Quick Tipp #6: Kostenlose SSL Zertifikate

Update 11/2016: Leider wurde StartCom von Mozilla, Google und Apple das Vertrauen entzogen, nachdem Unregelmäßigkeiten bei WoSign aufgefallen waren (StartCom wurde von WoSign übernommen). Neue Zertifikate von StartCom und WoSign werden von diesen Browsern vorerst als nicht vertrauenswürdig eingestuft und sollten somit nicht mehr verwendet werden. StartCom arbeitet bereits daran, wieder als vertrauenswürdig eingestuft zu werden, … weiterlesenQuick Tipp #6: Kostenlose SSL Zertifikate

Quick Tipp #4 (Office365): Einschränken der ADFS-Anmeldung

In Office 365 Deployments kommt immer wieder die Frage, wie man verhindern kann, dass der Zugriff auf diese Dienste außerhalb des Firmennetzes nicht gestattet werden kann. Hat man im Unternehmen ADFS zur Authentifizierung im Einsatz, kann dieses Verhalten über die Claim Rules definiert werden – nicht schön, aber möglich. Das Ganze ist (inkl. Beispiele) ist … weiterlesenQuick Tipp #4 (Office365): Einschränken der ADFS-Anmeldung

ADFS, Office 365 und Subdomains

Wer ADFS für die Authentifizierung mit Office 365 nutzt, ist eigentlich von den Automatismen und Assistenten, die die Einrichtung und Konfiguration der zu den Diensten gehörenden Parameter übernehmen, sehr verwöhnt. Um so schlimmer, wenn das dann mal genau nicht funktioniert – wie in einem meiner letzten Projekte geschehen, und zwar in Verbindung mit der Authentifizierung in einer Subdomain.

Ich habe einen Kunden, der für seine verschiedenen Ländergesellschaften Subdomains im Active Directory pflegt. Die übergeordnete Domäne heißt dann etwa contoso.com, die deutsche Subdomain de.contoso.com, die frankzösische fr.contoso.com und so weiter. Demnach lauten dann auch die UPN der Mitarbeiter etwa klaus.deutsch@de.contoso.com oder henry.blanc@fr.contoso.com. In Office 365 haben wir entsprechend die Root Domain, als auch die zugehörigen Subdomains eingerichtet, so dass wir die Mitarbeiter der verschiedenen Gesellschaften auch alle über einen Tenant verwalten können. Da es sich um eine gemeinsame Struktur handelt, haben wir auch eine gemeinsame ADFS-Infrastruktur.

Fehlermeldung beim O365 LoginBeim Einrichten der Federation kommt nun schon die erste Abweichung zum normalen vorgehen: Anstatt jede Domain einzeln auf Federation umzustellen (PowerShell: Convert-MsolDomainToFederated), konvertiert man nur die Root Domain – die restlichen Subdomains erben die Einstellung und werden automatisch mit umgestellt. Ansonsten funktioniert die Einrichtung von DirSync, ADFS und Co. weitestgehend ähnlich. Beim ersten Test der Anmeldung mit einem Benutzer einer Subdomain stellte sich allerdings das folgende Problem ein:

Leider können wir Sie nicht anmelden. Es wurde eine ungültige Anmeldung empfangen.

AADSTS50107: Requested federation realm object ‚http://de.contoso.com/adfs/services/trust/‘ does not exist.

weiterlesenADFS, Office 365 und Subdomains

%d Bloggern gefällt das: