Definition

Benutzerprinzipalname, User Principal Name (UPN)

In Microsoft Active Directory ist ein User Principal Name (UPN) oder Benutzerprinzipalname ein Benutzername und eine Domäne in einem E-Mail-Adressformat. In einem UPN folgt auf den Benutzernamen ein at-Zeichen (@), gefolgt von der Internet-Domäne des Active Directory.

Ein Beispiel für einen UPN ist [email protected]. Dabei ist tomw der Benutzername und corp.techtarget.com ist der vollqualifizierte Domänenname (FQDN) der Domäne und die registrierte Webadresse als Suffix. Der NetBIOS-Name der Domäne ist corp. Der UPN wird anstelle des nachrangigen Anmeldenamens corp\tomw verwendet.

Alle Active-Directory-Benutzerkonten müssen einen UPN haben. Ein impliziter UPN wird vom System bei der Kontoerstellung generiert, wenn der Administrator ihn nicht händisch erstellt. Jeder UPN muss in der Domäne eindeutig sein.

UPNs sind nützlich, weil sie der Compliance eher entsprechen, als die Nutzung des nachrangigen Anmeldenamens mit einem Backslash. Sie basieren auf dem Internet-Standard RFC 822. Dadurch können sie für die Authentifizierung bei Webdiensten und Nicht-Windows-Betriebssystemen verwendet werden. Der UPN eignet sich für föderierte, SAML- und OAuth-Szenarien.

Services in Active Directory im Überblick
Abbildung 1: Der Benutzerprinzipalname in Microsoft Active Directory ist ein für E-Mail-Adressen formatierter Benutzername und eine Domäne.

Ist ein UPN dasselbe wie eine E-Mail-Adresse?

Ein UPN ist nicht dasselbe wie die E-Mail-Adresse des Benutzers. In vielen Fällen lauten sie sich aus Gründen der Benutzerfreundlichkeit gleich, doch UPN und E-Mail haben unterschiedliche interne Verwendungszwecke und sind in unterschiedlichen Active-Directory-Attributen definiert. Administratoren können UPN und E-Mail-Adresse beliebig verschieden voneinander festlegen. Der UPN und die E-Mail-Adresse sind außerdem dann unterschiedlich, wenn der FQDN der Domäne nicht über das Internet geroutet werden kann und eine andere Webdomäne benötigt wird, damit die E-Mail funktioniert.

Wenn der UPN eines Benutzers und die primäre E-Mail-SMTP-Adresse unterschiedliche Werte haben, führt dies zu Problemen. So nutzt beispielsweise ein ActiveSync-E-Mail-Client die E-Mail-Adresse, um den richtigen Server automatisch zu finden, und dann die E-Mail-Adresse als Anmeldenamen verwenden. Wenn der UPN und die E-Mail-Adresse jedoch unterschiedlich sind, muss der Benutzer die Serveradresse manuell eingeben und dann den ähnlich aussehenden, aber unterschiedlichen Benutzernamen hinterlegen.

UPN und Azure Active Directory

Microsoft Windows Azure Active Directory ist eine Cloud-basierte Implementierung von Active Directory. Es verwendet UPN als Benutzernamen oder primäre Kontoidentität. Während ein Benutzer bei der On-Premises-Authentifizierung nur seinen Benutzernamen eingeben muss, muss der Benutzer bei Azure AD fast immer seinen vollständigen UPN eingeben.

Standardmäßig ist der UPN in Azure AD auf [email protected] eingestellt, um einen weltweit eindeutigen Wert zu gewährleisten. Wenn ein Internetdomänenname von Azure AD verifiziert wurde, kann diese Domäne als UPN-Suffix dienen. Der UPN eines Benutzers lässt sich mit Remote-PowerShell-Befehlen ändern.

Es ist möglich, in Azure eine alternative Anmelde-ID anstelle des UPNs festzulegen. Das ist sinnvoll, wenn die E-Mail-Adresse und der UPN aufgrund von Richtlinien- oder Anwendungsabhängigkeit unterschiedlich sein müssen. Der Benutzer meldet sich dann mit seiner vertrauten E-Mail-Adresse statt mit seinem UPN an.

Diese Definition wurde zuletzt im Dezember 2022 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)

ComputerWeekly.de
Close