ADFS mit mehreren UPN Domains
Ein Tenant, ein Forest und eine UPN-Domain sind einfach einzurichten. Nun kann der ADSync schon mit mehreren Forests umgehen. Auch kann jede Forest zwei und mehr UPN-Domains haben. Diese Seite beschreibt die Besonderheit der Authentifizierung mit einem ADFS-Server und mehreren UPNs oder sogar mehreren Forests.
Für diese Funktion ist mit ADFS 2.0 mindestens Rollup1 erforderlich.
Für den ADFS-Server ist übrigens nur der Eintrag beim Benutzer im Feld "UserPrincipalName" relevant. Der UPN-Domain muss nicht im Forest eingetragen sind. Sie sollten dies aber dennoch machen, damit in Active Directory Users und Computer auch die gültigen Domänen in der Auswahlliste stehen.
Auf der Seite Office 365:ADFS Multiforest habe ich verschiedene Varianten von mehreren Active Directory Domänen und Forests vorgestellt. Sie haben dabei gelernt, dass Sie pro UPN-Domain sowohl einen eigenen ADFS-Service hinterlegen können aber auch, dass mehrere UPN-Domains auch über den ADFS-Server in einem AD Forest bedient werden können. In diesem zweiten Fall müssen Sie bei der Einrichtung der Domänen aber die Domänen mit einem zusätzlichen Schalter einrichten.
Convert-MsolDomainToFederated ` -DomainName msxfaq.de ` -SupportMultipleDomain
Wichtig ist dabei, dass dieser Schalter von Anfang an bei allen Domänen verwendet wurde, da ansonsten die Einrichtung nicht korrekt funktioniert.
Ursache ist dabei, dass in den ADFS ClaimRules die Domänen entsprechend eingetragen werden müssen. Sollte das noch nicht passiert sein, dann löschen Sie Bitte im ADFS einmal den "Relaying Party Trust" und konvertieren Sie die bestehende erste Domäne erst einmal zurück mit:
Convert-MsolDomainToStandard ` -DomainName <Name der einen vorhanden Domäne> ` -SkipUserConversion $True Convert-MsolDomainToFederated -DomainName <Name der einen vorhanden Domäne> -SupportMultipleDomain
Angeblich soll es auch möglich sein, die primäre Domäne direkt zu konvertieren. Ich hatte damit aber nicht immer erfolgt, da die ADFS-ClaimRules anscheinend nicht immer angepasst werden. Eine Testserie mit verschiedenen Versionen habe ich dazu aber nun nicht gemacht.
Update-MsolFederatedDomain ` -DomainName <Name der einen vorhanden Domäne> ` -SupportMultipleDomain
Damit wird diese Domäne nun auch so eingetragen, dass weitere UPN-Domänen addiert werden können. Dies geht dann wieder wie schon ausgeführt:
Convert-MsolDomainToFederated -DomainName <domain2> -SupportMultipleDomain Convert-MsolDomainToFederated -DomainName <domain3> -SupportMultipleDomain Convert-MsolDomainToFederated -DomainName <domain4> -SupportMultipleDomain
Eine Kontrolle der Änderungen ist dennoch angeraten.
Get-MsolFederationProperty ` -DomainName <domain> # Wundern Sie sich nicht, dass im Feld FederationServiceIdentifier ein Hostname erscheint, den es nicht gibt. #ggfls auch noch einmal aktualisieren mit Update-MsolFederationProperty ` -DomainName <domain>
Für die Unterstützung verschiedener
UPN-Domains ist es nicht erforderlich, dass diese Domains in
den Zertifikaten des ADFS-Servers auftauchen. Es reicht
also, wenn der ADFS-Service unter eine öffentlichen URL mit
einem vertrauenswürdigen Zertifikat erreichbar ist. Das ist
ein Vorteil gegenüber Exchange (Autodiscover) und Skype for
Business (LyncDiscover und Access Edge SIP-Adresse).
Wundern Sie sich auch nicht, wenn im FederationIdentifier ein HTTP statt HTTPS steht. Diese URL ist nur für die Erkennung und Zuordnung des Request maßgeblich aber wird vom Client oder Server nicht wirklich genutzt.
-
How to federate multiple Azure
AD instances with single ADFS
https://www.msb365.blog/?p=1635 -
Nice to Know–Adding a second
federated domain in ADFS fails
if –SupportMultipleDomain was
not used in the first place
https://deploymentbunny.com/2015/02/07/nice-to-knowadding-a-second-federated-domain-in-adfs-fails-if-supportmultipledomain-was-not-used-in-the-first-place/ -
SupportMultipleDomain is not
supported here
https://exitcodezero.wordpress.com/2013/03/05/supportmultipledomain-is-not-supported-here/ -
Support multiple Domain switch
when managing SSO to Office 365
http://blogs.technet.com/b/abizerh/archive/2013/02/06/supportmultipledomain-switch-when-managing-sso-to-office-365.aspx -
Office365 Support for Multiple
Top Level Domains
https://mshiyas.wordpress.com/2012/06/07/office365-support-for-multiple-top-level-domains/ -
AD FS 3.0 Configuring SSO for
Multiple Domains/UPN Suffixes
http://blog.ryanbetts.co.uk/2015/09/ad-fs-30-configuring-sso-for-multiple.html - 2647048 How to update or repair the settings of a federated domain in Office 365, Azure, or Intune
-
Support for multiple Top Level
Domains
https://community.office365.com/en-us/w/sso/support-for-multiple-top-level-domains - Unterstützung mehrerer Domänen für den Verbund mit Azure AD
https://docs.microsoft.com/de-de/azure/active-directory/active-directory-aadconnect-multiple-domains - Nice to Know–Adding a second federated domain in ADFS fails if –SupportMultipleDomain
was not used in the first place
https://deploymentbunny.com/2015/02/07/nice-to-knowadding-a-second-federated-domain-in-adfs-fails-if-supportmultipledomain-was-not-used-in-the-first-place/ - SupportMultipleDomain is not supported here
https://exitcodezero.wordpress.com/2013/03/05/supportmultipledomain-is-not-supported-here/ - AD FS 3.0 Configuring SSO for Multiple Domains/UPN Suffixes
http://blog.ryanbetts.co.uk/2015/09/ad-fs-30-configuring-sso-for-multiple.html - DirSync: How To Switch From Single Sign-On To Password Sync
https://social.technet.microsoft.com/wiki/contents/articles/17857.dirsync-how-to-switch-from-single-sign-on-to-password-sync.aspx#Timing_Considerations
Rückstellung auf Passwordsync, um die Konfiguration zu ändern - 2647048 How to update or repair the settings of a federated domain in Office 365, Azure, or Intune
- Multiple Domain Support for Federating with Azure AD
https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-multiple-domains