8
Sharepoint 2013 - ADFS und Single Sign on - Migration
Hallo,
da die Windows Authentifizierung von SharePoint 2013 bei uns nicht so wollte, haben wir nun eine ADFS Umgebung aufgesetzt.
Das funktioniert auch alles soweit.
Jetzt sind aber die alten Konten alle im Format Domäne\Benutzer und der ADFS/SAML will die hinterlegte Email Adresse.
Kann man dem ADFS Beibringen das er die Domäne\Benutzer Kombi nimmt?
Danke schon mal für eure Tipps.
da die Windows Authentifizierung von SharePoint 2013 bei uns nicht so wollte, haben wir nun eine ADFS Umgebung aufgesetzt.
Das funktioniert auch alles soweit.
Jetzt sind aber die alten Konten alle im Format Domäne\Benutzer und der ADFS/SAML will die hinterlegte Email Adresse.
Kann man dem ADFS Beibringen das er die Domäne\Benutzer Kombi nimmt?
Danke schon mal für eure Tipps.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 377470
Url: https://administrator.de/contentid/377470
Printed on: April 25, 2024 at 15:04 o'clock
8 Comments
Latest comment
weil normal nicht geht, wird dazugebastelt und da das auch nix is wird nochmal rumgebastelt.. nix für ungut aber mir wäre das zu blöd.. vielleicht wäre es besser das Standardmäßig hinzukriegen und nicht über 3 Ecken oder?
Bin mir nicht sicher aber das mit der Emailadresse scheint mir sehr komisch du meinst wohl diese Schreibweise des domänenkontos damit: User@domain ?
PS: hatte vor einiger Zeit mal einen 2013er testweise installiert und der lief einwandfrei mit integr. auth, evtl. musst du bloß die Funktionsebene deiner Domäne anheben damit das klappt.
Bin mir nicht sicher aber das mit der Emailadresse scheint mir sehr komisch du meinst wohl diese Schreibweise des domänenkontos damit: User@domain ?
PS: hatte vor einiger Zeit mal einen 2013er testweise installiert und der lief einwandfrei mit integr. auth, evtl. musst du bloß die Funktionsebene deiner Domäne anheben damit das klappt.
Das nennt sich Fully Qualified User Name, nicht E-Mail-Adresse, obwohl beides identisch sein kann.
Ihr solltet, bevor ihr weiter rumbastelt, erstmal AD, DNS checken und das Grundproblem lösen, bevor Ihr noch etwas komplexes obenauf setzt was Euch dann das System komplett still legen kann.
Ihr solltet, bevor ihr weiter rumbastelt, erstmal AD, DNS checken und das Grundproblem lösen, bevor Ihr noch etwas komplexes obenauf setzt was Euch dann das System komplett still legen kann.
@St-Andreas
@Evilmachine
Dein Wunsch sollte sich über Claims entsprechend realisieren lassen. Ich habe dazu aber keine Praxiserfahrung, da ich den Bereich nicht verantworten muss. Falls ihr nur eine Windows Domäne habt, könnte man den Wert sogar definieren und somit nur noch den Benutzernamen abfragen.
Gruß,
Dani
Das nennt sich Fully Qualified User Name, nicht E-Mail-Adresse, obwohl beides identisch sein kann.
du meinst sicher UPN (User Principal Name - username + seperator + upn suffix).@Evilmachine
Dein Wunsch sollte sich über Claims entsprechend realisieren lassen. Ich habe dazu aber keine Praxiserfahrung, da ich den Bereich nicht verantworten muss. Falls ihr nur eine Windows Domäne habt, könnte man den Wert sogar definieren und somit nur noch den Benutzernamen abfragen.
Gruß,
Dani
Hallo,
die Windows Auth ist aber Standard bei SharePoint und sollte definitiv funktionieren.
Habt ihr den eine neue Web-Applikation mit ADFS Auth erstellt ? oder eine vorhanden erweitert ?
Welche Claimrules hast du denn angelegt ? und welche habt ihr auf dem SharePoint definiert ?
MfG Heiko
die Windows Auth ist aber Standard bei SharePoint und sollte definitiv funktionieren.
Habt ihr den eine neue Web-Applikation mit ADFS Auth erstellt ? oder eine vorhanden erweitert ?
Welche Claimrules hast du denn angelegt ? und welche habt ihr auf dem SharePoint definiert ?
MfG Heiko
Zitat von @Dani:
@St-Andreas
Gruß,
Dani
@St-Andreas
Das nennt sich Fully Qualified User Name, nicht E-Mail-Adresse, obwohl beides identisch sein kann.
du meinst sicher UPN (User Principal Name - username + seperator + upn suffix).Gruß,
Dani
Ja. UPN.
Hallo,
nein ich meine in der Tat die Email Adresse.
Diese wird zumindest bei einem Login über ADFS als Benutzername angezeigt.
UPN ist ein anderer.
Nein wir haben ADFS in eine vorhandene Web Applikation eingebaut.
Windows Auth ging nicht bzw, die User mussten teilweise bis zu 5 Mal Ihr Kennwort eingeben damit man sich einloggen konnte.
Als Claim Regel im ADFS habe ich folgendes definiert:
LDAP
UPN zu UPN
Email Adresses zu Email Adresses
UPN zu Rolle
Claims auf dem SharePoint sind wie folgt:
nein ich meine in der Tat die Email Adresse.
Diese wird zumindest bei einem Login über ADFS als Benutzername angezeigt.
UPN ist ein anderer.
Nein wir haben ADFS in eine vorhandene Web Applikation eingebaut.
Windows Auth ging nicht bzw, die User mussten teilweise bis zu 5 Mal Ihr Kennwort eingeben damit man sich einloggen konnte.
Als Claim Regel im ADFS habe ich folgendes definiert:
LDAP
UPN zu UPN
Email Adresses zu Email Adresses
UPN zu Rolle
Claims auf dem SharePoint sind wie folgt:
$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
$upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -IncomingClaimTypeDisplayName "UPN" -SameAsIncoming
$roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming
$sidClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid" -IncomingClaimTypeDisplayName "SID" -SameAsIncoming
Hi,
wie sollen sich denn die User anmelden, per E-Mail oder per Windows Accountname oder beides ?
Oder sollen die User zu SAML migriert werden ?
Hier mal der Hinweis ....
The -IdentifierClaimIs can only be ACCOUNT-NAME, EMAIL, or USER-PRINCIPAL-NAME
https://blogs.technet.microsoft.com/adamsorenson/2018/01/17/sharepoint-2 ...
Im Moment geht ja nur UPN und E-mail per Claim bei dir.
MfG
wie sollen sich denn die User anmelden, per E-Mail oder per Windows Accountname oder beides ?
Oder sollen die User zu SAML migriert werden ?
Hier mal der Hinweis ....
The -IdentifierClaimIs can only be ACCOUNT-NAME, EMAIL, or USER-PRINCIPAL-NAME
https://blogs.technet.microsoft.com/adamsorenson/2018/01/17/sharepoint-2 ...
Im Moment geht ja nur UPN und E-mail per Claim bei dir.
MfG
Die sollen sich ja gar nicht mehr von Hand anmelden.
Die sollen zu SAML migriert werden damit nicht mehr alle paar Minuten eine Windows Auth Anfrage kommt.
Die sollen zu SAML migriert werden damit nicht mehr alle paar Minuten eine Windows Auth Anfrage kommt.
