribute Name="http://schemas.xmlsoap.org/claims/Group">
        <AttributeValue>manager@<my-domain>.com</AttributeValue>
    </Attribute>
    ...
</AttributeStatement>
```

Das bedeutet, dass Sie die Gruppe `manager@<my-domain>.com` zu Ihrem OVHcloud Account hinzufügen müssen und damit einer Rolle zuweisen. Andernfalls kann Ihr OVHcloud Account nicht feststellen, welche Rechte der Benutzer hat.

Um diese Gruppe hinzuzufügen, gehen Sie zum Abschnitt `Identitäten
` und dann zum Tab `Nutzergruppen
`. Klicken Sie dann auf die Schaltfläche `Eine Gruppe anmelden
`, geben Sie den Namen der Gruppe ein und wählen Sie die zugehörige Rolle aus:
![AD FS Benutzer-Verwaltungsgruppen](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_user_management_groups_1.png)
![AD FS Benutzer-Verwaltungsgruppen](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_user_management_groups_2.png)
Anschließend können Sie überprüfen, ob die Gruppe zu Ihrem OVHcloud Account im Bereich `Gruppen` hinzugefügt wurde:

![AD FS Benutzer-Verwaltungsgruppen](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_user_management_groups_3.png)
Wenn Sie sich später mit dem Active Directory Benutzer "John Doe" verbinden, erkennt Ihr OVHcloud Account, dass der Benutzer die von seiner Gruppe definierte Rolle "REGULAR" hat.

Achtung, wenn Sie die Berechtigung `Keine` wählen, müssen Sie dieser Gruppe Rechte über die [IAM-Richtlinien](/de/guides/account-and-service-management/account-information/iam-policy-ui.md) zuweisen.

Anschließend können Sie sich von Ihrem Account ausloggen und sich mit Ihrem AD FS als Identity Provider neu verbinden.

### Verbindung via SSO

Geben Sie auf der OVHcloud Login-Seite
 Ihre [Kundenkennung](/de/guides/account-and-service-management/account-information/ovhcloud-account-creation.md#was-ist-meine-kundenkennung)
 ein, gefolgt von **/idp**
*. Klicken Sie ohne ein Passwort einzugeben auf `Login
`.
![Verbindung zum Verband OVHcloud](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_federation_login_1.png)
Sie werden dann auf die Loginseite Ihres AD FS weitergeleitet. Geben Sie Login und Passwort eines Benutzers Ihres Active Directory LDAP ein und klicken Sie dann auf den Button `Sign in
` .
![OVHcloud Federation Login Weiterleitung AD FS](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_federation_login_2.png)
Sie sind nun mit derselben Kundenkennung eingeloggt, jedoch über AD FS SSO und mit Ihrem Active Directory Benutzer.

![OVHcloud User Info](/images/account-and-service-management/account-information/ovhcloud-account-connect-saml-adfs/ovhcloud_user_infos_federation.png)
## Weiterführende Informationen

[OVHcloud Kunden-Account erstellen](/de/guides/account-and-service-management/account-information/ovhcloud-account-creation.md)

[OVHcloud Kunden-Account absichern und persönliche Informationen verwalten](/de/guides/account-and-service-management/account-information/all-about-username.md)

[Das Passwort Ihres Kunden-Accounts anlegen und verwalten ](/de/guides/account-and-service-management/account-information/manage-ovh-password.md)

[Den OVHcloud Kunden-Account mit der Zwei-Faktor-Authentifizierung absichern](/de/guides/account-and-service-management/account-information/secure-ovhcloud-account-with-2fa.md)

[Verwendung von IAM-Richtlinie über Ihr Kundencenter](/de/guides/account-and-service-management/account-information/iam-policy-ui.md).

Treten Sie unserer [User Community](https://community.ovhcloud.com/) bei.