Microsoft® Office 365Správa identit & synchronizace identit

Agenda• Možnosti správy identit• Architektura a možnosti• Federovaná autentifikace• Scénáře nasazení

Funkce Office 365 - Identity• Password policy – kontrola pro Microsoft Online IDs

− Nelze kontrolovat komplexnost− Heslo nesmí obsahovat username atp…− Pomocí PoweShellu lze změnit:

− Expiraci hesla, kdy se účet zamkne a kdy se odemkne

• Single sign-on (SSO) s On-Premise Active Directory

• Directory Synchronization – inovováno

• RBAC: pět administrativních rolí− Company Admin− Billing Admin− User Account Admin− HelpDesk Admin− Service Support Admin

• “Admin on behalf of” pro podporu partnery

Zákazník on-premises

Možnosti identit• Microsoft Online IDs• Microsoft Online IDs + Microsoft Online Services Directory Synchronization• SSO + DirSync

ADADMS Online

Directory Sync

IdentityServices

Provisioningplatform

Provisioningplatform Lync

OnlineLync

Online

SharePointOnline

SharePointOnline

ExchangeOnline

ExchangeOnline

Active DirectoryFederationServer 2.0

Trust

IdPDirectory

StoreDirectory

Store

Admin Portal/PowerShell

Admin Portal/PowerShell

Office 365Desktop

Setup

Microsoft Online Services

IdP

Authenticationplatform

Authenticationplatform

Srovnání možností identit

Určeno pro• Menší organizace bez

Active Directory

Pro• Žádné servery

on-premise

Proti• Bez SSO• Bez 2FA• Správa dvou sad

credentials s různýmipass. politikami

• IDs řešena v cloudu

Určeno pro• Menší organizace bez

Active Directory

Pro• Žádné servery

on-premise

Proti• Bez SSO• Bez 2FA• Správa dvou sad

credentials s různýmipass. politikami

• IDs řešena v cloudu

Určeno pro• Střední/velké s

AD on-premise

Pro• Uživatelé a skupiny v AD

on-premise• Možné scénáře

koexistence

Proti• Bez SSO• Bez 2FA• Správa dvou sad

credentials s různýmipass. politikami

• Deployment serveru prosynchronizace

• Nyní pouze s AD

Určeno pro• Střední/velké s

AD on-premise

Pro• Uživatelé a skupiny v AD

on-premise• Možné scénáře

koexistence

Proti• Bez SSO• Bez 2FA• Správa dvou sad

credentials s různýmipass. politikami

• Deployment serveru prosynchronizace

• Nyní pouze s AD

Určeno pro• Podniky s AD

on-premise

Pro• SSO s AD credentials• IDs řešeny v on-premise• Password policy

kontroloványon-premise

• 2FA řešení možné• Možné scénáře

koexistence

Proti• ADFS HA

(vysoká dostupnost)

Určeno pro• Podniky s AD

on-premise

Pro• SSO s AD credentials• IDs řešeny v on-premise• Password policy

kontroloványon-premise

• 2FA řešení možné• Možné scénáře

koexistence

Proti• ADFS HA

(vysoká dostupnost)

Přihlášení do Office 365• Office 365 Desktop setup vyžadován pro tlusté klienty (Lync, Outlook)

− Instaluje updaty klienta a OS a zajistí nejlepší způsob přihlášení− Není vyžadován pro přihlášení na kiosku (např. OWA)

• Výzva k zadání hesla− Tlustý klient umí uložit do OS, Webová aplikace si

„umí zapamatovat“− Při změně hesla nebo expiraci je nutné zadat znova

• Zadání single-sign− Publikování “Smart Links” pro uživatele. Nedoménové PC budou ale

stále vyžadovat ověření− Uživatelské jméno musí být ve formátu UPN pro realm discovery− Nedoménové PC vyžadují Username Realm Discover a password

(Active Directory credentials)

Co to jsou Smart Links ?• https://portal.microsoft.com – provede se „překlad“

pomocí https://<your_AD_FS_2.0_Server_public_URL>/adfs/ls

• https://sts.contoso.com/adfs/ls/?cbcxt=&vv=&username=johndoe%40contoso.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1292977249%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.microsoftonline.com%252FDefault.aspx%26lc%3D1033%26id%3D271345%26bk%3D1292977249

• https://sts.contoso.com/adfs/ls/?wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1292977249%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.microsoftonline.com%252FDefault.aspx%26lc%3D1033%26id%3D271345

Smart links• http://community.office365.com/en-us/w/sso/using-smart-

links-or-idp-initiated-authentication-with-office-365.aspx

Přihlašování

Win7/Vista/XP

Win7/Vista/XP

SSO IDs(domainjoined)

MS Online IDs

OutlookWeb

ApplicationSharePoint

WebApplication

OutlookWeb

ApplicationSharePoint

WebApplicationEach session

ActiveSync,POP, IMAP,Entourage

ActiveSync,POP, IMAP,Entourage

Each SessionNo prompt

Once at setupEach session

Outlook2007 or

2010

Outlook2007 or

2010

Online IDOnline IDOnline IDOnline IDOnline IDOnline ID

Win7/Vista/XP

Win7/Vista/XP

No prompt

Each session

Office 2010,or

Office 2007SP2

Office 2010,or

Office 2007SP2

Online IDOnline ID

Each session

Win7/Vista/XP

Win7/Vista/XP

Lync OnlineLync Online

Each sessionOnline IDOnline ID

Each Session

AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials

SSO IDs(non-domainjoined)

Each sessionEach sessionEach session Each session Each Session

AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials AD credentialsAD credentials

On-Premise

SSO Setup – nová doména• Microsoft Online PowerShell™ modul pro Windows• Propojení AD FS 2.0 a Microsoft Office 365• Změna v DNS domény (CNAME)• Přidání domény• Firma.cz vs. Firma.local ????

IdentityServices

Provisioningplatform

Provisioningplatform

ActiveDirectory

FederationServer 2.0

ActiveDirectory

FederationServer 2.0

Trust

DirectoryStore

DirectoryStore

Admin Portal/PowerShell

Admin Portal/PowerShell

Authenticationplatform

Authenticationplatform

MSOL PowerShellModule

MSOL PowerShellModule

Microsoft Online Services

Add Domain

RequiredCname

Přidání Trustu- Claim Rules- User Source ID = AD ObjectGUID

Verify-Domain- Active/Mex/Passive- Token certs Current/Next

Update

Single Sign procesy• Konverze domény pro SSO

−Konverze standard domény na SSO

• Konverze zpět z SSO na Standard− všichni uživatelé v cloudu budou muset resetovat heslo

Subdomény jsou automaticky federovány pro SSO

ADFS - certifikáty• Token-signing a token-decrypting mohou být self-signed• Service communications musí být veřejně oveřitelný

(kvůli nedoménovým PC)

14 | Microsoft Confidential

UkázkaPlán pro nasazení ADFS

Identity FederationAuthentication flow (passive/web profile)

Customer Microsoft Online Services

UserSource

ID

Logon (SAML 1.1) TokenUPN:user@contoso.comSource User ID: ABC123

Logon (SAML 1.1) TokenUPN:user@contoso.comSource User ID: ABC123 Auth Token

UPN:user@contoso.comUnique ID: 254729

Auth TokenUPN:user@contoso.comUnique ID: 254729

Identity FederationAuthentication flow (MEX/Rich Client Profile)

Customer Microsoft Online Services

UserSource

ID

Logon (SAML 1.1) TokenUPN:user@contoso.comSource User ID: ABC123

Logon (SAML 1.1) TokenUPN:user@contoso.comSource User ID: ABC123

Auth TokenUPN:user@contoso.comUnique ID: 254729

Auth TokenUPN:user@contoso.comUnique ID: 254729

Identity FederationActive flow (Outlook/Active Sync)

Customer Microsoft Online Services

UserSource

ID

Logon (SAML 1.1) TokenUPN:user@contoso.comSource User ID: ABC123

Logon (SAML 1.1) TokenUPN:user@contoso.comSource User ID: ABC123

Auth TokenUPN:user@contoso.comUnique ID: 254729

Auth TokenUPN:user@contoso.comUnique ID: 254729

Basic Auth CredentialsUsername/PasswordBasic Auth CredentialsUsername/Password

ADFS 2.0 - možnosti nasazení

• Jeden server ADFS 2.0• ADFS 2.0 serverová farma a load-balancer• ADFS 2.0 proxy server nebo UAG/TMG (External Users,

Active Sync, Outlook)

Enterprise PerimeterNetwork

ADFS 2.0ServerProxy

ADFS 2.0ServerProxy

Internaluser

ActiveDirectory

ActiveDirectory

AD FS 2.0Server

AD FS 2.0Server

AD FS 2.0Server

AD FS 2.0Server

ADFS 2.0ServerProxy

ADFS 2.0ServerProxy

19

Příprava na federaci identit• High availability design pro ADFS 2.0• Každý uživatel musí mít UPN• UPN suffix musí odpovídat ověřené doméně v Office 365• UPN Character restrictions

−Pozor na znaky specifické pro znakové sady−Tečka přesně před .@ symbolem

− jan.novak.@contoso.cz

• Uživatelé musí vědět, že se přihlašují pomocí UPN doOffice 365 aplikací−Lze skrýt za SmartLinks

20

Single Forest AD struktura a doporučeníStructure Description Considerations

Shodné domény Interní a externí doména jsoustejné: např. contoso.cz

Žádné zvláštní požadavky

Subdomény Interní doména je subdoménouexterní domény:praha.contoso.cz

Registrace domén musí být vpořadí shora dolů, nejprve tedycontoso.cz

.local doména Interní doména není veřejněregistrovatelnácontoso.local

Vlastnictví domény nelze ověřit• Všichni uživatelé musí mít

nové UPN• Ideální pro uživatele je SMTP

adresaVíce UPN suffixův doméne

Mix uživatelů, kteří mají různéUPNcontoso.com & fabrikam.com

Nutné mít více ADFS serverů,1:1

Multi Forest Více AD forestů, např.(resource/account)

Nyní není podporováno

Silné ověřování• Podporované scénáře

−Přihlášení na PC pomocí smart card− Přihlášení a všechna ověřování pomocí Kerberos protokolu bez

dalších dotazů na Smart Card

−Webové aplikace

• Nepodporované scénáře

−Nedoménové PC (rich apps)/Mobile applications

Client Win7/Vista/XPOutlook 2010 No

Outlook 2007 No

Lync 2010 Yes

SharePointOnline

Yes

WebApplications

Yes

Mobile No

Alternativní proxy• Lze využít Forefront TMG 2010 nebo UAG 2010 SP1

Možnosti Autentikační schéma OmezeníADFSproxy

Vyžaduje autentifikaci stron providera s ADFSproxy přihlašovací stránkou

None

ForefrontTMG

Publikuje ADFS server. Integrace s některýmistrong providery je součástí produktu

Podporováno, každácesta musí býtpublikována separátně

ForefrontUAG SP1

Publikuje ADFS server. Integrace s některýmistrong providery je součástí produktu s flexibilníintegrací

Podporováno, každácesta musí býtpublikována separátně

Synchronizace Identit

Synchronizace adresářů pro IT Pro

• Správa informací pro on-premises intranet a Office 365prostředí na jednom místě

• „Běží jako appliance!

−Nainstalujete a zapomenete

• Chyby se zasílaní emailem a zapisují do logů

−“Žádná zpráva je dobrá zpráva”

Synchronizace adresářů pro uživatele

• Stejné chování Office 365 služeb a On-Premise řešení

−Exchange Server

−Lync™ Server 2010

−SharePoint®

• Možnost koexistence

−Koexistence identit (aka single sign-on, federovanáidentita, federovaná autentifikace)

−Koexistence aplikací

Synchronizace adresářů pro uživateleKoexistence identit• Usnadňuje “Single Sign-On” chování• Pro uživatele: jedna sada přihlašování• Přenos on-premise uživatelů, security skupin, distribučních

skupin do cloudu−Kompletní address book přenesen do Exchange Online−SharePoint Online Access Control List (ACL) pomocí

Security Groups• Stále je možné zakládat uživatele, kontakty, skupiny v

prostředí Office 365

Synchronizace adresářů pro uživateleKoexistence aplikací• Dva typy:

−Jednoduchá koexistence−Bohatá koexistence (rich)• Jednoduchá koexistence:• Jeden konzistentní Address Book• Exchange Online uživatelé mohou dostávat emaily ze svých

validních on-premises proxy adres• Podpora konferenčních místností (Outlook Room Finder)

28

Synchronizace adresářů pro uživateleKoexistence aplikacíBohatá koexistence:• Hybridní deployment

−Fázová migrace (staged)−Data zůstávají v prostředí on-premises z obchodních

nebo právních důvodů• Free/Busy je dostupné uživatelům v prostředí on-premises

a v cloudu

29

Synchronizace adresářů pro uživateleKoexistence aplikací

Bohatá koexistence• Cross-Premise služby

−Zákazníci s on-premises mailboxy mohou mít voicemail vcloudu

−Archivace v cloudu−Koexistence filtrování (safe senders, blocked senders)

30

Kdy použít Directory Synch

• Synchronizace adresáře je dlouhodobá záležitost• Možné scénáře:

Scénáře Použít Dir Sync ?

Úvodní on-boarding/bulk vytvořeníuživatelů NE

Identity Federation ANO

Dlouhodobá migrace/používáníOffice 365 ANO

Částečné přijetí/migrace na službyOffice 365 ANO

Nastavení synchronizace adresářePožadavky

Tři typy požadavků:1) Host OS s běžícím DirSync (32-bit POUZE)

− Microsoft Windows Server® 2003 SP2 x86− Microsoft Windows Server 2008 x86− Nemůže být Domain Controller

2) Active Directory® Domain Services (AD DS) Forest functional levelsynchronizován pomocí nástroje DirSync− Microsoft Windows Server 2000− Microsoft Windows Server 2003 (minimální pro Exchange koexistenci)− Microsoft Windows Server 2008− Microsoft Windows Server 2008 R2

− Známá nekompatibilita s/ Recycle Bin

3) Bohatá koexistence− Vyžaduje Exchange Server 2010 SP1 CAS – licence zdarma− Instalace rozšíření schématu AD pro možnost bohaté koexistence

Jak funguje synchronizaceArchitektura

Synchornizace trvá1-30 vteřin

Jak funguje synchronizaceArchitektura - klient

• Microsoft Windows Server 2003 SP2 or higher (32-bit)• SQL Server 2008 R2 Express

−Pro větší nasazení Microsoft SQL Server® 2005 / 2008−10GB DB size limit• Microsoft Online ID componenty pro autentifikaci

Office 365• Download pro 23 jazyků

34

Jak funguje synchronizaceArchitektura - klient

• Při instalaci oprávnění Enterprise Admin• Vytváří se self-managed account pro účely synchronizace:

−Attribute-level write permissions pro bohatou koexistenci• Dále se používá účet s oprávněními administrátora pro

synchronizaci nájemce−Autentifikace pomoc Sign-in Assistant a s

Microsoft Online ID• Synchronizuje uživatele, skupiny …

−Filtrace objektů a atributů• Synchronizace každé 3 hodiny

Jak funguje synchronizaceArchitektura - klient

• Nejprve “full sync”−Synchronizace všech objektů• Následně “delta sync”

−Pouze změny• Čas replikace závisí na počtu objektů

Jak funguje synchronizaceArchitektura - server

• Synchronizace v dávkách• Uživatelé jsou zakládáni jako Microsoft Online ID pro

přihlášení do Office 365• Všechny objekty se ukládají do Office 365 Directory Store

−jsou zakládány v odpovídajících objednaných službách−(Exchange Online, Lync Online, SharePoint Online)

Jak funguje synchronizaceArchitektura – limity synchronizace

• Uvodní limit je 10,000 objektů−“objekt” = uživatelé, bezpečnostní skupiny, distribuční

seznamy (query based ?), kontakty−Při vyšším počtu kontaktovat support−Jinak limit není• Větší zákazníci (20,000+ uživatelů) mají možnost podepsat

speciální typ subskripce Office 365

• Řešení konfliktů – first win• Chyba s UPN – vyměněn za mail@XY.onmicrosoft.com

Validace atributů

Atribut Nejčastější chybyuserPrincipalName • Tečka před zavináčem ‘.’ ‘@’

• Větší než 113 znaků (64 for username, 48 for domain)• Pozor na ! # $ % & \ * + - / = ? ^ _` { | } ~ < > ( )• Duplicitní UPNs

samAccountName • Obsahuje “ \ / [ ] : | < > + = ; ? ,• Nesmí končit teškou ‘.’• Ne více než 20 znaků• Nesmí být prázdný

proxyAddresses • Nesmí obsahovat SMTP adresy doménneregistrovaných v předplatném• Nesmí obsahovat duplicitní adresy

SynchronizaceZápis do on-premises AD

• Pokud je vypnuta bohatá koexistence, DirSync nezapisujedo on-premises AD• Pokud je zapnuta bohatá koexistence, DirSync modifikuje

následujících 6 atributů:Atribut Vlastnost

SafeSendersHashBlockedSendersHashSafeRecipientHash

Filtering Coexistencezapíná on-premises filtrování cloud safe/blocked sender info

msExchArchiveStatus Cloud ArchivePovoluje uživatelům archivovat emaily v Office 365

ProxyAddresses (cloudLegDN) Mailbox off-boardingPovoluje přenést mailbox zpět do on-premise systému

cloudmsExchUCVoiceMailSettings Voicemail coexistenceon-premises mailbox využívá Lync Server 2010 v cloudu

Obvyklé otázky• Filtering

−Není podporován−Automated “scoping out” can lead to data loss (user

mailboxes!)

• HA pro DirSync−DirSync nástroj nelze mít v HA

Poznámka: pokud DirSync neběží, identity v Office 365 jsou„zamrzlé“, ale ostatní běží (Federated Authentication…..)

Obvyklé otázky• Velikost a škálování ?

−Directory Sync používá Microsoft! (~1M objektů)−Více než 50K+ objektů – plná verze SQL

Chystá se …• 64-bit Directory Sync client bude vydán záhy• Zajišťuje Windows Server 2008 R2 Recycle Bin object re-

animation (nepodporován na 32-bit DirSync klientu)

• Podpora pro multiforest synchronizaci - 2012

Nezapomeňte• Objekty jsou spravovány on-premise

−Musíte je zde také updatovat• Zastavení DirSyncu

−Nelze deaktivovat DirSync via Microsoft Online Portal− Klienta lze vypnout− Deaktivace DirSync bude zabudována později

−Nelze smazat synchronizované uživatele dokud jenesmažete z prostředí on-premise

Doménu lze smazat až poté, co v ní nejsou uživatelé