Office 365 connector Kontotypen

ISSAdmin · April 21, 2020, 11:05am

Guten Tag,
Vielen Dank, der Hinweis war die Lösung. Ich habe die Anleitung durchgearbeitet,bleibe aber ganz zum Schluss hängen. Die angemeldete Domäne darf nicht die primäre Domäne sein. Wie kann ich das ändern?
Gruß
V. Flemig

damrose · April 21, 2020, 1:04pm

Hallo, dieser Microsoft Artikel beschreibt wie die Azure AD Domäne umkonfiguriert werden kann. In einem normalen Office365 Connector Setup sollte die .onmicrosoft.com Domäne die primäre Domäne sein, damit die im Internet verfügbare Domäne für Federation konfiguriert werden kann.

ISSAdmin · April 22, 2020, 9:35am

Guten Morgen, Danke für den Hinweis. Ich scheitere an dieser Stelle der Single Sign On Anleitung.
[Stellen Sie sicher, dass die im Azure Active Directory verifizierte Domäne nicht als primäre Domäne konfiguriert ist. Ansonsten wird der nächste Schritt fehlschlagen.
.onmicrosoft.com ist , wie Sie schreiben, die primäre Domäne. Was kann ich tun?
Gruß
V. Flemig

ISSAdmin · April 22, 2020, 9:55am

Ich bin jetzt mit der Anleitung und dem SingleSign On komplett durch. Hat so weit alles funktioniert. Ich habe einen Benutzer für Office365 freigeschaltet. Bei der Eingabe der Anmeldedaten bekomme ich folgenden Fehler:
Request Id: b39ec3af-5969-41d3-8286-e47aa1465600
Correlation Id: d7adf941-aaf9-4236-b6de-91f66715010a
Timestamp: 2020-04-22T09:51:44Z
Message: AADSTS50107: The requested federation realm object ‘https://ucs-sso.iss.intranet/simplesamlphp/saml2/idp/metadata.php’ does not exist.
Können Sie damit etwas anfangen?
Gruß
V. Flemig

ISSAdmin · April 22, 2020, 12:37pm

Ich glaube, das Problem liegt in der zweiten Domäne. Als erstes gibt es die .onmicrosoft.com, welche zweite muss ich dann einrichten/hinzufügen? Unsere interne Domäne .intranet ist dafür anscheinend nicht geeignet, das sie nicht verifiziert wird.
Danke für jede Hilfe.
gruß
V. Flemig

damrose · April 22, 2020, 5:18pm

Die zweite Domäne sollte aus dem Internet erreichbar sein, ansonsten klappt die Verifizierung der Inhaberschaft im Azure AD nicht.

Dieser Microsoftartikel beschreibt wie bei der Einrichtung vorzugehen ist.

Beispielweise würde für die Firma Univention im Azure AD die interne Domäne univention.onmicrosoft.com und die verifizierte ‘custom domain’ univention.de zu finden sein.

Der Fehler AADSTS50107 besagt normalerweise, dass das vom Wizard bereitgestellte Script zur Umstellung der Azure AD Domäne auf Single Sign-On nicht erfolgreich ausgeführt wurde. Es gibt auch einen Artikel dazu hier im Forum.

ISSAdmin · April 23, 2020, 5:31pm

Danke für die Hinweise. Konkret sieht es bei mir so aus, dass die interne Domäne grünes Licht erhält, die verifizierte ‘custom domain’ an der Überprüfung scheitert. (irena-sendler-schule.hamburg.de) Daher wird dann auch der Fehler kommen, der das Single Sign-On als nicht erfolgreich ausgeführt meldet.
Was mache ich falsch?
Gruß aus Hamburg
V. Flemig

ISSAdmin · April 24, 2020, 8:07am

Guten Morgen,
Hier die Fehlermeldung bei Ausführung des saml-setup sKRIPTS.
Asking for Azure Administator credentials
Set-MsolDomainAuthentication : You cannot change the initial domain created for you in Office 365.
In Zeile:1 Zeichen:22

… solService; Set-MsolDomainAuthentication -DomainName pfeilshof.onmicr …
```
            ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
```
- CategoryInfo : OperationStopped: ( [Set-MsolDomainAuthentication], MicrosoftOnlineException
- FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.InitialDomainUpdateException,Microsoft.Online
  .Administration.Automation.SetDomainAuthentication

Set-MsolDomainAuthentication : You cannot change the initial domain created for you in Office 365.
In Zeile:1 Zeichen:114

… on Managed; Set-MsolDomainAuthentication -DomainName pfeilshof.onmicr …
```
            ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
```
- CategoryInfo : OperationStopped: ( [Set-MsolDomainAuthentication], MicrosoftOnlineException
- FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.InitialDomainUpdateException,Microsoft.Online
  .Administration.Automation.SetDomainAuthentication

Name Status Authentication

pfeilshof.onmicrosoft.com Verified Managed
irena-sendler-schule.hamburg.de Verified Managed

damrose · April 24, 2020, 11:06am

Hallo,

die …schule.hamburg.de Domain scheint ja laut dem letzten Post verifiziert zu sein, das ist schonmal sehr gut. Aus der Ausgabe des Scripts lässt sich aber erahnen, dass die interne Domäne verwendet wird:
Set-MsolDomainAuthentication -DomainName pfeilshof.onmicr ...
Das wird dann auch mit der erwarteten Meldung quittiert: You cannot change the initial domain created for you in Office 365.
Im Office365 Wizard muss die externe Domain eingetragen werden, bei Ihnen also irena-sendler-schule.hamburg.de. Sie sollten den Wizard erneut durchlaufen, und das powershell Script mit den dann korrekten Einstellungen erneut herunterladen.

ISSAdmin · April 24, 2020, 12:43pm

Entschuldigung, eigentlich wollte ich nicht mehr schreiben, aber bevor ich es falsch mache:
Mit Office365 Wizard meinen Sie den Einrichtungsassistenten, richtig?
Gruß
V. Flemig

damrose · April 24, 2020, 1:41pm

Hallo, genau, ich meine den “Office 365 Einrichtungsassistent”, zu finden in der Univention Management Console unter der Kategorie “Domäne”.
https://docs.software-univention.de/handbuch-4.4.html#idmcloud:o365

ISSAdmin · April 27, 2020, 8:46am

Guten Morgen,
Funktioniert leider nicht.
Webfrontend-Fehler: Die angegebene Anfrage ist nicht bekannt.
Nothing matches the given URI
Haben Sie einen Rat?
Gruß
V. Flemig

damrose · April 27, 2020, 9:26am

Hallo, ich müsste Wissen an welcher Stelle dieser Fehler aufgetreten ist, nach welcher Eingabe, usw. Nur anhand der Fehlermeldung kann ich gar nicht einschätzen wo das Problem aufgetreten ist.

Bitte in jedem Fall den Wizard einmal erneut durchgehen.

ISSAdmin · April 27, 2020, 9:33am

Bin den Wizard noch einmal komplett durchgegangen. Hat alles so weit geklappt. Wenn ich jetzt einen Benutzer anmelden möchte, erhalte ich
Request Id: e8259358-a3ab-4a0f-8b22-b079136f7e00

Correlation Id: 9f4de9cf-fe81-4aed-a65e-499aa5899bbb

Timestamp: 2020-04-27T09:31:14Z

Message: AADSTS51004: The user account NGRkMDcyYmUtMTczYy0xMDNhLTgxZDUtNjk4ZTYzMDY5MzQ3 does not exist in the 52b99639-519a-421e-ace7-48fb8532ec42 directory. To sign into this application, the account must be added to the directory.

damrose · April 29, 2020, 8:23pm

Schön das die Einrichtung geklappt hat.
Die jetzige Fehlermeldung besagt, dass am Azure nun eine Anmeldung für einen Benutzer ankommt, der aber nicht im Verzeichnis gefunden werden kann.

Haben Sie den Benutzer mit dem Sie sich anmelden wollen am UCS Benutzerobjekt für Office365 aktiviert? Gab es bei der Synchronisation des Benutzers Fehler im listener.log?

Ich würde jetzt den Testbenutzer einmal für Office365 in der UMC deaktivieren, und dann in der Konsole die Datei /var/log/univention/listener.log auf Fehler prüfen, während der Bentuzer in der UMC wieder für Office365 aktiviert wird.

admin4SMS · April 30, 2020, 7:59am

Hallo ISSAdmin,
mich täte sehr interessieren, wie Sie die Subdomain der Schule bei hamburg.de verifiziert gekriegt haben.
Ein vorwitziger Kollege hat das mit .hamburg.de (dem eduport-Zugang) versucht und ist gescheitert - er hätte wohl bei hamburg.de den DNS-Eintrag bearbeiten müssen, denn in der Anleitung für O365 heißt es:

Blockquote
Dafür ist es notwendig, einen TXT-Record im DNS der eigenen Domäne zu erzeugen. Dieser Vorgang kann einige Minuten in Anspruch nehmen. Anschließend sollte der Status der konfigurierten Domäne als überprüft angezeigt werden.

hamburg. de gehört ja bekanntlich der Stadt und da ist nix zu ändern!
Gruß aus der Hansestadt

ISSAdmin · April 30, 2020, 10:31am

Hallo,
Die Domäne hamburg.de wird bei MCS gehostet. Dort auf der Seite gibt es unter Kontakt die Möglichkeit die DNS-Änderungen zu übermitteln. Geht in der Regel dann schnell.
Gruß
V. Flemig

admin4SMS · May 1, 2020, 10:51am

Danke für die aufschlußreiche Antwort, das war mir nicht bekannt - man lernt nie aus!
Dann werden wir’s mal auf diesem Wege probieren.
Könnte man das so hinkriegen, daß die Anmeldung bei O365 mit Benutzername/Passwort wie dem bei eduport genutzten funktioniert? Das war nämlich die Idee des Kollegen.
Oder ist es sinnvoller, den Weg via UCS-(Domänen-)Accounts über den Connector zu O365 zu gehen?
Fragen über Fragen…

ISSAdmin · May 1, 2020, 11:32am

Gern. Ich glaube nicht, dass die Anmeldung mit dem Eduport-Account funktionieren wird. Die Synchronisation vom Azure-Portal läuft m.E. nur über den UCS. Da die Anmeldung ohnehin am UCS erfolgt, würdeein zweiter Zugang aus meiner Sicht das Ganze nur unnötig verkomplizieren.

ISSAdmin · May 5, 2020, 11:45am

Hallo,
Ich habe noch einmal alles neu eingerichtet, es lief alles durch. Beim letzten Schritt erhalte ich folgende Meldung:
Asking for Azure Administator credentials
Set-MsolDomainAuthentication : You cannot remove this domain as the default domain without replacing it with another
default domain. Use the the Set-MsolDomain cmdlet to set another domain as the default domain before you delete this
domain.
In Zeile:1 Zeichen:120

… on Managed; Set-MsolDomainAuthentication -DomainName irena-sendler-sc …
```
            ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
```
- CategoryInfo : OperationStopped: ( [Set-MsolDomainAuthentication], MicrosoftOnlineException
- FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.DefaultDomainUnsetException,Microsoft.Online.
  Administration.Automation.SetDomainAuthentication

Name Status Authentication

irena-sendler-schule.hamburg.de Verified Managed
isshh.onmicrosoft.com Verified Managed

Finished single sign-on configuration change
Drücken Sie eine beliebige Taste . . .
Was muss ich da noch tun?
Danke für die umfangreiche Hilfen.
Gruß
V. Flemig