Office365 Connector und bei MS bereits existierende Benutzer

gwilhelm · February 11, 2021, 2:40pm

Hallo Forum, hallo Univention Team,

nachdem der O365 Connector jetzt funktioniert habe ich noch folgendes Problem:

Im Azure AD wurden bereits vor Inbetriebnahme des O365Connectors Nutzerkonten angelegt, die schon in Benutzung sind und die auch bereits Daten enthalten.

Wie kann ich dafür sorgen, dass diese Konten aus UCS synchronisiert werden? In diesem Threat von 2017 habe ich den Hinweis gefunden man könne die UniventionOffice365ObjectID per udm Kommandozeile gleich der Azure ObjectID setzen.
Das Attribut UniventionOffice365ObjectID scheint es aber gar nicht mehr zu geben. Außerdem scheint der Python Code zum errechnen und setzen der entryUUID nicht mehr lauffähig.

Kennt jemand eine aktuell funktionierende Lösung?

Beste Grüße
Gerd Wilhelm

gwilhelm · February 19, 2021, 9:29am

Hallo Forum,

lasst mich nochmal einfacher fragen: “Kennt jemand einen Weg, Office365 Connector für im Azure AD bereits existierende Benutzer einzurichten?”

Bin für jeden Tip dankbar.
LG
Gerd

msi · February 19, 2021, 12:47pm

Ich kann nur aus der Erfahrung mit Azure AD Connect (gegen MS AD) sagen, dass ich auch unsicher war, weil von früher her nicht wenige Benutzer im AAD tenant sich selbst registriert hatten. Ich habe mir damals einen Testmandanten gebastelt genommen und das durchexerziert, um sicher zu gehen, weil wir eine ganze menge selbst registrierter User im schon hatten.

Ich kann dir das gleiche empfehlen, alternativ gehst du zu einem Univention Partner oder Univention direkt, je nach Grösse wirklich nicht verkehrt, da du eine solche Integration vielleicht alle paar Jahre machst, wenn nicht einmalig.

Damals haben letztlich AAD connect und Azure ein soft-matching basierend auf dem UPN in Azure gemacht (Mailadresse), das hat funktioniert, auch wenn ich dem zuerst nicht getraut habe. Danach hat die uniqueId aus AAD ins AD als ms-DS-ConsistencyGuid runterschrieben, das ist bei AAD connect dann der sourceAnchor.*

Was der verlinkte Artikel erwähnt, ist da vom Prinzip her sehr ähnlich, prinzipiell scheint UniventionOffice365ObjectID auch noch im LDAP Schema aufzutauchen.

Du müsstest also wirklich herausfinden, wie du als Anker zwischen UCS und Azure AD diese ObjectID angleichst. Es ist natürlich schade, dass der verlinkte Thread aus 2018 nicht mehr tut, denke aber, das ist “ein” Schlüssel ans Ziel.

Die damaligen Einchränkungen, wie bei der Wahl des Loginnamens auf Azure mit dem O365 connector, waren übrigens relevante Gründe, am Ende eben nicht den O365 connector einzusetzen. Vielleicht wäre das heute anders.

gwilhelm · February 22, 2021, 5:45pm

Vielen Dank für die Hife und Tipps. Habe es zwar bisher nicht hinbekommen, konnte aber inzwischen die Benutzer davon überzeugen in MS365 nochmal neu zu beginnen.

Beste Grüße Hessen,
Gerd

damrose · February 22, 2021, 6:09pm

Hallo, offiziell ist das Verbinden von bereits im Azure AD existierenden Benutzern nicht supported, es gibt allerdings ein Script in unserem Bugzilla das dabei unterstützt. Seit gerade eben ist auch die letzte Version des Scripts mit Unterstützung für mehrere AD Verbindungen am Bug verfügbar.

https://forge.univention.org/bugzilla/show_bug.cgi?id=48641

Bitte unbedingt mit Testbenutzern ausprobieren, da sich je nach gewählten Optionen zum Beispiel der Loginname an MS 365 ändert.