Microsoft Office 365 Správa identit & synchronizace identit
Agenda Možnosti správy identit Architektura a možnosti Federovaná autentifikace Scénáře nasazení
Funkce Office 365 - Identity Password policy kontrola pro Microsoft Online IDs Nelze kontrolovat komplexnost Heslo nesmí obsahovat username atp Pomocí PoweShellu lze změnit: Expiraci hesla, kdy se účet zamkne a kdy se odemkne Single sign-on (SSO) s On-Premise Active Directory Directory Synchronization inovováno RBAC: pět administrativních rolí Company Admin Billing Admin User Account Admin HelpDesk Admin Service Support Admin Admin on behalf of pro podporu partnery
Možnosti identit Microsoft Online IDs Microsoft Online IDs + Microsoft Online Services Directory Synchronization SSO + DirSync Microsoft Online Services Zákazník on-premises Active Directory Federation Server 2.0 IdP AD MS Online Directory Sync Office 365 Desktop Setup Trust Admin Portal/ PowerShell Provisioning platform Identity Services Exchange Online Authentication platform IdP Directory Store SharePoint Online Lync Online
Srovnání možností identit Určeno pro Menší organizace bez Active Directory Určeno pro Střední/velké s AD on-premise Určeno pro Podniky s AD on-premise Pro Žádné servery on-premise Pro Uživatelé a skupiny v AD on-premise Možné scénáře koexistence Pro SSO s AD credentials IDs řešeny v on-premise Password policy kontrolovány on-premise 2FA řešení možné Možné scénáře koexistence Proti Bez SSO Bez 2FA Správa dvou sad credentials s různými pass. politikami IDs řešena v cloudu Proti Bez SSO Bez 2FA Správa dvou sad credentials s různými pass. politikami Deployment serveru pro synchronizace Nyní pouze s AD Proti ADFS HA (vysoká dostupnost)
Přihlášení do Office 365 Office 365 Desktop setup vyžadován pro tlusté klienty (Lync, Outlook) Instaluje updaty klienta a OS a zajistí nejlepší způsob přihlášení Není vyžadován pro přihlášení na kiosku (např. OWA) Výzva k zadání hesla Tlustý klient umí uložit do OS, Webová aplikace si umí zapamatovat Při změně hesla nebo expiraci je nutné zadat znova Zadání single-sign Publikování Smart Links pro uživatele. Nedoménové PC budou ale stále vyžadovat ověření Uživatelské jméno musí být ve formátu UPN pro realm discovery Nedoménové PC vyžadují Username Realm Discover a password (Active Directory credentials)
Co to jsou Smart Links? https://portal.microsoft.com provede se překlad pomocí https://<your_ad_fs_2.0_server_public_url>/adfs/ls https://sts.contoso.com/adfs/ls/?cbcxt=&vv=&username=johndoe% 40contoso.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:fede ration:microsoftonline&wctx=mest%3d0%26loginoptions%3d2%2 6wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1292977249%26rver% 3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fp ortal.microsoftonline.com%252fdefault.aspx%26lc%3d1033%26id% 3D271345%26bk%3D1292977249 https://sts.contoso.com/adfs/ls/?wa=wsignin1.0&wtrealm=urn:fede ration:microsoftonline&wctx=mest%3d0%26loginoptions%3d2%2 6wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1292977249%26rver% 3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fp ortal.microsoftonline.com%252fdefault.aspx%26lc%3d1033%26id %3D271345
Smart links http://community.office365.com/en-us/w/sso/using-smart- links-or-idp-initiated-authentication-with-office-365.aspx
Přihlašování Lync Online Win7/Vista/ Win7/Vista/ XP XP Outlook Web Application SharePoint Web Application Office 2010, or Office 2007 SP2 ActiveSync, POP, IMAP, Win 7/Vista/XP Entourage Each session Each session Each session Each session Once at setup Online ID Online ID No prompt Each session No prompt AD credentials AD credentials AD credentials Each session Each session Each session AD credentials AD credentials AD credentials Outlook 2007 or 2010 MS Online IDs SSO IDs (domain joined) SSO IDs (non-domain joined) Online ID Online ID Online ID Each Session Each Session AD credentials AD credentials Each session Each Session AD credentials AD credentials
SSO Setup nová doména Microsoft Online PowerShell modul pro Windows Propojení AD FS 2.0 a Microsoft Office 365 Změna v DNS domény (CNAME) Přidání domény Microsoft Online Services Firma.cz vs. Firma.local???? Identity Services On-Premise Trust Admin Portal/ PowerShell Active Directory Federation Server 2.0 Přidání Trustu - Claim Rules - User Source ID = AD ObjectGUID MSOL PowerShell Module Authentication platform Update Provisioning platform Required Cname Add Domain Verify-Domain - Active/Mex/Passive - Token certs Current/Next Directory Store
Single Sign procesy Konverze domény pro SSO Konverze standard domény na SSO Konverze zpět z SSO na Standard všichni uživatelé v cloudu budou muset resetovat heslo Subdomény jsou automaticky federovány pro SSO
ADFS - certifikáty Token-signing a token-decrypting mohou být self-signed Service communications musí být veřejně oveřitelný (kvůli nedoménovým PC)
14 Microsoft Confidential
Ukázka Plán pro nasazení ADFS
Identity Federation Authentication flow (passive/web profile) Customer Microsoft Online Services User Source ID Logon (SAML 1.1) Token UPN:user@contoso.com Source User ID: ABC123 Auth Token UPN:user@contoso.com Unique ID: 254729
Identity Federation Authentication flow (MEX/Rich Client Profile) Customer Microsoft Online Services User Source ID Logon (SAML 1.1) Token UPN:user@contoso.com Source User ID: ABC123 Auth Token UPN:user@contoso.com Unique ID: 254729
Identity Federation Active flow (Outlook/Active Sync) Customer Microsoft Online Services User Source ID Logon (SAML 1.1) Token UPN:user@contoso.com Source User ID: ABC123 Auth Token UPN:user@contoso.com Unique ID: 254729 Basic Auth Credentials Username/Password
ADFS 2.0 - možnosti nasazení Jeden server ADFS 2.0 ADFS 2.0 serverová farma a load-balancer ADFS 2.0 proxy server nebo UAG/TMG (External Users, Active Sync, Outlook) Active Directory AD FS 2.0 Server 19 Internal user AD FS 2.0 Server Enterprise ADFS 2.0 Server Proxy ADFS 2.0 Server Proxy Perimeter Network
Příprava na federaci identit High availability design pro ADFS 2.0 Každý uživatel musí mít UPN UPN suffix musí odpovídat ověřené doméně v Office 365 UPN Character restrictions Pozor na znaky specifické pro znakové sady Tečka přesně před.@ symbolem jan.novak.@contoso.cz Uživatelé musí vědět, že se přihlašují pomocí UPN do Office 365 aplikací Lze skrýt za SmartLinks 20
Single Forest AD struktura a doporučení Structure Description Considerations Shodné domény Interní a externí doména jsou stejné: např. contoso.cz Žádné zvláštní požadavky Subdomény Interní doména je subdoménou externí domény: praha.contoso.cz Registrace domén musí být v pořadí shora dolů, nejprve tedy contoso.cz.local doména Interní doména není veřejně registrovatelná contoso.local Vlastnictví domény nelze ověřit Všichni uživatelé musí mít nové UPN Ideální pro uživatele je SMTP adresa Více UPN suffixů v doméne Mix uživatelů, kteří mají různé UPN contoso.com & fabrikam.com Nutné mít více ADFS serverů, 1:1 Multi Forest Více AD forestů, např. (resource/account) Nyní není podporováno
Silné ověřování Podporované scénáře Přihlášení na PC pomocí smart card Přihlášení a všechna ověřování pomocí Kerberos protokolu bez dalších dotazů na Smart Card Webové aplikace Nepodporované scénáře Nedoménové PC (rich apps)/ Mobile applications Client Win7/Vista/XP Outlook 2010 No Outlook 2007 No Lync 2010 Yes SharePoint Online Yes Web Applications Yes Mobile No
Alternativní proxy Lze využít Forefront TMG 2010 nebo UAG 2010 SP1 Možnosti Autentikační schéma Omezení ADFS proxy Vyžaduje autentifikaci stron providera s ADFS proxy přihlašovací stránkou None Forefront TMG Publikuje ADFS server. Integrace s některými strong providery je součástí produktu Podporováno, každá cesta musí být publikována separátně Forefront UAG SP1 Publikuje ADFS server. Integrace s některými strong providery je součástí produktu s flexibilní integrací Podporováno, každá cesta musí být publikována separátně
Synchronizace Identit
Synchronizace adresářů pro IT Pro Správa informací pro on-premises intranet a Office 365 prostředí na jednom místě Běží jako appliance! Nainstalujete a zapomenete Chyby se zasílaní emailem a zapisují do logů Žádná zpráva je dobrá zpráva
Synchronizace adresářů pro uživatele Stejné chování Office 365 služeb a On-Premise řešení Exchange Server Lync Server 2010 SharePoint Možnost koexistence Koexistence identit (aka single sign-on, federovaná identita, federovaná autentifikace) Koexistence aplikací
Synchronizace adresářů pro uživatele Koexistence identit Usnadňuje Single Sign-On chování Pro uživatele: jedna sada přihlašování Přenos on-premise uživatelů, security skupin, distribučních skupin do cloudu Kompletní address book přenesen do Exchange Online SharePoint Online Access Control List (ACL) pomocí Security Groups Stále je možné zakládat uživatele, kontakty, skupiny v prostředí Office 365
Synchronizace adresářů pro uživatele Koexistence aplikací Dva typy: 28 Jednoduchá koexistence Bohatá koexistence (rich) Jednoduchá koexistence: Jeden konzistentní Address Book Exchange Online uživatelé mohou dostávat emaily ze svých validních on-premises proxy adres Podpora konferenčních místností (Outlook Room Finder)
Synchronizace adresářů pro uživatele Koexistence aplikací Bohatá koexistence: Hybridní deployment Fázová migrace (staged) Data zůstávají v prostředí on-premises z obchodních nebo právních důvodů Free/Busy je dostupné uživatelům v prostředí on-premises a v cloudu 29
Synchronizace adresářů pro uživatele Koexistence aplikací Bohatá koexistence Cross-Premise služby Zákazníci s on-premises mailboxy mohou mít voicemail v cloudu Archivace v cloudu Koexistence filtrování (safe senders, blocked senders) 30
Kdy použít Directory Synch Synchronizace adresáře je dlouhodobá záležitost Možné scénáře: Scénáře Úvodní on-boarding/bulk vytvoření uživatelů Použít Dir Sync? NE Identity Federation ANO Dlouhodobá migrace/používání Office 365 ANO Částečné přijetí/migrace na služby Office 365 ANO
Nastavení synchronizace adresáře Požadavky Tři typy požadavků: 1) Host OS s běžícím DirSync (32-bit POUZE) Microsoft Windows Server 2003 SP2 x86 Microsoft Windows Server 2008 x86 Nemůže být Domain Controller 2) Active Directory Domain Services (AD DS) Forest functional level synchronizován pomocí nástroje DirSync Microsoft Windows Server 2000 Microsoft Windows Server 2003 (minimální pro Exchange koexistenci) Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Známá nekompatibilita s/ Recycle Bin 3) Bohatá koexistence Vyžaduje Exchange Server 2010 SP1 CAS licence zdarma Instalace rozšíření schématu AD pro možnost bohaté koexistence
Jak funguje synchronizace Architektura Synchornizace trvá 1-30 vteřin
Jak funguje synchronizace Architektura - klient Microsoft Windows Server 2003 SP2 or higher (32-bit) SQL Server 2008 R2 Express Pro větší nasazení Microsoft SQL Server 2005 / 2008 10GB DB size limit Microsoft Online ID componenty pro autentifikaci Office 365 Download pro 23 jazyků 34
Jak funguje synchronizace Architektura - klient Při instalaci oprávnění Enterprise Admin Vytváří se self-managed account pro účely synchronizace: Attribute-level write permissions pro bohatou koexistenci Dále se používá účet s oprávněními administrátora pro synchronizaci nájemce Autentifikace pomoc Sign-in Assistant a s Microsoft Online ID Synchronizuje uživatele, skupiny Filtrace objektů a atributů Synchronizace každé 3 hodiny
Jak funguje synchronizace Architektura - klient Nejprve full sync Synchronizace všech objektů Následně delta sync Pouze změny Čas replikace závisí na počtu objektů
Jak funguje synchronizace Architektura - server Synchronizace v dávkách Uživatelé jsou zakládáni jako Microsoft Online ID pro přihlášení do Office 365 Všechny objekty se ukládají do Office 365 Directory Store jsou zakládány v odpovídajících objednaných službách (Exchange Online, Lync Online, SharePoint Online)
Jak funguje synchronizace Architektura limity synchronizace Uvodní limit je 10,000 objektů objekt = uživatelé, bezpečnostní skupiny, distribuční seznamy (query based?), kontakty Při vyšším počtu kontaktovat support Jinak limit není Větší zákazníci (20,000+ uživatelů) mají možnost podepsat speciální typ subskripce Office 365 Řešení konfliktů first win Chyba s UPN vyměněn za mail@xy.onmicrosoft.com
Validace atributů Atribut Nejčastější chyby userprincipalname Tečka před zavináčem. @ Větší než 113 znaků (64 for username, 48 for domain) Pozor na! # $ % & \ * + - / =? ^ _` { } ~ < > ( ) Duplicitní UPNs samaccountname Obsahuje \ / [ ] : < > + = ;?, Nesmí končit teškou. Ne více než 20 znaků Nesmí být prázdný proxyaddresses Nesmí obsahovat SMTP adresy domén neregistrovaných v předplatném Nesmí obsahovat duplicitní adresy
Synchronizace Zápis do on-premises AD Pokud je vypnuta bohatá koexistence, DirSync nezapisuje do on-premises AD Pokud je zapnuta bohatá koexistence, DirSync modifikuje následujících 6 atributů: Atribut Vlastnost SafeSendersHash BlockedSendersHash SafeRecipientHash Filtering Coexistence zapíná on-premises filtrování cloud safe/blocked sender info msexcharchivestatus Cloud Archive Povoluje uživatelům archivovat emaily v Office 365 ProxyAddresses (cloudlegdn) Mailbox off-boarding Povoluje přenést mailbox zpět do on-premise systému cloudmsexchucvoicemailsettings Voicemail coexistence on-premises mailbox využívá Lync Server 2010 v cloudu
Obvyklé otázky Filtering Není podporován Automated scoping out can lead to data loss (user mailboxes!) HA pro DirSync DirSync nástroj nelze mít v HA Poznámka: pokud DirSync neběží, identity v Office 365 jsou zamrzlé, ale ostatní běží (Federated Authentication..)
Obvyklé otázky Velikost a škálování? Directory Sync používá Microsoft! (~1M objektů) Více než 50K+ objektů plná verze SQL
Chystá se 64-bit Directory Sync client bude vydán záhy Zajišťuje Windows Server 2008 R2 Recycle Bin object re- animation (nepodporován na 32-bit DirSync klientu) Podpora pro multiforest synchronizaci - 2012
Nezapomeňte Objekty jsou spravovány on-premise Musíte je zde také updatovat Zastavení DirSyncu Nelze deaktivovat DirSync via Microsoft Online Portal Klienta lze vypnout Deaktivace DirSync bude zabudována později Nelze smazat synchronizované uživatele dokud je nesmažete z prostředí on-premise Doménu lze smazat až poté, co v ní nejsou uživatelé