ADFS mit mehreren UPN Domains

Ein Tenant, ein Forest und eine UPN-Domain sind einfach einzurichten. Nun kann der ADSync schon mit mehreren Forests umgehen. Auch kann jede Forest zwei und mehr UPN-Domains haben. Diese Seite beschreibt die Besonderheit der Authentifizierung mit einem ADFS-Server und mehreren UPNs oder sogar mehreren Forests.

Für diese Funktion ist mit ADFS 2.0 mindestens Rollup1 erforderlich.

Für den ADFS-Server ist übrigens nur der Eintrag beim Benutzer im Feld "UserPrincipalName" relevant. Der UPN-Domain muss nicht im Forest eingetragen sind. Sie sollten dies aber dennoch machen, damit in Active Directory Users und Computer auch die gültigen Domänen in der Auswahlliste stehen.

Auf der Seite Office 365:ADFS Multiforest habe ich verschiedene Varianten von mehreren Active Directory Domänen und Forests vorgestellt. Sie haben dabei gelernt, dass Sie pro UPN-Domain sowohl einen eigenen ADFS-Service hinterlegen können aber auch, dass mehrere UPN-Domains auch über den ADFS-Server in einem AD Forest bedient werden können. In diesem zweiten Fall müssen Sie bei der Einrichtung der Domänen aber die Domänen mit einem zusätzlichen Schalter einrichten.

Convert-MsolDomainToFederated `
   -DomainName msxfaq.de `
   -SupportMultipleDomain

Wichtig ist dabei, dass dieser Schalter von Anfang an bei allen Domänen verwendet wurde, da ansonsten die Einrichtung nicht korrekt funktioniert.

Ursache ist dabei, dass in den ADFS ClaimRules die Domänen entsprechend eingetragen werden müssen. Sollte das noch nicht passiert sein, dann löschen Sie Bitte im ADFS einmal den "Relaying Party Trust" und konvertieren Sie die bestehende erste Domäne erst einmal zurück mit:

Convert-MsolDomainToStandard `
   -DomainName <Name der einen vorhanden Domäne> `
   -SkipUserConversion $True
Convert-MsolDomainToFederated 
   -DomainName <Name der einen vorhanden Domäne> 
   -SupportMultipleDomain

Angeblich soll es auch möglich sein, die primäre Domäne direkt zu konvertieren. Ich hatte damit aber nicht immer erfolgt, da die ADFS-ClaimRules anscheinend nicht immer angepasst werden. Eine Testserie mit verschiedenen Versionen habe ich dazu aber nun nicht gemacht.

Update-MsolFederatedDomain `
   -DomainName <Name der einen vorhanden Domäne> `
   -SupportMultipleDomain

Damit wird diese Domäne nun auch so eingetragen, dass weitere UPN-Domänen addiert werden können. Dies geht dann wieder wie schon ausgeführt:

Convert-MsolDomainToFederated -DomainName <domain2> -SupportMultipleDomain
Convert-MsolDomainToFederated -DomainName <domain3> -SupportMultipleDomain
Convert-MsolDomainToFederated -DomainName <domain4> -SupportMultipleDomain

Eine Kontrolle der Änderungen ist dennoch angeraten.

Get-MsolFederationProperty `
   -DomainName <domain>

# Wundern Sie sich nicht, dass im Feld FederationServiceIdentifier ein Hostname erscheint, den es nicht gibt.

#ggfls auch noch einmal aktualisieren mit
Update-MsolFederationProperty `
  -DomainName <domain>

Für die Unterstützung verschiedener UPN-Domains ist es nicht erforderlich, dass diese Domains in den Zertifikaten des ADFS-Servers auftauchen. Es reicht also, wenn der ADFS-Service unter eine öffentlichen URL mit einem vertrauenswürdigen Zertifikat erreichbar ist. Das ist ein Vorteil gegenüber Exchange (Autodiscover) und Skype for Business (LyncDiscover und Access Edge SIP-Adresse).

Wundern Sie sich auch nicht, wenn im FederationIdentifier ein HTTP statt HTTPS steht. Diese URL ist nur für die Erkennung und Zuordnung des Request maßgeblich aber wird vom Client oder Server nicht wirklich genutzt.