Guten Tag,
Vielen Dank, der Hinweis war die Lösung. Ich habe die Anleitung durchgearbeitet,bleibe aber ganz zum Schluss hängen. Die angemeldete Domäne darf nicht die primäre Domäne sein. Wie kann ich das ändern?
Gruß
V. Flemig
Hallo, dieser Microsoft Artikel beschreibt wie die Azure AD Domäne umkonfiguriert werden kann. In einem normalen Office365 Connector Setup sollte die .onmicrosoft.com
Domäne die primäre Domäne sein, damit die im Internet verfügbare Domäne für Federation konfiguriert werden kann.
Guten Morgen, Danke für den Hinweis. Ich scheitere an dieser Stelle der Single Sign On Anleitung.
[Stellen Sie sicher, dass die im Azure Active Directory verifizierte Domäne nicht als primäre Domäne konfiguriert ist. Ansonsten wird der nächste Schritt fehlschlagen.
.onmicrosoft.com ist , wie Sie schreiben, die primäre Domäne. Was kann ich tun?
Gruß
V. Flemig
Ich bin jetzt mit der Anleitung und dem SingleSign On komplett durch. Hat so weit alles funktioniert. Ich habe einen Benutzer für Office365 freigeschaltet. Bei der Eingabe der Anmeldedaten bekomme ich folgenden Fehler:
Request Id: b39ec3af-5969-41d3-8286-e47aa1465600
Correlation Id: d7adf941-aaf9-4236-b6de-91f66715010a
Timestamp: 2020-04-22T09:51:44Z
Message: AADSTS50107: The requested federation realm object ‘https://ucs-sso.iss.intranet/simplesamlphp/saml2/idp/metadata.php’ does not exist.
Können Sie damit etwas anfangen?
Gruß
V. Flemig
Ich glaube, das Problem liegt in der zweiten Domäne. Als erstes gibt es die .onmicrosoft.com, welche zweite muss ich dann einrichten/hinzufügen? Unsere interne Domäne .intranet ist dafür anscheinend nicht geeignet, das sie nicht verifiziert wird.
Danke für jede Hilfe.
gruß
V. Flemig
Die zweite Domäne sollte aus dem Internet erreichbar sein, ansonsten klappt die Verifizierung der Inhaberschaft im Azure AD nicht.
Dieser Microsoftartikel beschreibt wie bei der Einrichtung vorzugehen ist.
Beispielweise würde für die Firma Univention im Azure AD die interne Domäne univention.onmicrosoft.com
und die verifizierte ‘custom domain’ univention.de
zu finden sein.
Der Fehler AADSTS50107 besagt normalerweise, dass das vom Wizard bereitgestellte Script zur Umstellung der Azure AD Domäne auf Single Sign-On nicht erfolgreich ausgeführt wurde. Es gibt auch einen Artikel dazu hier im Forum.
Danke für die Hinweise. Konkret sieht es bei mir so aus, dass die interne Domäne grünes Licht erhält, die verifizierte ‘custom domain’ an der Überprüfung scheitert. (irena-sendler-schule.hamburg.de) Daher wird dann auch der Fehler kommen, der das Single Sign-On als nicht erfolgreich ausgeführt meldet.
Was mache ich falsch?
Gruß aus Hamburg
V. Flemig
Guten Morgen,
Hier die Fehlermeldung bei Ausführung des saml-setup sKRIPTS.
Asking for Azure Administator credentials
Set-MsolDomainAuthentication : You cannot change the initial domain created for you in Office 365.
In Zeile:1 Zeichen:22
- … solService; Set-MsolDomainAuthentication -DomainName pfeilshof.onmicr …
-
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- CategoryInfo : OperationStopped: ( [Set-MsolDomainAuthentication], MicrosoftOnlineException
- FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.InitialDomainUpdateException,Microsoft.Online
.Administration.Automation.SetDomainAuthentication
Set-MsolDomainAuthentication : You cannot change the initial domain created for you in Office 365.
In Zeile:1 Zeichen:114
- … on Managed; Set-MsolDomainAuthentication -DomainName pfeilshof.onmicr …
-
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- CategoryInfo : OperationStopped: ( [Set-MsolDomainAuthentication], MicrosoftOnlineException
- FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.InitialDomainUpdateException,Microsoft.Online
.Administration.Automation.SetDomainAuthentication
Name Status Authentication
pfeilshof.onmicrosoft.com Verified Managed
irena-sendler-schule.hamburg.de Verified Managed
Hallo,
die …schule.hamburg.de Domain scheint ja laut dem letzten Post verifiziert zu sein, das ist schonmal sehr gut. Aus der Ausgabe des Scripts lässt sich aber erahnen, dass die interne Domäne verwendet wird:
Set-MsolDomainAuthentication -DomainName pfeilshof.onmicr ...
Das wird dann auch mit der erwarteten Meldung quittiert: You cannot change the initial domain created for you in Office 365.
Im Office365 Wizard muss die externe Domain eingetragen werden, bei Ihnen also irena-sendler-schule.hamburg.de
. Sie sollten den Wizard erneut durchlaufen, und das powershell Script mit den dann korrekten Einstellungen erneut herunterladen.
Entschuldigung, eigentlich wollte ich nicht mehr schreiben, aber bevor ich es falsch mache:
Mit Office365 Wizard meinen Sie den Einrichtungsassistenten, richtig?
Gruß
V. Flemig
Hallo, genau, ich meine den “Office 365 Einrichtungsassistent”, zu finden in der Univention Management Console unter der Kategorie “Domäne”.
https://docs.software-univention.de/handbuch-4.4.html#idmcloud:o365
Guten Morgen,
Funktioniert leider nicht.
Webfrontend-Fehler: Die angegebene Anfrage ist nicht bekannt.
Nothing matches the given URI
Haben Sie einen Rat?
Gruß
V. Flemig
Hallo, ich müsste Wissen an welcher Stelle dieser Fehler aufgetreten ist, nach welcher Eingabe, usw. Nur anhand der Fehlermeldung kann ich gar nicht einschätzen wo das Problem aufgetreten ist.
Bitte in jedem Fall den Wizard einmal erneut durchgehen.
Bin den Wizard noch einmal komplett durchgegangen. Hat alles so weit geklappt. Wenn ich jetzt einen Benutzer anmelden möchte, erhalte ich
Request Id: e8259358-a3ab-4a0f-8b22-b079136f7e00
Correlation Id: 9f4de9cf-fe81-4aed-a65e-499aa5899bbb
Timestamp: 2020-04-27T09:31:14Z
Message: AADSTS51004: The user account NGRkMDcyYmUtMTczYy0xMDNhLTgxZDUtNjk4ZTYzMDY5MzQ3 does not exist in the 52b99639-519a-421e-ace7-48fb8532ec42 directory. To sign into this application, the account must be added to the directory.
Schön das die Einrichtung geklappt hat.
Die jetzige Fehlermeldung besagt, dass am Azure nun eine Anmeldung für einen Benutzer ankommt, der aber nicht im Verzeichnis gefunden werden kann.
Haben Sie den Benutzer mit dem Sie sich anmelden wollen am UCS Benutzerobjekt für Office365 aktiviert? Gab es bei der Synchronisation des Benutzers Fehler im listener.log?
Ich würde jetzt den Testbenutzer einmal für Office365 in der UMC deaktivieren, und dann in der Konsole die Datei /var/log/univention/listener.log
auf Fehler prüfen, während der Bentuzer in der UMC wieder für Office365 aktiviert wird.
Hallo ISSAdmin,
mich täte sehr interessieren, wie Sie die Subdomain der Schule bei hamburg.de verifiziert gekriegt haben.
Ein vorwitziger Kollege hat das mit .hamburg.de (dem eduport-Zugang) versucht und ist gescheitert - er hätte wohl bei hamburg.de den DNS-Eintrag bearbeiten müssen, denn in der Anleitung für O365 heißt es:
Blockquote
Dafür ist es notwendig, einen TXT-Record im DNS der eigenen Domäne zu erzeugen. Dieser Vorgang kann einige Minuten in Anspruch nehmen. Anschließend sollte der Status der konfigurierten Domäne als überprüft angezeigt werden.
hamburg. de gehört ja bekanntlich der Stadt und da ist nix zu ändern!
Gruß aus der Hansestadt
Hallo,
Die Domäne hamburg.de wird bei MCS gehostet. Dort auf der Seite gibt es unter Kontakt die Möglichkeit die DNS-Änderungen zu übermitteln. Geht in der Regel dann schnell.
Gruß
V. Flemig
Danke für die aufschlußreiche Antwort, das war mir nicht bekannt - man lernt nie aus!
Dann werden wir’s mal auf diesem Wege probieren.
Könnte man das so hinkriegen, daß die Anmeldung bei O365 mit Benutzername/Passwort wie dem bei eduport genutzten funktioniert? Das war nämlich die Idee des Kollegen.
Oder ist es sinnvoller, den Weg via UCS-(Domänen-)Accounts über den Connector zu O365 zu gehen?
Fragen über Fragen…
Gern. Ich glaube nicht, dass die Anmeldung mit dem Eduport-Account funktionieren wird. Die Synchronisation vom Azure-Portal läuft m.E. nur über den UCS. Da die Anmeldung ohnehin am UCS erfolgt, würdeein zweiter Zugang aus meiner Sicht das Ganze nur unnötig verkomplizieren.
Hallo,
Ich habe noch einmal alles neu eingerichtet, es lief alles durch. Beim letzten Schritt erhalte ich folgende Meldung:
Asking for Azure Administator credentials
Set-MsolDomainAuthentication : You cannot remove this domain as the default domain without replacing it with another
default domain. Use the the Set-MsolDomain cmdlet to set another domain as the default domain before you delete this
domain.
In Zeile:1 Zeichen:120
- … on Managed; Set-MsolDomainAuthentication -DomainName irena-sendler-sc …
-
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- CategoryInfo : OperationStopped: ( [Set-MsolDomainAuthentication], MicrosoftOnlineException
- FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.DefaultDomainUnsetException,Microsoft.Online.
Administration.Automation.SetDomainAuthentication
Name Status Authentication
irena-sendler-schule.hamburg.de Verified Managed
isshh.onmicrosoft.com Verified Managed
Finished single sign-on configuration change
Drücken Sie eine beliebige Taste . . .
Was muss ich da noch tun?
Danke für die umfangreiche Hilfen.
Gruß
V. Flemig