Jump to content

UPN nachträglich ändern - alternative Login ID


Direkt zur Lösung Gelöst von _Chris_,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

möglicherweise wurde dies schon diskutiert, dann bitte verlinken.

 

folgende Ausgangssituation:
 

  • Server 2012 R2 AD
  • kein ADFS
  • UPN ist mit USERNAME@TLD configuriert
  • die TLD ist keine Maildomain
  • Azure AD Connect läuft seit einem Jahr
  • Anmeldung bei Azure AD per UPN des AD

 

folgendes Ziel:
 

  • Im Azure AD soll die UPN-Anmeldung auf Mail geändert werden.

 

Bei einer Neuinstallation könnte ich bei Azure AD Connect einfach das Azure AD Sign-in auf "mail" statt UPN ändern.

 

Was mache ich bei einem bereits laufenden connect?

Dieses Feature ist offenbar nur bei der Erstkonfiguration vorhanden.

 

Ich habe mich in verschiedene Lösungen eingelesen:

 

  1. Azure AD Connect deinstallieren und wieder neu installieren, dabei neu konfigurieren.
     
  2. ADFS installieren und dort alternative login names aktivieren
     
  3. zusätzliche Domain im AD hinzufügen und die Logon-Names ändern, damit sie den Mailadressen entsprechen.
     
  4. Das zu synchronisierende Attribut im Synchronisation Rules Editor auf "Mail"anpassen.

 

Was ist in der Praxis die richtige Lösung?

 

VG Chris

 

bearbeitet von _Chris_
Grammatik
Link zu diesem Kommentar

Hi Daniel, 

 

danke dir.

 

Habe jetzt Azure AD Connect Deinstalliert, erneut installiert, und "mail" als alternative Login ID ausgewählt.

Grundsätzlich funktioniert es jetzt, nur leider nicht mit bereits bestehenden und wiederaufgenommenen Accounts in Visual Studio Team Services.

(Man landet nach der Anmeldung immer auf der Profiloberfläche des angemeldeten Users mit (korrekt) vorausgefüllten Feldern, kann diese aber nicht bestätigen, da das Feld mit der (korrekten) eMailadresse nicht akzeptiert wird. Support-Anfrage bei MS läuft.)

 

VG Chris

Link zu diesem Kommentar
  • 3 Wochen später...
  • Beste Lösung

Um dieses Thema hier einmal abzuschließen:

 

Offenbar gibt es bei MS einen Bug, der in in genau diesem Zusammenhang steht.

  1. Die Anmeldenamen der User im AD entsprechen keinen echten eMailadressen (in meinem Fall: UPNs mit Funktions-TLD > Catch-All-Postfach für Systemmeldungen)
  2. Man hat Azure AD Connect schon verwendet - das AD (oder Teile des AD) sind bereits mit Azure AD gesynct
  3. man verwendet Visual Studio Team Services, bindet die VSTS als Tenant an das AD an und lädt User des Azure AD zur Arbeit an Projekten ein
  4. die User erscheinen dann mit dem UPN des AD in der Userübersicht, welche immer noch keine eMailadressen sind
  5. Da die UPNs keine echten eMailadressen sind, können der eMail-Einladung nicht direkt folgen. Daher habe ich ihnen die eMails aus dem Catch-All-PF an die entsprechenden User weitergeleitet.
  6. Die User melden sich am VSTS per UPN des AD an und können ab jetzt ihren Code in VS Professional Arbeitsbereich mit dem Projekt der VSTS versionieren/abgleichen.
  7. Ich möchte, dass die User im Web ihre eMailadresse des AD zur Anmeldung verwenden, daher deinstalliere das Azure AD Connect und installiere es neu - Diesmal mit der Alternate Login ID "mail"
  8. Das Anmelde-Attribut "mail" wird von Azure AD Connect im Azure AD überschrieben - die User-IDs im Azure AD bleiben gleich.
  9. User können sich nun an bestimmten MS-Diensten mit ihrem Company-Account anmelden.
  10. Ab jetzt funktioniert die Anmeldung der User mit bereits bestehendem VSTS-Account nicht mehr. Die User kommen zu einer Profilbestätigungsseite, auf der Names-und eMailfelder bereits vorausgefüllt sind - das Klicken des "weiter"-Buttons generiert im korrekt ausgefüllten eMailfeld ein rotes Ausrufungszeichen ohne Beschreibung.
  11. Laut Aussage von MS Support musste nun folgendes im Backend gemacht werden: Da die Visual Studio Online-Profile bereits bestanden, hat der MS Support für VSTS für jeden User einzeln die existierenden Profile mit der Azure AD ID neu verknüpft (?).
  12. Eine Anmeldung der USER am VSTS-Projekt schlägt dann aber mit einer 401-Meldung fehl. Sie haben ein funktionierendes Visual Studio Online-Profil - aber keine Berechtigungen auf das Projekt.
  13. Hiernach muss man als VSTS Admin die User aus der VSTS-Seite entfernen und die User neu zu ihren Projekten einladen.
  14. Die User erhalten dann regulär ihre Einladungs-eMails, können sich einloggen und wieder ihren  Code in VS Professional Arbeitsbereich mit dem Projekt der VSTS versionieren/abgleichen.

Problem gelöst.

Chris

Link zu diesem Kommentar

Hi,

eventuell liegt hier ein Missverständnis vor.

Die User haben alle eine funktionierende eMailadresse, welche im AD-Feld mit dem Attribut "mail" eingetragen ist.

Allerdings ist die AD-Domain keine eMail-Domain und somit sind die UPNs nicht (direkt) emailfähig.

Soweit ich das verstanden habe, hat MS für solche "non routable domains" die Alternate Login ID vorgesehen.

https://docs.microsoft.com/de-de/azure/active-directory/connect/active-directory-aadconnect-user-signin

VG Chris

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...