Microsoft® Office 365

Microsoft® Office 365
Správa identit & synchronizace identit
Agenda
• Možnosti správy identit
• Architektura a možnosti
• Federovaná autentifikace
• Scénáře nasazení
Funkce Office 365 - Identity
• Password policy – kontrola pro Microsoft Online IDs
− Nelze kontrolovat komplexnost
− Heslo nesmí obsahovat username atp…
− Pomocí PoweShellu lze změnit:
− Expiraci hesla, kdy se účet zamkne a kdy se odemkne
• Single sign-on (SSO) s On-Premise Active Directory
• Directory Synchronization – inovováno
• RBAC: pět administrativních rolí
− Company Admin
− Billing Admin
− User Account Admin
− HelpDesk Admin
− Service Support Admin
• “Admin on behalf of” pro podporu partnery
Možnosti identit
• Microsoft Online IDs
• Microsoft Online IDs + Microsoft Online Services Directory Synchronization
• SSO + DirSync
Microsoft Online Services
Zákazník on-premises
Active Directory
Federation
Server 2.0
IdP
AD
MS Online
Directory Sync
Office 365
Desktop
Setup
Trust
Admin Portal/
PowerShell
Provisioning
platform
Identity
Services
Exchange
Online
Authentication
platform
IdP
Directory
Store
SharePoint
Online
Lync
Online
Srovnání možností identit
Určeno pro
• Menší organizace bez
Active Directory
Určeno pro
• Střední/velké s
AD on-premise
Určeno pro
• Podniky s AD
on-premise
Pro
• Žádné servery
on-premise
Pro
• Uživatelé a skupiny v AD
on-premise
• Možné scénáře
koexistence
Pro
• SSO s AD credentials
• IDs řešeny v on-premise
• Password policy
kontrolovány
on-premise
• 2FA řešení možné
• Možné scénáře
koexistence
Proti
• Bez SSO
• Bez 2FA
• Správa dvou sad
credentials s různými
pass. politikami
• IDs řešena v cloudu
Proti
• Bez SSO
• Bez 2FA
• Správa dvou sad
credentials s různými
pass. politikami
• Deployment serveru pro
synchronizace
• Nyní pouze s AD
Proti
• ADFS HA
(vysoká dostupnost)
Přihlášení do Office 365
• Office 365 Desktop setup vyžadován pro tlusté klienty (Lync, Outlook)
− Instaluje updaty klienta a OS a zajistí nejlepší způsob přihlášení
− Není vyžadován pro přihlášení na kiosku (např. OWA)
• Výzva k zadání hesla
− Tlustý klient umí uložit do OS, Webová aplikace si
„umí zapamatovat“
− Při změně hesla nebo expiraci je nutné zadat znova
• Zadání single-sign
− Publikování “Smart Links” pro uživatele. Nedoménové PC budou ale
stále vyžadovat ověření
− Uživatelské jméno musí být ve formátu UPN pro realm discovery
− Nedoménové PC vyžadují Username Realm Discover a password
(Active Directory credentials)
Co to jsou Smart Links ?
• https://portal.microsoft.com – provede se „překlad“
pomocí https://<your_AD_FS_2.0_Server_public_URL>/adfs/ls
• https://sts.contoso.com/adfs/ls/?cbcxt=&vv=&username=johndoe%
40contoso.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:fede
ration:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%2
6wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1292977249%26rver%
3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fp
ortal.microsoftonline.com%252FDefault.aspx%26lc%3D1033%26id%
3D271345%26bk%3D1292977249
• https://sts.contoso.com/adfs/ls/?wa=wsignin1.0&wtrealm=urn:fede
ration:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%2
6wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1292977249%26rver%
3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fp
ortal.microsoftonline.com%252FDefault.aspx%26lc%3D1033%26id
%3D271345
Smart links
• http://community.office365.com/en-us/w/sso/using-smart-
links-or-idp-initiated-authentication-with-office-365.aspx
Přihlašování
Lync Online
Win7/Vista/ Win7/Vista/
XP
XP
Outlook
Web
Application
SharePoint
Web
Application
Office 2010,
or
Office 2007
SP2
ActiveSync,
POP, IMAP,
Win
7/Vista/XP Entourage
Each session
Each session
Each session
Each session Once at setup
Online ID
Online ID
No prompt
Each session
No prompt
AD credentials
AD credentials
AD credentials
Each session
Each session
Each session
AD credentials
AD credentials
AD credentials
Outlook
2007 or
2010
MS Online IDs
SSO IDs
(domain
joined)
SSO IDs
(non-domain
joined)
Online ID
Online ID
Online ID
Each Session Each Session
AD credentials
AD credentials
Each session Each Session
AD credentials
AD credentials
SSO Setup – nová doména
•
•
•
•
•
Microsoft Online PowerShell™ modul pro Windows
Propojení AD FS 2.0 a Microsoft Office 365
Změna v DNS domény (CNAME)
Přidání domény
Microsoft Online Services
Firma.cz vs. Firma.local ????
Identity
Services
On-Premise
Trust
Admin Portal/
PowerShell
Active
Directory
Federation
Server 2.0
Přidání Trustu
- Claim Rules
- User Source ID = AD ObjectGUID
MSOL PowerShell
Module
Authentication
platform
Update
Provisioning
platform
Required
Cname
Add Domain
Verify-Domain
- Active/Mex/Passive
- Token certs Current/Next
Directory
Store
Single Sign procesy
• Konverze domény pro SSO
− Konverze standard domény na SSO
• Konverze zpět z SSO na Standard
− všichni uživatelé v cloudu budou muset resetovat heslo
Subdomény jsou automaticky federovány pro SSO
ADFS - certifikáty
• Token-signing a token-decrypting mohou být self-signed
• Service communications musí být veřejně oveřitelný
(kvůli nedoménovým PC)
14 | Microsoft Confidential
Ukázka
Plán pro nasazení ADFS
Identity Federation
Authentication flow (passive/web profile)
Customer
Microsoft Online Services
User
Source
ID
Logon (SAML 1.1) Token
UPN:[email protected]
Source User ID: ABC123
Auth Token
UPN:[email protected]
Unique ID: 254729
Identity Federation
Authentication flow (MEX/Rich Client Profile)
Customer
Microsoft Online Services
User
Source
ID
Logon (SAML 1.1) Token
UPN:[email protected]
Source User ID: ABC123
Auth Token
UPN:[email protected]
Unique ID: 254729
Identity Federation
Active flow (Outlook/Active Sync)
Customer
Microsoft Online Services
User
Source
ID
Logon (SAML 1.1) Token
UPN:[email protected]
Source User ID: ABC123
Auth Token
UPN:[email protected]
Unique ID: 254729
Basic Auth Credentials
Username/Password
ADFS 2.0 - možnosti nasazení
• Jeden server ADFS 2.0
• ADFS 2.0 serverová farma a load-balancer
• ADFS 2.0 proxy server nebo UAG/TMG (External Users,
Active Sync, Outlook)
Active
Directory
AD FS 2.0
Server
19
Internal
user
AD FS 2.0
Server
Enterprise
ADFS 2.0
Server
Proxy
ADFS 2.0
Server
Proxy
Perimeter
Network
Příprava na federaci identit
• High availability design pro ADFS 2.0
• Každý uživatel musí mít UPN
• UPN suffix musí odpovídat ověřené doméně v Office 365
• UPN Character restrictions
− Pozor na znaky specifické pro znakové sady
− Tečka přesně před .@ symbolem
− [email protected]
• Uživatelé musí vědět, že se přihlašují pomocí UPN do
Office 365 aplikací
− Lze skrýt za SmartLinks
20
Single Forest AD struktura a doporučení
Structure
Description
Considerations
Shodné domény
Interní a externí doména jsou
stejné: např. contoso.cz
Žádné zvláštní požadavky
Subdomény
Interní doména je subdoménou
externí domény:
praha.contoso.cz
Registrace domén musí být v
pořadí shora dolů, nejprve tedy
contoso.cz
.local doména
Interní doména není veřejně
registrovatelná
contoso.local
Vlastnictví domény nelze ověřit
• Všichni uživatelé musí mít
nové UPN
• Ideální pro uživatele je SMTP
adresa
Více UPN suffixů
v doméne
Mix uživatelů, kteří mají různé
UPN
contoso.com & fabrikam.com
Nutné mít více ADFS serverů,
1:1
Multi Forest
Více AD forestů, např.
(resource/account)
Nyní není podporováno
Silné ověřování
• Podporované scénáře
− Přihlášení na PC pomocí smart card
− Přihlášení a všechna ověřování pomocí Kerberos protokolu bez
dalších dotazů na Smart Card
− Webové aplikace
• Nepodporované scénáře
− Nedoménové PC (rich apps)/
Mobile applications
Client
Win7/Vista/XP
Outlook 2010
No
Outlook 2007
No
Lync 2010
Yes
SharePoint
Online
Yes
Web
Applications
Yes
Mobile
No
Alternativní proxy
• Lze využít Forefront TMG 2010 nebo UAG 2010 SP1
Možnosti
Autentikační schéma
Omezení
ADFS
proxy
Vyžaduje autentifikaci stron providera s ADFS
proxy přihlašovací stránkou
None
Forefront
TMG
Publikuje ADFS server. Integrace s některými
strong providery je součástí produktu
Podporováno, každá
cesta musí být
publikována separátně
Forefront
UAG SP1
Publikuje ADFS server. Integrace s některými
strong providery je součástí produktu s flexibilní
integrací
Podporováno, každá
cesta musí být
publikována separátně
Synchronizace Identit
Synchronizace adresářů pro IT Pro
• Správa informací pro on-premises intranet a Office 365
prostředí na jednom místě
• „Běží jako appliance!
− Nainstalujete a zapomenete
• Chyby se zasílaní emailem a zapisují do logů
− “Žádná zpráva je dobrá zpráva”
Synchronizace adresářů pro uživatele
• Stejné chování Office 365 služeb a On-Premise řešení
− Exchange Server
− Lync™ Server 2010
− SharePoint®
• Možnost koexistence
− Koexistence identit (aka single sign-on, federovaná
identita, federovaná autentifikace)
− Koexistence aplikací
Synchronizace adresářů pro uživatele
Koexistence identit
• Usnadňuje “Single Sign-On” chování
• Pro uživatele: jedna sada přihlašování
• Přenos on-premise uživatelů, security skupin, distribučních
skupin do cloudu
− Kompletní address book přenesen do Exchange Online
− SharePoint Online Access Control List (ACL) pomocí
Security Groups
• Stále je možné zakládat uživatele, kontakty, skupiny v
prostředí Office 365
Synchronizace adresářů pro uživatele
Koexistence aplikací
• Dva typy:
•
•
•
•
28
− Jednoduchá koexistence
− Bohatá koexistence (rich)
Jednoduchá koexistence:
Jeden konzistentní Address Book
Exchange Online uživatelé mohou dostávat emaily ze svých
validních on-premises proxy adres
Podpora konferenčních místností (Outlook Room Finder)
Synchronizace adresářů pro uživatele
Koexistence aplikací
Bohatá koexistence:
• Hybridní deployment
− Fázová migrace (staged)
− Data zůstávají v prostředí on-premises z obchodních
nebo právních důvodů
• Free/Busy je dostupné uživatelům v prostředí on-premises
a v cloudu
29
Synchronizace adresářů pro uživatele
Koexistence aplikací
Bohatá koexistence
• Cross-Premise služby
− Zákazníci s on-premises mailboxy mohou mít voicemail v
cloudu
− Archivace v cloudu
− Koexistence filtrování (safe senders, blocked senders)
30
Kdy použít Directory Synch
• Synchronizace adresáře je dlouhodobá záležitost
• Možné scénáře:
Scénáře
Úvodní on-boarding/bulk vytvoření
uživatelů
Použít Dir Sync ?
NE
Identity Federation
ANO
Dlouhodobá migrace/používání
Office 365
ANO
Částečné přijetí/migrace na služby
Office 365
ANO
Nastavení synchronizace adresáře
Požadavky
Tři typy požadavků:
1) Host OS s běžícím DirSync (32-bit POUZE)
− Microsoft Windows Server® 2003 SP2 x86
− Microsoft Windows Server 2008 x86
− Nemůže být Domain Controller
2)
Active Directory® Domain Services (AD DS) Forest functional level
synchronizován pomocí nástroje DirSync
−
−
−
−
Microsoft Windows Server 2000
Microsoft Windows Server 2003 (minimální pro Exchange koexistenci)
Microsoft Windows Server 2008
Microsoft Windows Server 2008 R2
− Známá nekompatibilita s/ Recycle Bin
3)
Bohatá koexistence
− Vyžaduje Exchange Server 2010 SP1 CAS – licence zdarma
− Instalace rozšíření schématu AD pro možnost bohaté koexistence
Jak funguje synchronizace
Architektura
Synchornizace trvá
1-30 vteřin
Jak funguje synchronizace
Architektura - klient
• Microsoft Windows Server 2003 SP2 or higher (32-bit)
• SQL Server 2008 R2 Express
− Pro větší nasazení Microsoft SQL Server® 2005 / 2008
− 10GB DB size limit
• Microsoft Online ID componenty pro autentifikaci
Office 365
• Download pro 23 jazyků
34
Jak funguje synchronizace
Architektura - klient
• Při instalaci oprávnění Enterprise Admin
• Vytváří se self-managed account pro účely synchronizace:
− Attribute-level write permissions pro bohatou koexistenci
• Dále se používá účet s oprávněními administrátora pro
synchronizaci nájemce
− Autentifikace pomoc Sign-in Assistant a s
Microsoft Online ID
• Synchronizuje uživatele, skupiny …
− Filtrace objektů a atributů
• Synchronizace každé 3 hodiny
Jak funguje synchronizace
Architektura - klient
• Nejprve “full sync”
− Synchronizace všech objektů
• Následně “delta sync”
− Pouze změny
• Čas replikace závisí na počtu objektů
Jak funguje synchronizace
Architektura - server
• Synchronizace v dávkách
• Uživatelé jsou zakládáni jako Microsoft Online ID pro
přihlášení do Office 365
• Všechny objekty se ukládají do Office 365 Directory Store
− jsou zakládány v odpovídajících objednaných službách
− (Exchange Online, Lync Online, SharePoint Online)
Jak funguje synchronizace
Architektura – limity synchronizace
• Uvodní limit je 10,000 objektů
− “objekt” = uživatelé, bezpečnostní skupiny, distribuční
seznamy (query based ?), kontakty
− Při vyšším počtu kontaktovat support
− Jinak limit není
• Větší zákazníci (20,000+ uživatelů) mají možnost podepsat
speciální typ subskripce Office 365
• Řešení konfliktů – first win
• Chyba s UPN – vyměněn za [email protected]
Validace atributů
Atribut
Nejčastější chyby
userPrincipalName
• Tečka před zavináčem ‘.’ ‘@’
• Větší než 113 znaků (64 for username, 48 for domain)
• Pozor na ! # $ % & \ * + - / = ? ^ _` { | } ~ < > ( )
• Duplicitní UPNs
samAccountName
• Obsahuje “ \ / [ ] : | < > + = ; ? ,
• Nesmí končit teškou ‘.’
• Ne více než 20 znaků
• Nesmí být prázdný
proxyAddresses
• Nesmí obsahovat SMTP adresy domén
neregistrovaných v předplatném
• Nesmí obsahovat duplicitní adresy
Synchronizace
Zápis do on-premises AD
• Pokud je vypnuta bohatá koexistence, DirSync nezapisuje
do on-premises AD
• Pokud je zapnuta bohatá koexistence, DirSync modifikuje
následujících 6 atributů:
Atribut
Vlastnost
SafeSendersHash
BlockedSendersHash
SafeRecipientHash
Filtering Coexistence
zapíná on-premises filtrování cloud safe/blocked sender info
msExchArchiveStatus
Cloud Archive
Povoluje uživatelům archivovat emaily v Office 365
ProxyAddresses (cloudLegDN)
Mailbox off-boarding
Povoluje přenést mailbox zpět do on-premise systému
cloudmsExchUCVoiceMailSettings Voicemail coexistence
on-premises mailbox využívá Lync Server 2010 v cloudu
Obvyklé otázky
• Filtering
− Není podporován
− Automated “scoping out” can lead to data loss (user
mailboxes!)
• HA pro DirSync
− DirSync nástroj nelze mít v HA
Poznámka: pokud DirSync neběží, identity v Office 365 jsou
„zamrzlé“, ale ostatní běží (Federated Authentication…..)
Obvyklé otázky
• Velikost a škálování ?
− Directory Sync používá Microsoft! (~1M objektů)
− Více než 50K+ objektů – plná verze SQL
Chystá se …
• 64-bit Directory Sync client bude vydán záhy
• Zajišťuje Windows Server 2008 R2 Recycle Bin object re-
animation (nepodporován na 32-bit DirSync klientu)
• Podpora pro multiforest synchronizaci - 2012
Nezapomeňte
• Objekty jsou spravovány on-premise
− Musíte je zde také updatovat
• Zastavení DirSyncu
− Nelze deaktivovat DirSync via Microsoft Online Portal
− Klienta lze vypnout
− Deaktivace DirSync bude zabudována později
− Nelze smazat synchronizované uživatele dokud je
nesmažete z prostředí on-premise
Doménu lze smazat až poté, co v ní nejsou uživatelé