Microsoft® Office 365 Správa identit & synchronizace identit
Agenda • Možnosti správy identit • Architektura a možnosti • Federovaná autentifikace • Scénáře nasazení
Funkce Office 365 - Identity • Password policy – kontrola pro Microsoft Online IDs
− Nelze kontrolovat komplexnost − Heslo nesmí obsahovat username atp… − Pomocí PoweShellu lze změnit:
− Expiraci hesla, kdy se účet zamkne a kdy se odemkne
• Single sign-on (SSO) s On-Premise Active Directory • Directory Synchronization – inovováno • RBAC: pět administrativních rolí − Company Admin − Billing Admin − User Account Admin − HelpDesk Admin − Service Support Admin • “Admin on behalf of” pro podporu partnery
Možnosti identit
• Microsoft Online IDs • Microsoft Online IDs + Microsoft Online Services Directory Synchronization • SSO + DirSync
Microsoft Online Services
Zákazník on-premises Active Directory Federation Server 2.0
IdP
AD
MS Online Directory Sync Office 365 Desktop Setup
Trust Admin Portal/ PowerShell
Provisioning platform
Identity Services Exchange Online
Authentication platform IdP
Directory Store
SharePoint Online
Lync Online
Srovnání možností identit Určeno pro • Menší organizace bez Active Directory
Určeno pro • Střední/velké s AD on-premise
Určeno pro • Podniky s AD on-premise
Pro • Žádné servery on-premise
Pro • Uživatelé a skupiny v AD on-premise • Možné scénáře koexistence
Pro • SSO s AD credentials • IDs řešeny v on-premise • Password policy kontrolovány on-premise • 2FA řešení možné • Možné scénáře koexistence
Proti • Bez SSO • Bez 2FA • Správa dvou sad credentials s různými pass. politikami • IDs řešena v cloudu
Proti • Bez SSO • Bez 2FA • Správa dvou sad credentials s různými pass. politikami • Deployment serveru pro synchronizace • Nyní pouze s AD
Proti • ADFS HA (vysoká dostupnost)
Přihlášení do Office 365 • Office 365 Desktop setup vyžadován pro tlusté klienty (Lync, Outlook)
− Instaluje updaty klienta a OS a zajistí nejlepší způsob přihlášení − Není vyžadován pro přihlášení na kiosku (např. OWA) • Výzva k zadání hesla
− Tlustý klient umí uložit do OS, Webová aplikace si „umí zapamatovat“ − Při změně hesla nebo expiraci je nutné zadat znova • Zadání single-sign
− Publikování “Smart Links” pro uživatele. Nedoménové PC budou ale stále vyžadovat ověření − Uživatelské jméno musí být ve formátu UPN pro realm discovery − Nedoménové PC vyžadují Username Realm Discover a password (Active Directory credentials)
Co to jsou Smart Links ? • https://portal.microsoft.com – provede se „překlad“
pomocí https://
/adfs/ls
• https://sts.contoso.com/adfs/ls/?cbcxt=&vv=&username=johndoe%
40contoso.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:fede ration:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%2 6wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1292977249%26rver% 3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fp ortal.microsoftonline.com%252FDefault.aspx%26lc%3D1033%26id% 3D271345%26bk%3D1292977249
• https://sts.contoso.com/adfs/ls/?wa=wsignin1.0&wtrealm=urn:fede
ration:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%2 6wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1292977249%26rver% 3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fp ortal.microsoftonline.com%252FDefault.aspx%26lc%3D1033%26id %3D271345
Smart links • http://community.office365.com/en-us/w/sso/using-smart-
links-or-idp-initiated-authentication-with-office-365.aspx
Přihlašování
Lync Online Win7/Vista/ Win7/Vista/ XP XP
Outlook Web Application SharePoint Web Application
Office 2010, or Office 2007 SP2 ActiveSync, POP, IMAP, Win 7/Vista/XP Entourage
Each session
Each session
Each session
Each session Once at setup
Online ID
Online ID
No prompt
Each session
No prompt
AD credentials
AD credentials
AD credentials
Each session
Each session
Each session
AD credentials
AD credentials
AD credentials
Outlook 2007 or 2010
MS Online IDs SSO IDs (domain joined)
SSO IDs
(non-domain joined)
Online ID
Online ID
Online ID
Each Session Each Session AD credentials
AD credentials
Each session Each Session AD credentials
AD credentials
SSO Setup – nová doména • • • • •
Microsoft Online PowerShell™ modul pro Windows Propojení AD FS 2.0 a Microsoft Office 365 Změna v DNS domény (CNAME) Přidání domény Microsoft Online Services Firma.cz vs. Firma.local ???? Identity Services
On-Premise
Trust Admin Portal/ PowerShell
Active Directory Federation Server 2.0
Přidání Trustu - Claim Rules - User Source ID = AD ObjectGUID
MSOL PowerShell Module
Authentication platform
Update Provisioning platform
Required Cname Add Domain
Verify-Domain - Active/Mex/Passive - Token certs Current/Next
Directory Store
Single Sign procesy • Konverze domény pro SSO
− Konverze standard domény na SSO • Konverze zpět z SSO na Standard
− všichni uživatelé v cloudu budou muset resetovat heslo Subdomény jsou automaticky federovány pro SSO
ADFS - certifikáty • Token-signing a token-decrypting mohou být self-signed • Service communications musí být veřejně oveřitelný
(kvůli nedoménovým PC)
14 | Microsoft Confidential
Ukázka Plán pro nasazení ADFS
Identity Federation
Authentication flow (passive/web profile) Customer
Microsoft Online Services User Source ID
Logon (SAML 1.1) Token UPN:[email protected] Source User ID: ABC123
Auth Token UPN:[email protected] Unique ID: 254729
Identity Federation
Authentication flow (MEX/Rich Client Profile) Customer
Microsoft Online Services User Source ID
Logon (SAML 1.1) Token UPN:[email protected] Source User ID: ABC123 Auth Token UPN:[email protected] Unique ID: 254729
Identity Federation
Active flow (Outlook/Active Sync) Customer
Microsoft Online Services User Source ID
Logon (SAML 1.1) Token UPN:[email protected] Source User ID: ABC123 Auth Token UPN:[email protected] Unique ID: 254729
Basic Auth Credentials Username/Password
ADFS 2.0 - možnosti nasazení • Jeden server ADFS 2.0 • ADFS 2.0 serverová farma a load-balancer • ADFS 2.0 proxy server nebo UAG/TMG (External Users,
Active Sync, Outlook) Active Directory AD FS 2.0 Server
19
Internal user
AD FS 2.0 Server
Enterprise
ADFS 2.0 Server Proxy ADFS 2.0 Server Proxy Perimeter Network
Příprava na federaci identit • High availability design pro ADFS 2.0 • Každý uživatel musí mít UPN • UPN suffix musí odpovídat ověřené doméně v Office 365 • UPN Character restrictions
− Pozor na znaky specifické pro znakové sady − Tečka přesně před .@ symbolem − [email protected]
• Uživatelé musí vědět, že se přihlašují pomocí UPN do
Office 365 aplikací − Lze skrýt za SmartLinks
20
Single Forest AD struktura a doporučení Structure
Description
Considerations
Shodné domény
Interní a externí doména jsou stejné: např. contoso.cz
Žádné zvláštní požadavky
Subdomény
Interní doména je subdoménou externí domény: praha.contoso.cz
Registrace domén musí být v pořadí shora dolů, nejprve tedy contoso.cz
.local doména
Interní doména není veřejně registrovatelná contoso.local
Vlastnictví domény nelze ověřit • Všichni uživatelé musí mít nové UPN • Ideální pro uživatele je SMTP adresa
Více UPN suffixů v doméne
Mix uživatelů, kteří mají různé UPN contoso.com & fabrikam.com
Nutné mít více ADFS serverů, 1:1
Multi Forest
Více AD forestů, např. (resource/account)
Nyní není podporováno
Silné ověřování • Podporované scénáře
− Přihlášení na PC pomocí smart card − Přihlášení a všechna ověřování pomocí Kerberos protokolu bez dalších dotazů na Smart Card
− Webové aplikace • Nepodporované scénáře
− Nedoménové PC (rich apps)/ Mobile applications
Client
Win7/Vista/XP
Outlook 2010
No
Outlook 2007
No
Lync 2010
Yes
SharePoint Online
Yes
Web Applications
Yes
Mobile
No
Alternativní proxy • Lze využít Forefront TMG 2010 nebo UAG 2010 SP1
Možnosti
Autentikační schéma
Omezení
ADFS proxy
Vyžaduje autentifikaci stron providera s ADFS proxy přihlašovací stránkou
None
Forefront TMG
Publikuje ADFS server. Integrace s některými strong providery je součástí produktu
Podporováno, každá cesta musí být publikována separátně
Forefront UAG SP1
Publikuje ADFS server. Integrace s některými strong providery je součástí produktu s flexibilní integrací
Podporováno, každá cesta musí být publikována separátně
Synchronizace Identit
Synchronizace adresářů pro IT Pro • Správa informací pro on-premises intranet a Office 365
prostředí na jednom místě
• „Běží jako appliance!
− Nainstalujete a zapomenete • Chyby se zasílaní emailem a zapisují do logů
− “Žádná zpráva je dobrá zpráva”
Synchronizace adresářů pro uživatele • Stejné chování Office 365 služeb a On-Premise řešení
− Exchange Server − Lync™ Server 2010 − SharePoint® • Možnost koexistence
− Koexistence identit (aka single sign-on, federovaná identita, federovaná autentifikace) − Koexistence aplikací
Synchronizace adresářů pro uživatele Koexistence identit
• Usnadňuje “Single Sign-On” chování • Pro uživatele: jedna sada přihlašování • Přenos on-premise uživatelů, security skupin, distribučních
skupin do cloudu − Kompletní address book přenesen do Exchange Online − SharePoint Online Access Control List (ACL) pomocí Security Groups • Stále je možné zakládat uživatele, kontakty, skupiny v prostředí Office 365
Synchronizace adresářů pro uživatele Koexistence aplikací • Dva typy:
• • • •
28
− Jednoduchá koexistence − Bohatá koexistence (rich) Jednoduchá koexistence: Jeden konzistentní Address Book Exchange Online uživatelé mohou dostávat emaily ze svých validních on-premises proxy adres Podpora konferenčních místností (Outlook Room Finder)
Synchronizace adresářů pro uživatele Koexistence aplikací
Bohatá koexistence: • Hybridní deployment − Fázová migrace (staged) − Data zůstávají v prostředí on-premises z obchodních nebo právních důvodů • Free/Busy je dostupné uživatelům v prostředí on-premises a v cloudu
29
Synchronizace adresářů pro uživatele Koexistence aplikací
Bohatá koexistence • Cross-Premise služby − Zákazníci s on-premises mailboxy mohou mít voicemail v cloudu − Archivace v cloudu − Koexistence filtrování (safe senders, blocked senders)
30
Kdy použít Directory Synch • Synchronizace adresáře je dlouhodobá záležitost • Možné scénáře: Scénáře Úvodní on-boarding/bulk vytvoření uživatelů
Použít Dir Sync ? NE
Identity Federation
ANO
Dlouhodobá migrace/používání Office 365
ANO
Částečné přijetí/migrace na služby Office 365
ANO
Nastavení synchronizace adresáře Požadavky
Tři typy požadavků: 1) Host OS s běžícím DirSync (32-bit POUZE) − Microsoft Windows Server® 2003 SP2 x86 − Microsoft Windows Server 2008 x86 − Nemůže být Domain Controller
2)
Active Directory® Domain Services (AD DS) Forest functional level synchronizován pomocí nástroje DirSync − − − −
Microsoft Windows Server 2000 Microsoft Windows Server 2003 (minimální pro Exchange koexistenci) Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 − Známá nekompatibilita s/ Recycle Bin
3)
Bohatá koexistence − Vyžaduje Exchange Server 2010 SP1 CAS – licence zdarma − Instalace rozšíření schématu AD pro možnost bohaté koexistence
Jak funguje synchronizace Architektura
Synchornizace trvá 1-30 vteřin
Jak funguje synchronizace Architektura - klient
• Microsoft Windows Server 2003 SP2 or higher (32-bit) • SQL Server 2008 R2 Express − Pro větší nasazení Microsoft SQL Server® 2005 / 2008 − 10GB DB size limit • Microsoft Online ID componenty pro autentifikaci
Office 365 • Download pro 23 jazyků
34
Jak funguje synchronizace Architektura - klient
• Při instalaci oprávnění Enterprise Admin • Vytváří se self-managed account pro účely synchronizace:
− Attribute-level write permissions pro bohatou koexistenci • Dále se používá účet s oprávněními administrátora pro synchronizaci nájemce − Autentifikace pomoc Sign-in Assistant a s Microsoft Online ID • Synchronizuje uživatele, skupiny … − Filtrace objektů a atributů • Synchronizace každé 3 hodiny
Jak funguje synchronizace Architektura - klient
• Nejprve “full sync”
− Synchronizace všech objektů • Následně “delta sync” − Pouze změny • Čas replikace závisí na počtu objektů
Jak funguje synchronizace Architektura - server
• Synchronizace v dávkách • Uživatelé jsou zakládáni jako Microsoft Online ID pro
přihlášení do Office 365 • Všechny objekty se ukládají do Office 365 Directory Store − jsou zakládány v odpovídajících objednaných službách − (Exchange Online, Lync Online, SharePoint Online)
Jak funguje synchronizace Architektura – limity synchronizace • Uvodní limit je 10,000 objektů
− “objekt” = uživatelé, bezpečnostní skupiny, distribuční seznamy (query based ?), kontakty − Při vyšším počtu kontaktovat support − Jinak limit není • Větší zákazníci (20,000+ uživatelů) mají možnost podepsat speciální typ subskripce Office 365 • Řešení konfliktů – first win • Chyba s UPN – vyměněn za [email protected]
Validace atributů Atribut
Nejčastější chyby
userPrincipalName
• Tečka před zavináčem ‘.’ ‘@’ • Větší než 113 znaků (64 for username, 48 for domain) • Pozor na ! # $ % & \ * + - / = ? ^ _` { | } ~ < > ( ) • Duplicitní UPNs
samAccountName
• Obsahuje “ \ / [ ] : | < > + = ; ? , • Nesmí končit teškou ‘.’ • Ne více než 20 znaků • Nesmí být prázdný
proxyAddresses
• Nesmí obsahovat SMTP adresy domén neregistrovaných v předplatném • Nesmí obsahovat duplicitní adresy
Synchronizace
Zápis do on-premises AD • Pokud je vypnuta bohatá koexistence, DirSync nezapisuje
do on-premises AD • Pokud je zapnuta bohatá koexistence, DirSync modifikuje následujících 6 atributů: Atribut
Vlastnost
SafeSendersHash BlockedSendersHash SafeRecipientHash
Filtering Coexistence zapíná on-premises filtrování cloud safe/blocked sender info
msExchArchiveStatus
Cloud Archive Povoluje uživatelům archivovat emaily v Office 365
ProxyAddresses (cloudLegDN)
Mailbox off-boarding Povoluje přenést mailbox zpět do on-premise systému
cloudmsExchUCVoiceMailSettings Voicemail coexistence on-premises mailbox využívá Lync Server 2010 v cloudu
Obvyklé otázky • Filtering
− Není podporován − Automated “scoping out” can lead to data loss (user mailboxes!) • HA pro DirSync
− DirSync nástroj nelze mít v HA Poznámka: pokud DirSync neběží, identity v Office 365 jsou „zamrzlé“, ale ostatní běží (Federated Authentication…..)
Obvyklé otázky • Velikost a škálování ?
− Directory Sync používá Microsoft! (~1M objektů) − Více než 50K+ objektů – plná verze SQL
Chystá se … • 64-bit Directory Sync client bude vydán záhy • Zajišťuje Windows Server 2008 R2 Recycle Bin object re-
animation (nepodporován na 32-bit DirSync klientu)
• Podpora pro multiforest synchronizaci - 2012
Nezapomeňte • Objekty jsou spravovány on-premise
− Musíte je zde také updatovat • Zastavení DirSyncu − Nelze deaktivovat DirSync via Microsoft Online Portal − Klienta lze vypnout − Deaktivace DirSync bude zabudována později
− Nelze smazat synchronizované uživatele dokud je nesmažete z prostředí on-premise Doménu lze smazat až poté, co v ní nejsou uživatelé
