Microsoft® Office 365Správa identit & synchronizace identit
Agenda• Možnosti správy identit• Architektura a možnosti• Federovaná autentifikace• Scénáře nasazení
Funkce Office 365 - Identity• Password policy – kontrola pro Microsoft Online IDs
− Nelze kontrolovat komplexnost− Heslo nesmí obsahovat username atp…− Pomocí PoweShellu lze změnit:
− Expiraci hesla, kdy se účet zamkne a kdy se odemkne
• Single sign-on (SSO) s On-Premise Active Directory
• Directory Synchronization – inovováno
• RBAC: pět administrativních rolí− Company Admin− Billing Admin− User Account Admin− HelpDesk Admin− Service Support Admin
• “Admin on behalf of” pro podporu partnery
Zákazník on-premises
Možnosti identit• Microsoft Online IDs• Microsoft Online IDs + Microsoft Online Services Directory Synchronization• SSO + DirSync
ADADMS Online
Directory Sync
IdentityServices
Provisioningplatform
Provisioningplatform Lync
OnlineLync
Online
SharePointOnline
SharePointOnline
ExchangeOnline
ExchangeOnline
Active DirectoryFederationServer 2.0
Trust
IdPDirectory
StoreDirectory
Store
Admin Portal/PowerShell
Admin Portal/PowerShell
Office 365Desktop
Setup
Microsoft Online Services
IdP
Authenticationplatform
Authenticationplatform
Srovnání možností identit
Určeno pro• Menší organizace bez
Active Directory
Pro• Žádné servery
on-premise
Proti• Bez SSO• Bez 2FA• Správa dvou sad
credentials s různýmipass. politikami
• IDs řešena v cloudu
Určeno pro• Menší organizace bez
Active Directory
Pro• Žádné servery
on-premise
Proti• Bez SSO• Bez 2FA• Správa dvou sad
credentials s různýmipass. politikami
• IDs řešena v cloudu
Určeno pro• Střední/velké s
AD on-premise
Pro• Uživatelé a skupiny v AD
on-premise• Možné scénáře
koexistence
Proti• Bez SSO• Bez 2FA• Správa dvou sad
credentials s různýmipass. politikami
• Deployment serveru prosynchronizace
• Nyní pouze s AD
Určeno pro• Střední/velké s
AD on-premise
Pro• Uživatelé a skupiny v AD
on-premise• Možné scénáře
koexistence
Proti• Bez SSO• Bez 2FA• Správa dvou sad
credentials s různýmipass. politikami
• Deployment serveru prosynchronizace
• Nyní pouze s AD
Určeno pro• Podniky s AD
on-premise
Pro• SSO s AD credentials• IDs řešeny v on-premise• Password policy
kontroloványon-premise
• 2FA řešení možné• Možné scénáře
koexistence
Proti• ADFS HA
(vysoká dostupnost)
Určeno pro• Podniky s AD
on-premise
Pro• SSO s AD credentials• IDs řešeny v on-premise• Password policy
kontroloványon-premise
• 2FA řešení možné• Možné scénáře
koexistence
Proti• ADFS HA
(vysoká dostupnost)
Přihlášení do Office 365• Office 365 Desktop setup vyžadován pro tlusté klienty (Lync, Outlook)
− Instaluje updaty klienta a OS a zajistí nejlepší způsob přihlášení− Není vyžadován pro přihlášení na kiosku (např. OWA)
• Výzva k zadání hesla− Tlustý klient umí uložit do OS, Webová aplikace si
„umí zapamatovat“− Při změně hesla nebo expiraci je nutné zadat znova
• Zadání single-sign− Publikování “Smart Links” pro uživatele. Nedoménové PC budou ale
stále vyžadovat ověření− Uživatelské jméno musí být ve formátu UPN pro realm discovery− Nedoménové PC vyžadují Username Realm Discover a password
(Active Directory credentials)
Co to jsou Smart Links ?• https://portal.microsoft.com – provede se „překlad“
pomocí https://<your_AD_FS_2.0_Server_public_URL>/adfs/ls
• https://sts.contoso.com/adfs/ls/?cbcxt=&vv=&username=johndoe%40contoso.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1292977249%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.microsoftonline.com%252FDefault.aspx%26lc%3D1033%26id%3D271345%26bk%3D1292977249
• https://sts.contoso.com/adfs/ls/?wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1292977249%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.microsoftonline.com%252FDefault.aspx%26lc%3D1033%26id%3D271345
Smart links• http://community.office365.com/en-us/w/sso/using-smart-
links-or-idp-initiated-authentication-with-office-365.aspx
Přihlašování
Win7/Vista/XP
Win7/Vista/XP
SSO IDs(domainjoined)
MS Online IDs
OutlookWeb
ApplicationSharePoint
WebApplication
OutlookWeb
ApplicationSharePoint
WebApplicationEach session
ActiveSync,POP, IMAP,Entourage
ActiveSync,POP, IMAP,Entourage
Each SessionNo prompt
Once at setupEach session
Outlook2007 or
2010
Outlook2007 or
2010
Online IDOnline IDOnline IDOnline IDOnline IDOnline ID
Win7/Vista/XP
Win7/Vista/XP
No prompt
Each session
Office 2010,or
Office 2007SP2
Office 2010,or
Office 2007SP2
Online IDOnline ID
Each session
Win7/Vista/XP
Win7/Vista/XP
Lync OnlineLync Online
Each sessionOnline IDOnline ID
Each Session
AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials
SSO IDs(non-domainjoined)
Each sessionEach sessionEach session Each session Each Session
AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials
On-Premise
SSO Setup – nová doména• Microsoft Online PowerShell™ modul pro Windows• Propojení AD FS 2.0 a Microsoft Office 365• Změna v DNS domény (CNAME)• Přidání domény• Firma.cz vs. Firma.local ????
IdentityServices
Provisioningplatform
Provisioningplatform
ActiveDirectory
FederationServer 2.0
ActiveDirectory
FederationServer 2.0
Trust
DirectoryStore
DirectoryStore
Admin Portal/PowerShell
Admin Portal/PowerShell
Authenticationplatform
Authenticationplatform
MSOL PowerShellModule
MSOL PowerShellModule
Microsoft Online Services
Add Domain
RequiredCname
Přidání Trustu- Claim Rules- User Source ID = AD ObjectGUID
Verify-Domain- Active/Mex/Passive- Token certs Current/Next
Update
Single Sign procesy• Konverze domény pro SSO
−Konverze standard domény na SSO
• Konverze zpět z SSO na Standard− všichni uživatelé v cloudu budou muset resetovat heslo
Subdomény jsou automaticky federovány pro SSO
ADFS - certifikáty• Token-signing a token-decrypting mohou být self-signed• Service communications musí být veřejně oveřitelný
(kvůli nedoménovým PC)
14 | Microsoft Confidential
UkázkaPlán pro nasazení ADFS
Identity FederationAuthentication flow (passive/web profile)
Customer Microsoft Online Services
UserSource
ID
Logon (SAML 1.1) TokenUPN:[email protected] User ID: ABC123
Logon (SAML 1.1) TokenUPN:[email protected] User ID: ABC123 Auth Token
UPN:[email protected] ID: 254729
Auth TokenUPN:[email protected] ID: 254729
Identity FederationAuthentication flow (MEX/Rich Client Profile)
Customer Microsoft Online Services
UserSource
ID
Logon (SAML 1.1) TokenUPN:[email protected] User ID: ABC123
Logon (SAML 1.1) TokenUPN:[email protected] User ID: ABC123
Auth TokenUPN:[email protected] ID: 254729
Auth TokenUPN:[email protected] ID: 254729
Identity FederationActive flow (Outlook/Active Sync)
Customer Microsoft Online Services
UserSource
ID
Logon (SAML 1.1) TokenUPN:[email protected] User ID: ABC123
Logon (SAML 1.1) TokenUPN:[email protected] User ID: ABC123
Auth TokenUPN:[email protected] ID: 254729
Auth TokenUPN:[email protected] ID: 254729
Basic Auth CredentialsUsername/PasswordBasic Auth CredentialsUsername/Password
ADFS 2.0 - možnosti nasazení
• Jeden server ADFS 2.0• ADFS 2.0 serverová farma a load-balancer• ADFS 2.0 proxy server nebo UAG/TMG (External Users,
Active Sync, Outlook)
Enterprise PerimeterNetwork
ADFS 2.0ServerProxy
ADFS 2.0ServerProxy
Internaluser
ActiveDirectory
ActiveDirectory
AD FS 2.0Server
AD FS 2.0Server
AD FS 2.0Server
AD FS 2.0Server
ADFS 2.0ServerProxy
ADFS 2.0ServerProxy
19
Příprava na federaci identit• High availability design pro ADFS 2.0• Každý uživatel musí mít UPN• UPN suffix musí odpovídat ověřené doméně v Office 365• UPN Character restrictions
−Pozor na znaky specifické pro znakové sady−Tečka přesně před .@ symbolem
• Uživatelé musí vědět, že se přihlašují pomocí UPN doOffice 365 aplikací−Lze skrýt za SmartLinks
20
Single Forest AD struktura a doporučeníStructure Description Considerations
Shodné domény Interní a externí doména jsoustejné: např. contoso.cz
Žádné zvláštní požadavky
Subdomény Interní doména je subdoménouexterní domény:praha.contoso.cz
Registrace domén musí být vpořadí shora dolů, nejprve tedycontoso.cz
.local doména Interní doména není veřejněregistrovatelnácontoso.local
Vlastnictví domény nelze ověřit• Všichni uživatelé musí mít
nové UPN• Ideální pro uživatele je SMTP
adresaVíce UPN suffixův doméne
Mix uživatelů, kteří mají různéUPNcontoso.com & fabrikam.com
Nutné mít více ADFS serverů,1:1
Multi Forest Více AD forestů, např.(resource/account)
Nyní není podporováno
Silné ověřování• Podporované scénáře
−Přihlášení na PC pomocí smart card− Přihlášení a všechna ověřování pomocí Kerberos protokolu bez
dalších dotazů na Smart Card
−Webové aplikace
• Nepodporované scénáře
−Nedoménové PC (rich apps)/Mobile applications
Client Win7/Vista/XPOutlook 2010 No
Outlook 2007 No
Lync 2010 Yes
SharePointOnline
Yes
WebApplications
Yes
Mobile No
Alternativní proxy• Lze využít Forefront TMG 2010 nebo UAG 2010 SP1
Možnosti Autentikační schéma OmezeníADFSproxy
Vyžaduje autentifikaci stron providera s ADFSproxy přihlašovací stránkou
None
ForefrontTMG
Publikuje ADFS server. Integrace s některýmistrong providery je součástí produktu
Podporováno, každácesta musí býtpublikována separátně
ForefrontUAG SP1
Publikuje ADFS server. Integrace s některýmistrong providery je součástí produktu s flexibilníintegrací
Podporováno, každácesta musí býtpublikována separátně
Synchronizace Identit
Synchronizace adresářů pro IT Pro
• Správa informací pro on-premises intranet a Office 365prostředí na jednom místě
• „Běží jako appliance!
−Nainstalujete a zapomenete
• Chyby se zasílaní emailem a zapisují do logů
−“Žádná zpráva je dobrá zpráva”
Synchronizace adresářů pro uživatele
• Stejné chování Office 365 služeb a On-Premise řešení
−Exchange Server
−Lync™ Server 2010
−SharePoint®
• Možnost koexistence
−Koexistence identit (aka single sign-on, federovanáidentita, federovaná autentifikace)
−Koexistence aplikací
Synchronizace adresářů pro uživateleKoexistence identit• Usnadňuje “Single Sign-On” chování• Pro uživatele: jedna sada přihlašování• Přenos on-premise uživatelů, security skupin, distribučních
skupin do cloudu−Kompletní address book přenesen do Exchange Online−SharePoint Online Access Control List (ACL) pomocí
Security Groups• Stále je možné zakládat uživatele, kontakty, skupiny v
prostředí Office 365
Synchronizace adresářů pro uživateleKoexistence aplikací• Dva typy:
−Jednoduchá koexistence−Bohatá koexistence (rich)• Jednoduchá koexistence:• Jeden konzistentní Address Book• Exchange Online uživatelé mohou dostávat emaily ze svých
validních on-premises proxy adres• Podpora konferenčních místností (Outlook Room Finder)
28
Synchronizace adresářů pro uživateleKoexistence aplikacíBohatá koexistence:• Hybridní deployment
−Fázová migrace (staged)−Data zůstávají v prostředí on-premises z obchodních
nebo právních důvodů• Free/Busy je dostupné uživatelům v prostředí on-premises
a v cloudu
29
Synchronizace adresářů pro uživateleKoexistence aplikací
Bohatá koexistence• Cross-Premise služby
−Zákazníci s on-premises mailboxy mohou mít voicemail vcloudu
−Archivace v cloudu−Koexistence filtrování (safe senders, blocked senders)
30
Kdy použít Directory Synch
• Synchronizace adresáře je dlouhodobá záležitost• Možné scénáře:
Scénáře Použít Dir Sync ?
Úvodní on-boarding/bulk vytvořeníuživatelů NE
Identity Federation ANO
Dlouhodobá migrace/používáníOffice 365 ANO
Částečné přijetí/migrace na službyOffice 365 ANO
Nastavení synchronizace adresářePožadavky
Tři typy požadavků:1) Host OS s běžícím DirSync (32-bit POUZE)
− Microsoft Windows Server® 2003 SP2 x86− Microsoft Windows Server 2008 x86− Nemůže být Domain Controller
2) Active Directory® Domain Services (AD DS) Forest functional levelsynchronizován pomocí nástroje DirSync− Microsoft Windows Server 2000− Microsoft Windows Server 2003 (minimální pro Exchange koexistenci)− Microsoft Windows Server 2008− Microsoft Windows Server 2008 R2
− Známá nekompatibilita s/ Recycle Bin
3) Bohatá koexistence− Vyžaduje Exchange Server 2010 SP1 CAS – licence zdarma− Instalace rozšíření schématu AD pro možnost bohaté koexistence
Jak funguje synchronizaceArchitektura
Synchornizace trvá1-30 vteřin
Jak funguje synchronizaceArchitektura - klient
• Microsoft Windows Server 2003 SP2 or higher (32-bit)• SQL Server 2008 R2 Express
−Pro větší nasazení Microsoft SQL Server® 2005 / 2008−10GB DB size limit• Microsoft Online ID componenty pro autentifikaci
Office 365• Download pro 23 jazyků
34
Jak funguje synchronizaceArchitektura - klient
• Při instalaci oprávnění Enterprise Admin• Vytváří se self-managed account pro účely synchronizace:
−Attribute-level write permissions pro bohatou koexistenci• Dále se používá účet s oprávněními administrátora pro
synchronizaci nájemce−Autentifikace pomoc Sign-in Assistant a s
Microsoft Online ID• Synchronizuje uživatele, skupiny …
−Filtrace objektů a atributů• Synchronizace každé 3 hodiny
Jak funguje synchronizaceArchitektura - klient
• Nejprve “full sync”−Synchronizace všech objektů• Následně “delta sync”
−Pouze změny• Čas replikace závisí na počtu objektů
Jak funguje synchronizaceArchitektura - server
• Synchronizace v dávkách• Uživatelé jsou zakládáni jako Microsoft Online ID pro
přihlášení do Office 365• Všechny objekty se ukládají do Office 365 Directory Store
−jsou zakládány v odpovídajících objednaných službách−(Exchange Online, Lync Online, SharePoint Online)
Jak funguje synchronizaceArchitektura – limity synchronizace
• Uvodní limit je 10,000 objektů−“objekt” = uživatelé, bezpečnostní skupiny, distribuční
seznamy (query based ?), kontakty−Při vyšším počtu kontaktovat support−Jinak limit není• Větší zákazníci (20,000+ uživatelů) mají možnost podepsat
speciální typ subskripce Office 365
• Řešení konfliktů – first win• Chyba s UPN – vyměněn za [email protected]
Validace atributů
Atribut Nejčastější chybyuserPrincipalName • Tečka před zavináčem ‘.’ ‘@’
• Větší než 113 znaků (64 for username, 48 for domain)• Pozor na ! # $ % & \ * + - / = ? ^ _` { | } ~ < > ( )• Duplicitní UPNs
samAccountName • Obsahuje “ \ / [ ] : | < > + = ; ? ,• Nesmí končit teškou ‘.’• Ne více než 20 znaků• Nesmí být prázdný
proxyAddresses • Nesmí obsahovat SMTP adresy doménneregistrovaných v předplatném• Nesmí obsahovat duplicitní adresy
SynchronizaceZápis do on-premises AD
• Pokud je vypnuta bohatá koexistence, DirSync nezapisujedo on-premises AD• Pokud je zapnuta bohatá koexistence, DirSync modifikuje
následujících 6 atributů:Atribut Vlastnost
SafeSendersHashBlockedSendersHashSafeRecipientHash
Filtering Coexistencezapíná on-premises filtrování cloud safe/blocked sender info
msExchArchiveStatus Cloud ArchivePovoluje uživatelům archivovat emaily v Office 365
ProxyAddresses (cloudLegDN) Mailbox off-boardingPovoluje přenést mailbox zpět do on-premise systému
cloudmsExchUCVoiceMailSettings Voicemail coexistenceon-premises mailbox využívá Lync Server 2010 v cloudu
Obvyklé otázky• Filtering
−Není podporován−Automated “scoping out” can lead to data loss (user
mailboxes!)
• HA pro DirSync−DirSync nástroj nelze mít v HA
Poznámka: pokud DirSync neběží, identity v Office 365 jsou„zamrzlé“, ale ostatní běží (Federated Authentication…..)
Obvyklé otázky• Velikost a škálování ?
−Directory Sync používá Microsoft! (~1M objektů)−Více než 50K+ objektů – plná verze SQL
Chystá se …• 64-bit Directory Sync client bude vydán záhy• Zajišťuje Windows Server 2008 R2 Recycle Bin object re-
animation (nepodporován na 32-bit DirSync klientu)
• Podpora pro multiforest synchronizaci - 2012
Nezapomeňte• Objekty jsou spravovány on-premise
−Musíte je zde také updatovat• Zastavení DirSyncu
−Nelze deaktivovat DirSync via Microsoft Online Portal− Klienta lze vypnout− Deaktivace DirSync bude zabudována později
−Nelze smazat synchronizované uživatele dokud jenesmažete z prostředí on-premise
Doménu lze smazat až poté, co v ní nejsou uživatelé
Top Related