Automatisierter Verbindungsaufbau zu Microsoft Azure
Selbstverständlich ist es UCS erst möglich, Microsoft Benutzerkonten ohne Administratoreneingriff im Hintergrund bereitzustellen, nachdem in UCS eine sichere Verbindung zur Microsofts Cloud konfiguriert wurde, genauer gesagt zum Azure Active Directory (AAD). Um das zu erleichtern, haben wir für Sie einen Wizard gebaut, der Sie am Anfang der Connector-Installation Schritt für Schritt durch den gesamten Vorgang begleitet.
Ist die Konfiguration abgeschlossen, können Sie als Administrator Benutzer in der Univention Management Console (UMC) auswählen und für sie Office 365 Konten anlegen, die diejenigen dann anschließend per Single Sign-on nutzen können.
Nur ausgewählte Attribute der UCS Benutzerkonten, also Vorname, Nachname, Telefonnumer, etc. werden von den UCS Konten in die Microsoft Cloud synchronisiert. Über die Univention Configuration Registry (UCR) entscheiden Sie selbst, welche das sind. Ebenfalls bestimmen Sie dort auch, ob die Werte anonymisiert, statisch auf einen bestimmten Wert gesetzt oder korrekt kopiert werden sollen.
Voraussetzungen für die Installation
Für den Einsatz des Office 365 Connectors benötigen Sie ein Microsoft Office 365 Administratorkonto, ein entsprechendes Konto im AAD sowie eine von Microsoft verifizierte Domäne. Microsoft stellt hierbei die ersten beiden kostenlos für Testzwecke zur Verfügung. Für das Konfigurieren des SSO brauchen Sie jedoch eine eigene Internet-Domäne, in der Sie TXT-Records erstellen können.
Sollten Sie noch keine Office 365 Subskription haben, gehen Sie zu https://www.office.com/ und wählen ganz unten „Kostenlos testen“ aus. Mit einem privaten Microsoft Konto kann keine Verbindung zu UCS hergestellt werden.
Sobald Sie diese haben, loggen Sie sich mit Ihrem Office 365 Administratorkonto im Office 365 Admin Center ein und wählen Sie in der linken Navigationsleiste ganz unten „Azure AD“ aus. Sie gelangen dann über ein neues Fenster ins Azure Management Portal. Möglicherweise müssen Sie hier weitere Registrierungsformulare ausfüllen.
Am Ende sollten Sie nun ein eigenes Active Directory in Azure haben. Wählen Sie es aus und navigieren Sie zu „Domänen“. Ihre eigene Domäne können Sie hier hinzufügen und verifizieren lassen. Dafür müssen Sie einen TXT-Record im DNS für Ihre Domäne erzeugen, was einige Minuten dauern wird.
Ist alles erfolgreich verlaufen, wird für Ihre Domäne der Status „überprüft“ angezeigt. Jetzt können Sie den Microsoft Office 365 Connector im App Center installieren und den Wizard starten. Sie können ihn dabei auf einem DC Master oder Backup installieren.
Benutzung des Connectors
Nach der Konfiguration können Sie den Connector sofort einsetzen. Sobald Sie Office 365 für ein UCS Benutzerkonto freischalten, wird für diesen Nutzer automatisch ein eigenes Microsoft Konto angelegt und mit einer Lizenz versehen.
Sämtliche Informationen über den Verbrauch und die Zuweisung aller Lizenzen können Sie im Office 365 Admin Center einsehen.
Ihre Nutzer erhalten den schnellsten Zugang direkt über ihre eigene UCS Portalseite. Dort klicken sie einfach auf das Office 365 Symbol und landen dann direkt auf der UCS Single Sign-On Seite. So sparen sie sich das doppelte Eingeben ihres Benutzernamens. Das Benutzerpasswort wird dabei, wie gesagt, nicht zu Microsoft übertragen.
One Way Sync
Der Connector arbeitet nur von UCS in Richtung Office. Das heißt, Benutzer werden nur von UCS zum Microsoft Verzeichnis synchronisiert und nicht andersherum.
Achtung: Änderungen an Usern, die Sie im Azure AD oder Office Portal vornehmen, können unter Umständen durch Änderungen an denselben Attributen in UCS vom Connector überschrieben werden.
Leider kann der Connector aufgrund neuer Sicherheitsrichtlinien bei Microsoft keine Benutzer oder Gruppen im Azure AD löschen. Sie werden bei Deaktivierung der Office Option in UCS daher in Azure nur deaktiviert und umbenannt. Es werden ihnen alle Lizenzen entzogen, sodass diese für andere Benutzer zur Verfügung stehen und keine Kosten verursachen. Benutzer und Gruppen, deren Namen mit ZZZ_deleted_ anfangen, können Sie einfach im Office 365 Admin Center löschen.
Wichtiges für die Konfiguration
Microsoft verlangt zu wissen, in welchem Land die Benutzer des Office 365 Dienstes arbeiten. Der Connector nutzt dafür die Angabe des „Landes“ aus den Kontaktdaten des Benutzers oder, wenn nicht gesetzt, die Einstellungen des Servers. Ein 2-Zeichen-Kürzel wie DE kann aber fest mithilfe der UCR Variablen office365/attributes/usageLocation vorgegeben werden. Aus rechtlichen Gründen empfehlen wir diese Variable zu setzen.
Für die UCS Benutzerkonten, bei denen Office 365 aktiviert wurdeFür die UCS Benutzerkonten, bei denen Office 365 aktiviert wurde, werden entsprechende Konten im Microsoft Verzeichnis angelegt und ausgewählte Kontoattribute zu diesem synchronisiert. Über diverse UCR Variablen können Sie konfigurieren, was synchronisiert werden soll.
Über die UCR Variable office365/attributes/sync wird konfiguriert, welche LDAP Attribute (z. B. Vorname, Nachname, etc.) eines Benutzerkontos synchronisiert werden. Es handelt sich um eine kommaseparierte Liste von LDAP Attributen. Entfernen Sie die Attribute aus der Liste, die Sie nicht synchronisieren wollen oder leeren Sie sie komplett, um keine Daten außer dem Benutzernamen zu synchronisieren.
Änderungen an UCR Variablen werden erst nach dem Neustart des Listeners umgesetzt:
service univention-directory-listener restart
Konfiguration für Fortgeschrittene
Mit der UCR Variablen office365/attributes/anonymize können kommasepariert LDAP Attribute angegeben werden, die zwar bei Microsoft angelegt, jedoch mit Zufallswerten gefüllt werden. Die UCR Variablen office365/attributes/static/.* erlauben Ihnen das Füllen von Attributen auf Microsoft Seite mit einem festen, vordefinierten Wert.
Mit der UCR Variablen office365/attributes/never können Sie kommasepariert LDAP Attribute angeben, die nicht synchronisiert werden sollen, selbst wenn sie in office365/attributes/sync oder office365/attributes/anonymize auftauchen.
Die UCR Variablen office365/attributes/mapping/.* definieren eine Abbildung der UCS LDAP Attribute zu Azure Attributen. Diese Variablen müssen Sie normalerweise nicht verändern.
Sie können die UCR Variable office365/groups/sync aktivieren, um die Gruppen der für Office 365 aktivierten Benutzer zu synchronisieren.
Wenn es Schwierigkeiten geben sollte, kann Ihnen das Logfile helfen. Durch Aktivieren der UCR Variablen office365/debug/werror werden Debug-Ausgaben auf die „Error“-Stufe gehoben und erscheinen in /var/log/univention/listener.log.
