Azure Basics: Azure AD User Pricipal Name – UPN

Auch beim Thema Azure AD User Principal Name gilt: Eine sorgfältige Planung ist, wie fast immer in der IT, eine Grundvoraussetzung für eine erfolgreiche Implementierung. Dies gilt auch für die Einrichtung und Anbindung von Cloud Services. Der Cloud Hype verspricht uns eine problemlose und einfache Umsetzung. In der Praxis zeigt sich dann, dass es von Vorteil ist, sich im Vorfeld ein paar Gedanken zu machen. Aus diesem Grund möchte heute das Thema Azure AD „User Principal Name“ kurz UPN etwas näher betrachten.

Azure AD User Principal Name (UPN) und sAMAccountName

In der OnPremise Active Directory Domain ist der sAMAccountName innerhalb einer Domain eindeutig, er kann nicht doppelt vorkommen. Eine Art sAMAccountName gibt es in der Azure AD Domain nicht, hier ist der UPN das eindeutige Merkmal eines Benutzerkontos.

In der Standardkonfiguration setzt sich also der Azure AD UPN so zusammen:
username@<E-Mail der LifeID>.onmicrosoft.com.

Mit E-Mail der LifeID ist die E-Mail Adresse der LifeID gemeint (ohne „@“), mit welcher die Azure Subscription initial eingerichtet wurde. Mit diesem Trick erreicht Microsoft, dass die UPN Suffixes der Azure AD Konten eindeutig sind.

Azure AD User Principal Name zur Anmeldung

Die Anmeldung an Azure Cloud Services, wie z.B. O365, erfolgt über den UPN. Spätestens hier stellt man fest, dass eine Planung des Namensraums wichtig ist. Es sei denn, man möchte den Anwendern zumuten sich mit „vorname.nachname@LifeId-Domainsuffix.onmicrosoft.com“ anzumelden. Noch wichtiger wird dieser Punkt, wenn man über die Einrichtung einer Federation mittels ADFS nachdenkt. Bei sog. Federated Accounts wird die Anmeldung an die lokale Active Directory Domain mittels ADFS (oder einem Federation Service anderer Anbieter) weitergeleitet. Diese Weiterleitung erfolgt aufgrund des UPN Suffix des Azure AD Benutzerkontos, was uns zum nächsten wichtigen Punkt führt:

Registrieren des UPN Suffixes

Viele Unternehmen folgen der Empfehlung und registrieren den DNS Namen der lokalen Active Directory Domain „im Internet“. Dies stellt sich bei der Anbindung an Cloud Services als Vorteil heraus, da diese Domains registriert und somit auflösbar sind. Daher können sie für das Routing genutzt werden. In diesem Fall kann der automatisch gebildete UPN (sAMAccountName@AD-Domain) bereits für die ADFS Delegation in Azure AD genutzt werden.

UPN Suffix in SSL Zertifikat für die Federation hinterlegen

Damit die Federation mit Azure AD eingerichtet werden kann, muss unter anderem ein SSL Zertifikat für den UPN Suffix erstellt werden. Da dieses Zertifikat von einer öffentlichen Zertifizierungsstelle (CA) ausgestellt werden muss, steht man mit einer nicht registrierten DNS Domain erneut vor Problemen.

Ein brauchbarer Domain Name

Wenn die lokale AD Domain z.B. einen DNS Namen wie „firma.local“ trägt, steht man vor den oben genannten Problemen. Die Domain lässt sich nicht registrieren und es werden keine „offiziellen“ SSL Zertifikate dafür ausgestellt. Man könnte die lokale AD Domain umbenennen und den neuen Namen registrieren – Scherz bei Seite, es gibt eine einfacherer Möglichkeit. Wir fügen der lokalen AD Domain eine weiteren UPN Suffix hinzu, welcher im Internet registriert werden kann. Die einfachste Möglichkeit ist hier oft die Nutzung der E-Mail Adresse. Der DNS Suffix der E-Mail Adresse ist bereits registriert, die Adressen sind bereits eindeutig und die Anwender kennen es bereits. Der letzte Punkt ist ein wichtiges Argument, da die Anwender diese Adresse nutzen werden um sich an den Cloud Services anzumelden. Je besser diese Adresse bekannt ist, desto einfacher wird die Umstellung.

Neuer UPN in lokaler AD Domain

Die Einrichtung ist sehr einfach, wenn auch etwas versteckt. Die Verwaltungskonsole „Active Directory Domains and Trusts“ ermöglicht die Einrichtung. Die Eigenschaften des obersten Knotens „Active Directory Domains and Trusts“ eröffnen einen Dialog zum Hinzufügen eines weiteren Suffix. (Ja, richtig, nicht die Eigenschaften der Domain, sondern darüber).

In diesem Beispiel wurde der UPN Suffix „univice.net“ hinzugefügt:

Neuer UPN in Benutzerkonten

Damit der UPN zur Anmeldung genutzt werden kann, muss den Benutzerkonten in der lokalen AD Domain dieser Suffix als UPN hinzugefügt werden. Dies kann manuell über die Verwaltungskonsole „Active Directory Users and Computers“ erfolgen oder aber natürlich per PowerShell.

Mit dem PowerShell cmdLet Set-ADUser kann über den Parameter „-UserPricipalName“ ein neuer UPN hinzugefügt werden. Dieser TechNet Blog beschreibt sehr anschaulich, wie diese Änderung z.B. für aller Benutzerkonten einer OU angewendet werden kann: Link zum Technet Blog

Eine zusätzliche Domain in Azure AD

Der DNS Suffix, welcher für den lokalen UPN genutzt wird, muss aber ebefalls im Azure AD bekannt gemacht werden. Microsoft hat hier eine Sicherheitsüberprüfung eingebaut, um zu verhindern das Domains falsch oder unberechtigt zugeordnet werden. In der Azure Verwaltungskonsole (classic) kann unter „Standardverzeichnis\Domänen > Benutzerdefinierte Domäne hinzufügen“ eine zusätzliche DNS Domain hinzugefügt werden. Der Dialog zeigt im nächsten Schritt einen TXT Eintrag an, welcher in der DNS Zone im Internet registriert werden muss. Dieser Eintrag wird von der Azure Verwaltungskonsole abgefragt. Sobald der Eintrag erfolgreich per DNS aufgelöst werden kann, gilt die DNS Zone als erfolgreich in Azure AD registriert. Wer berechtigt ist neue Einträge in einer DNS Zone vorzunehmen ist aus Microsoft Sicht auch berechtigt die Zone in Azure AD zu registrieren.

Beispiel einer Nslookup Abfrage mit dem Type TXT:

Zusammenfassung

Das Übersichtsbild zeigt die DNS Namensauflösung für den UPN „@univice.net“ und das Routing der Anmeldung über den lokalen ADFS Server an den Domain Controller. (Der Web Application Proxy WAP wurde zur besseren Übersicht weggelassen).

Fazit zu Azure AD User Principal Name

Die Planung des DNS Namensraums für eine Azure AD Anbindung ist wichtig und hat Auswirkungen auf die Darstellung für den Anwender. Wenn Sie Unterstützung für die Planung und Umsetzung Ihrer Cloud-Anbindung suchen, sprechen Sie uns an, die Experten der Firstattribute AG unterstützen Sie gerne.  Somit sollte das Thema Azure AD User Principal Name und ADFS  also keine Schwierigkeit mehr für Sie sein. Sollten Sie Fragen haben, kontaktieren Sie uns.