Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Office 365 - Authentisierung in der Cloud 6. Oktober 2011 Seite 1
Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Office 365 Agenda 09:00-10:15 Overview Office 365, Administration (200) Office 365 im Überblick. Was ist neu? Welche Administrationsmöglichkeiten stehen zur Verfügung? Wo liegen die Unterschiede zu einer on-premise Lösung? 10:45-12:00 Deployment plan (200) Was muss berücksichtigt werden wenn ich auf Office 365 migrieren will? Welches sind die wichtigsten Punkte und Vorbereitungsmassnahmen? Durchführung einer Directory Synchronisation und Aufzeigen der Exchange- Migrationsszenarien. 13:00-14:15 Authentisierung in der Cloud (300) Welche Authentisierungsmöglichkeiten gibt es? Welche setze ich wann ein? Wie richte ich eine Active Directory Federation mit Office 365 ein, um ein Single Sign On mit meiner Domäne einzurichten. Aufzeigen von Risiken und Stolpersteinen. 6. Oktober 2011 Seite 2
Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Authentisierung in der Cloud (300) Authentisierungsmöglichkeiten ADFS 2.0 Einrichten Begriffe / Links Q&A 6. Oktober 2011 Seite 3
Authentisierungsmöglichkeiten - Vergleich aus Sicht Benutzer Microsoft Online IDs Anmeldung mit zusätzlicher Cloud ID Federated IDs Anmelden mit firmen interner ID Benutzer haben zwei IDs, eine für Firmen interne Dienste und eine für die Cloud Dienste Benutzer muss Anmeldedaten jeweils eingeben, Anmeldedaten können gespeichert werden und beim Passwortwechsel oder ablauf kommt erneut eine Eingabeaufforderung. Benutzer haben eine einzige ID für das einmalige Anmelden (SSO) für die firmen internen Dienste und für Cloud Dienste Benutzerfreundliches Single Sing On (SSO) 6. Oktober 2011 Seite 4
- Architektur 1. Microsoft Online IDs 2. Microsoft Online IDs + Directory Synchronization 3. Federated IDs (SSO) + Directory Synchronization Microsoft Office 365 Services Lokale Umgebung Identity platform Active Directory Federation Server 2.0 Trust Federation Gateway Exchange Online IdP AD MS Online Directory Sync Authentication platform IdP SharePoint Online Office 365 Desktop Setup Provisioning platform Directory Store Lync Online IdP = Identity Provider Admin Portal/ PowerShell 6. Oktober 2011 Seite 5
- Vergleich 1. MS Online IDs Geeignet für Kleinere Organisation ohne lokalem AD Vorteile Lokal sind keine Server erforderlich Nachteile Kein SSO Keine strenge Authentifizierung 2 unterschiedliche Benutzer mit unterschiedlichen Passwortrichtlinien Benutzer- und Gruppenverwaltung erfolgt in der Cloud Authentifizierung erfolgt in der Cloud 2. MS Online IDs + Dir Sync Geeignet für Mittlere/Grosse Organisationen mit lokalem AD Vorteile Benutzer- und Gruppenverwaltung erfolgt lokal Koexistenz-Szenarien möglich Nachteile Kein SSO Keine strenge Authentifizierung 2 unterschiedliche Benutzer mit unterschiedlichen Passwortrichtlinien Authentifizierung erfolgt in der Cloud 3. Federated IDs + Dir Sync Geeignet für Grössere Organisation mit lokalem AD Vorteile SSO mit Federated ID Benutzer- und Gruppenverwaltung erfolgt lokal Passwortrichtlinien werden lokal verwaltet Strenge Authentifizierung möglich Koexistenz-Szenarien möglich Authentifizierung erfolgt lokal Nachteile Hoch verfügbare Umgebungen notwendig 6. Oktober 2011 Seite 6
Authentisierungsmöglichkeiten - Anmeldeverhalten Neuer Office 365 Desktop Setup notwendig Hauptsächlich für Rich Clients Dabei werden Client & OS Updates installiert Stellt Authentifizierungsunterstützung für Rich Client zur Verfügung Stellt sicher, dass Clients alle nötigen Service-Konfiguration besitzen Für Web Kiosk Szenarien (Bsp. OWA) nicht benötigt Passwort-Abfragen Für Rich Applikationen können Passwörter gespeichert werden Für Web Applikationen kann ein Benutzer angemeldet bleiben Abfrage erfolgt erst wieder bei Passwortablauf oder änderung SSO-Abfragen Abfragen können via Smart Links umgangen werden. Benutzername muss im UPN Format (user@office-365.ch) eingegeben werden (realm discovery) Für non AD joined Computer wird trotzdem ein Passwort benötigt. 6. Oktober 2011 Seite 7
- Verhalten Lync Online Outlook 2007 or 2010 Outlook Web Application SharePoint Web Application Office 2010, or Office 2007 SP2 ActiveSync, POP, IMAP, Entourage Win7/Vista/XP Win7/Vista/XP Win 7/Vista/XP MS Online IDs Each session Online ID Each session Online ID Each session Online ID Each session Online ID Once at setup Online ID SSO IDs (domain joined) No prompt Each session No prompt Each Session Each Session AD credentials AD credentials AD credentials AD credentials AD credentials SSO IDs (non-domain joined) Each session Each session Each session Each session Each Session AD credentials AD credentials AD credentials AD credentials AD credentials 6. Oktober 2011 Seite 8
Authentisierungsmöglichkeiten - Demo DEMO 1. Anmeldung via Microsoft Online ID 2. Anmeldung via Federated ID 3. Web und Rich Client Verhalten 4. Benutzerverwaltung 6. Oktober 2011 Seite 9
Setup einer neuen SSO-Domain 1. MOS PowerShell Module installieren 2. Verbindung mit ADFS 2.0 und Microsoft Office 365 aufbauen 3. Domain hinzufügen (Details für Inhaber-Überprüfung) 4. Trust hinzufügen Microsoft Office 365 Services Lokale Umgebung Active Directory Federation Server 2.0 Trust Identity platform Federation Gateway Trust hinzufügen - Claim Rules - User Source ID = AD ObjectGUID Update Authentication platform DNS TXT Eintrag erforderlich Provisioning platform Directory Store MOS PowerShell Module Domain hinzufügen Domain Überprüfung - Active/Mex/Passive - Token certs Current/Next - Brand URI etc Admin Portal/ PowerShell 6. Oktober 2011 Seite 10
- MOS Identity Federation Management Tool PowerShell Funktionen Set-MSOLContextCredential Aufbauen einer Verbindung mit Office 365 Services Add-MSOLFederatedDomain - Hinzufügen einer Domain für SSO-Domain Convert-MSOLDomainToFederated - Konvertieren einer Standard Domain zu einer SSO-Domain Convert-MSOLDomainToStandard - Konvertieren einer SSO-Domain zu einer Standard Domain Achtung: Beim Wechsel auf eine Standard Domain werden alle Benutzer aufgeforder ein neues Passwort einzugeben Get-MSOLFederationProperty - Eigenschaften einer SSO-Domain abfragen Hilfreich beim Troubleshooting oder für die Verfikation Update-MSOLFederationDomain - Eigenschaften einer SSO-Domain aktualisieren Erforderlich falls Eigenschaften angepasst werden, wie zum Beispiel Signierungszertifikat Remove-MSOLFederatedDomain Entfernen einer SSO-Domain 6. Oktober 2011 Seite 11
- Demo DEMO 1. Identity Federation einrichten auf Office 365 Portal 2. Microsoft Online Services Identity Federation Management tool 6. Oktober 2011 Seite 12
- Authentisierungsablauf Passive / Web Profile Customer Microsoft Online Services Active Directory ADFS 2.0 Server Logon (SAML 1.1) Token UPN:user@contoso.com Source User ID: ABC123 Federation Gateway Auth Token UPN:user@contoso.com Unique ID: 254729 ` Client (AD joined) Exchange Online or SharePoint Online 6. Oktober 2011 Seite 13
- Authentisierungsablauf Active / Rich Client Profile Customer Microsoft Online Services Active Directory ADFS 2.0 Server Logon (SAML 1.1) Token UPN:user@contoso.com Source User ID: ABC123 Federation Gateway Auth Token UPN:user@contoso.com Unique ID: 254729 ` Client (AD joined) Lync Online 6. Oktober 2011 Seite 14
- Authentisierungsablauf Active Flow (Outlook / Active Sync) Customer Microsoft Online Services Active Directory ADFS 2.0 Server Logon (SAML 1.1) Token UPN:user@contoso.com Source User ID: ABC123 Federation Gateway Auth Token UPN:user@contoso.com Unique ID: 254729 ` Client (AD joined) Basic Auth Credentilas Username/Password Exchange Online 6. Oktober 2011 Seite 15
ADFS 2.0 Einrichten - Details Microsoft Office 365 Services Voraussetzungen Identity Federation aktuell nur über ADFS 2.0 möglich In MS Online Szenarien werden immer WS-* eingesetzt WS-Trust bietet Unterstützung für Rich Client Authentifizierung Unterstützte Protokolle WS-* (Web Services Spezifikationen), SAML1.1 SAML2.0 coming later (with Shibboleth support) Stenge Authentifizierung (2FA, Two-factor Authentication) Lösungen Web Applikatioenn über ADFS Proxy Sign In Webseite oder andere Proxies (UAG/TMG) Rich Clients sind abhängig von der möglichen Konfiguration 6. Oktober 2011 Seite 16
ADFS 2.0 Einrichten - Umsetzungsvarianten 1. Single server configuration 2. ADFS 2.0 server farm and load-balancer 3. ADFS 2.0 proxy server or UAG/TMG (External Users, Active Sync, Outlook) Active Directory ADFS 2.0 Server ADFS 2.0 Server ADFS 2.0 Server Proxy Internal user ADFS 2.0 Server Proxy Enterprise DMZ 6. Oktober 2011 Seite 17
ADFS 2.0 Einrichten - Identity Federation ausrollen oder testen Ausgangslage 1: Neue Office 365 Umgebung oder neue zusätzliche federated Domain Rollout kann Phasenweise durchgeführt werden Ausgangslage 2: Bestehende Office 365 Umgebung mit bestehender Domain und lizenzierten Benutzern Domain Konvertierung ( standard zu federated ) ist eine grosse Umstellung! Phasenweiser Rollout ist nicht möglich Pilotumgebung nur mit einer separaten Test Domain möglich, erfordert aber das ändern von Benutzer UPNs 6. Oktober 2011 Seite 18
ADFS 2.0 Einrichten - Unterstützte AD Strukturen Matching Domain Interne und Externe Domain sind identisch, Beispiel: office-365.ch Sub Domain Interne Domain ist eine Sub Domain der externen Domain, Beispiel: corp.office-365.ch Beide Domain müssen der registriert werden, zuerst Top-Level-Domain Local Domain Interne Domain ist nicht offentlich registriert, Beispiel: office365.local Interne Domains können nicht verwendet werden, Alle Benutzer benötigen eine neue UPN (User Principal Name) Multiple distinct login domains Verschiedenen eigenständige Domains, Beispiel: office-365.ch und paninfo.com Für jede Domain ist eine eigenständige ADFS 2.0 Umgebung notwendig Multi Forest Wird zur Zeit nicht unterstützt, kann zu einem Pool zusammengeführt werden über weitere Tools 6. Oktober 2011 Seite 19
(1/2) Jeder Benutzer muss eine UPN besitzen UPNs müssen mit einer validierten Domain in Office 365 übereinstimmen UPN Charakterrestriktionen Buchstaben, Zahlen, Punkte, Underscore (_) oder Bindestrich (-) Keinen Punkte vor @ Zeichen Benutzer müssen verstehen, dass sie sich mit der UPN anmelden sollen Beispiel: flamari@office-365.ch und nicht office365\flamari 6. Oktober 2011 Seite 20
(2/2) Office 365 Hauptadministrator niemals auf Identity Federation umstellen Für Troubleshooting notwendig Öffentliches Zertifikat erforderlich, zum Test gibt es auch gratis Zertifikate Microsoft Online IDs können nicht als Backup für Federated IDs verwendet werden 6. Oktober 2011 Seite 21
Begriffe und Links Abkürzung MOS MOP ADFS TMG UAG DirSync DMZ UPN SSO SAML WS-* Begriff Microsoft Online Services Microsoft Online Portal Active Directory Federation Services Microsoft Forefront Threat Management Gateway Microsoft Forefront Unified Access Gateway Directory Synchronisation Tool Demilitarized Zone User Principal Name Sigle sign-on / Einmaliges Anmelden Security Assertion Markup Language Web Services Spezifikationen Offizielle Website zu Office 365: Offizielle Hilfeseiten: Paninfo Website zu Office 365: www.office365.com Verzeichnissynchronisierung und einmaliges Anmelden Directory synchronization and single sign-on Enterprise Single Sign-on (Office 365 Community) www.office-365.ch 6. Oktober 2011 Seite 22
??? FRAGEN??? 6. Oktober 2011 Seite 23