Office 365 - Authentisierung in der Cloud

Ähnliche Dokumente
Office 365 & Windows Server Ein Blick über den Tellerrand. René M. Rimbach Raphael Köllner

Office 365 Einsatzszenarien aus der Praxis. Martina Grom, Office 365 MVP

Veröffentlichung und Absicherung von SharePoint Extranets

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

:: Anleitung Hosting Server 1cloud.ch ::

Paninfo AG. 6. Oktober 2011 Lars Zängerle _. Microsoft Office Oktober 2011 Seite 1

Identity & Access Management in der Cloud

Mobile Device Management (MDM) Part1

Zur Einrichtung der orgamax Cloud auf Ihrem ipad beschreiben wir hier die Vorgehensweise.

Einrichten oder Löschen eines -Kontos

we run IT! ArGO Mail Inhaltsverzeichnis Services zurzeit in ArGO Mail aktiv: Mail

Sophia Business Leitfaden zur Administration

Clientkonfiguration für Hosted Exchange 2010

Deswegen bekomme ich folgende Fehlermeldung: Ich will aber nicht aufgeben, deswegen mache ich es erneut, aber mit einen anderen Seite - networkpro.

über mehrere Geräte hinweg...

:: Anleitung Migration Outlook 2010/2013/2016 ::

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

1 Objektfilterung bei der Active Directory- Synchronisierung

1 Konfigurationsanleitung Hosted Exchange

Exchange Verbund WOLFGANG FECKE

Office 365. von CSS. > Wir verstehen Ihr Unternehmen

Schritt 2: Konto erstellen

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Windows Small Business Server (SBS) 2008

Kurzanleitung zum Einrichten eines IMAP-Mail-Kontos unter Outlook 2013

Anleitung Hosted Exchange

Einrichtung eines -konto mit Outlook Express

Office 365 Active Directory Federation Services Shibboleth

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Windows Server 2008 (R2): Anwendungsplattform

TeamViewer App für Outlook Dokumentation

FL1 Hosting FAQ. FL1 Hosting FAQ. V1.0 (ersetzt alle früheren Versionen) Gültig ab: 18. Oktober Telecom Liechtenstein AG

Bruchez, Eddy Druckdatum :21:00

FL1 Hosting Technische Informationen

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

estos UCServer Multiline TAPI Driver

IPHONE WLAN, VPN,

Reporting Services und SharePoint 2010 Teil 1

Sophia Business Leitfaden zur Administration

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

Inhaltsverzeichnis U M S T E L L U N G A U F O F F I C E 3 6 5

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Installation & Konfiguration AddOn AD-Password Changer

Updatehinweise für die Version forma 5.5.5

- Einstellungen. Microsoft Outlook Express. 2. Geben Sie hier die -Adresse ein.

Anleitung ACPcloud.rocks Registrierung und erste VM

POP3 über Outlook einrichten

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Kurzanleitung zum Einrichten eines POP3-Mail-Kontos unter Outlook 2013

Einrichtungsanleitungen Hosted Exchange 2013

So richten Sie Outlook Express für Ihre s ein

und ch/

Business Application Framework für SharePoint Der Kern aller PSC-Lösungen

bizsoft Rechner (Server) Wechsel

FAQ IMAP (Internet Message Access Protocol)

OutLook 2003 Konfiguration

1. Konfiguration Outlook 2007 MAPI (mit Autodiscover).

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.

mysoftfolio360 Handbuch

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

Übersicht Benutzerdaten -Adresse: persönlich Benutzernamen: persönlich (aus Ihrem Outlook Web Access, siehe Anleitung Teil A)

Kurzanleitung Hosting

SharePoint Demonstration

FL1 Hosting Kurzanleitung

Einrichtungsanleitungen Hosted Exchange

2 Konfiguration von SharePoint

Folgen Sie bitte genau den hier gezeigten Schritten und achten Sie auf die korrekte Eingabe der Daten.

Upgrade-Leitfaden. Apparo Fast Edit 1 / 7

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

BitDefender Client Security Kurzanleitung

(im Rahmen der Exchange-Server-Umstellung am )

Live Update (Auto Update)

etermin Einbindung in Outlook

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

1 Office 365 an der HTL Wien 10: Einstellungen 2 Inhalt:

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Installation Microsoft SQL Server 2008 Express

COMPUTERIA VOM Wenn man seine Termine am Computer verwaltet hat dies gegenüber einer Agenda oder einem Wandkalender mehrere Vorteile.

A1 -Einstellungen Outlook 2013

Identity as a Service

Step by Step VPN unter Windows Server von Christian Bartl

3 Installation von Exchange


Weitere Infos findet man auch in einem Artikel von Frank Geisler und mir im Sharepoint Magazin (Ausgabe Januar 2011)

Einrichtung von Diensten auf Android 4.x

Übung - Datensicherung und Wiederherstellung in Windows 7

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Technische Dokumentation Scalera Mailplattform MS Entourage Konfigruation unter Mac OS X für EveryWare Kunden

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Edulu-Mail im Mail-Client einrichten (MS Outlook, Apple Mail, iphone)

SCHNELLEINSTIEG FÜR HOSTED EXCHANGE BASIC / PREMIUM

Exchange-Server - Outlook 2003 einrichten. 1. Konfiguration Outlook 2003 mit MAPI. Anleitung: Stand:

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools

Transkript:

Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Office 365 - Authentisierung in der Cloud 6. Oktober 2011 Seite 1

Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Office 365 Agenda 09:00-10:15 Overview Office 365, Administration (200) Office 365 im Überblick. Was ist neu? Welche Administrationsmöglichkeiten stehen zur Verfügung? Wo liegen die Unterschiede zu einer on-premise Lösung? 10:45-12:00 Deployment plan (200) Was muss berücksichtigt werden wenn ich auf Office 365 migrieren will? Welches sind die wichtigsten Punkte und Vorbereitungsmassnahmen? Durchführung einer Directory Synchronisation und Aufzeigen der Exchange- Migrationsszenarien. 13:00-14:15 Authentisierung in der Cloud (300) Welche Authentisierungsmöglichkeiten gibt es? Welche setze ich wann ein? Wie richte ich eine Active Directory Federation mit Office 365 ein, um ein Single Sign On mit meiner Domäne einzurichten. Aufzeigen von Risiken und Stolpersteinen. 6. Oktober 2011 Seite 2

Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Authentisierung in der Cloud (300) Authentisierungsmöglichkeiten ADFS 2.0 Einrichten Begriffe / Links Q&A 6. Oktober 2011 Seite 3

Authentisierungsmöglichkeiten - Vergleich aus Sicht Benutzer Microsoft Online IDs Anmeldung mit zusätzlicher Cloud ID Federated IDs Anmelden mit firmen interner ID Benutzer haben zwei IDs, eine für Firmen interne Dienste und eine für die Cloud Dienste Benutzer muss Anmeldedaten jeweils eingeben, Anmeldedaten können gespeichert werden und beim Passwortwechsel oder ablauf kommt erneut eine Eingabeaufforderung. Benutzer haben eine einzige ID für das einmalige Anmelden (SSO) für die firmen internen Dienste und für Cloud Dienste Benutzerfreundliches Single Sing On (SSO) 6. Oktober 2011 Seite 4

- Architektur 1. Microsoft Online IDs 2. Microsoft Online IDs + Directory Synchronization 3. Federated IDs (SSO) + Directory Synchronization Microsoft Office 365 Services Lokale Umgebung Identity platform Active Directory Federation Server 2.0 Trust Federation Gateway Exchange Online IdP AD MS Online Directory Sync Authentication platform IdP SharePoint Online Office 365 Desktop Setup Provisioning platform Directory Store Lync Online IdP = Identity Provider Admin Portal/ PowerShell 6. Oktober 2011 Seite 5

- Vergleich 1. MS Online IDs Geeignet für Kleinere Organisation ohne lokalem AD Vorteile Lokal sind keine Server erforderlich Nachteile Kein SSO Keine strenge Authentifizierung 2 unterschiedliche Benutzer mit unterschiedlichen Passwortrichtlinien Benutzer- und Gruppenverwaltung erfolgt in der Cloud Authentifizierung erfolgt in der Cloud 2. MS Online IDs + Dir Sync Geeignet für Mittlere/Grosse Organisationen mit lokalem AD Vorteile Benutzer- und Gruppenverwaltung erfolgt lokal Koexistenz-Szenarien möglich Nachteile Kein SSO Keine strenge Authentifizierung 2 unterschiedliche Benutzer mit unterschiedlichen Passwortrichtlinien Authentifizierung erfolgt in der Cloud 3. Federated IDs + Dir Sync Geeignet für Grössere Organisation mit lokalem AD Vorteile SSO mit Federated ID Benutzer- und Gruppenverwaltung erfolgt lokal Passwortrichtlinien werden lokal verwaltet Strenge Authentifizierung möglich Koexistenz-Szenarien möglich Authentifizierung erfolgt lokal Nachteile Hoch verfügbare Umgebungen notwendig 6. Oktober 2011 Seite 6

Authentisierungsmöglichkeiten - Anmeldeverhalten Neuer Office 365 Desktop Setup notwendig Hauptsächlich für Rich Clients Dabei werden Client & OS Updates installiert Stellt Authentifizierungsunterstützung für Rich Client zur Verfügung Stellt sicher, dass Clients alle nötigen Service-Konfiguration besitzen Für Web Kiosk Szenarien (Bsp. OWA) nicht benötigt Passwort-Abfragen Für Rich Applikationen können Passwörter gespeichert werden Für Web Applikationen kann ein Benutzer angemeldet bleiben Abfrage erfolgt erst wieder bei Passwortablauf oder änderung SSO-Abfragen Abfragen können via Smart Links umgangen werden. Benutzername muss im UPN Format (user@office-365.ch) eingegeben werden (realm discovery) Für non AD joined Computer wird trotzdem ein Passwort benötigt. 6. Oktober 2011 Seite 7

- Verhalten Lync Online Outlook 2007 or 2010 Outlook Web Application SharePoint Web Application Office 2010, or Office 2007 SP2 ActiveSync, POP, IMAP, Entourage Win7/Vista/XP Win7/Vista/XP Win 7/Vista/XP MS Online IDs Each session Online ID Each session Online ID Each session Online ID Each session Online ID Once at setup Online ID SSO IDs (domain joined) No prompt Each session No prompt Each Session Each Session AD credentials AD credentials AD credentials AD credentials AD credentials SSO IDs (non-domain joined) Each session Each session Each session Each session Each Session AD credentials AD credentials AD credentials AD credentials AD credentials 6. Oktober 2011 Seite 8

Authentisierungsmöglichkeiten - Demo DEMO 1. Anmeldung via Microsoft Online ID 2. Anmeldung via Federated ID 3. Web und Rich Client Verhalten 4. Benutzerverwaltung 6. Oktober 2011 Seite 9

Setup einer neuen SSO-Domain 1. MOS PowerShell Module installieren 2. Verbindung mit ADFS 2.0 und Microsoft Office 365 aufbauen 3. Domain hinzufügen (Details für Inhaber-Überprüfung) 4. Trust hinzufügen Microsoft Office 365 Services Lokale Umgebung Active Directory Federation Server 2.0 Trust Identity platform Federation Gateway Trust hinzufügen - Claim Rules - User Source ID = AD ObjectGUID Update Authentication platform DNS TXT Eintrag erforderlich Provisioning platform Directory Store MOS PowerShell Module Domain hinzufügen Domain Überprüfung - Active/Mex/Passive - Token certs Current/Next - Brand URI etc Admin Portal/ PowerShell 6. Oktober 2011 Seite 10

- MOS Identity Federation Management Tool PowerShell Funktionen Set-MSOLContextCredential Aufbauen einer Verbindung mit Office 365 Services Add-MSOLFederatedDomain - Hinzufügen einer Domain für SSO-Domain Convert-MSOLDomainToFederated - Konvertieren einer Standard Domain zu einer SSO-Domain Convert-MSOLDomainToStandard - Konvertieren einer SSO-Domain zu einer Standard Domain Achtung: Beim Wechsel auf eine Standard Domain werden alle Benutzer aufgeforder ein neues Passwort einzugeben Get-MSOLFederationProperty - Eigenschaften einer SSO-Domain abfragen Hilfreich beim Troubleshooting oder für die Verfikation Update-MSOLFederationDomain - Eigenschaften einer SSO-Domain aktualisieren Erforderlich falls Eigenschaften angepasst werden, wie zum Beispiel Signierungszertifikat Remove-MSOLFederatedDomain Entfernen einer SSO-Domain 6. Oktober 2011 Seite 11

- Demo DEMO 1. Identity Federation einrichten auf Office 365 Portal 2. Microsoft Online Services Identity Federation Management tool 6. Oktober 2011 Seite 12

- Authentisierungsablauf Passive / Web Profile Customer Microsoft Online Services Active Directory ADFS 2.0 Server Logon (SAML 1.1) Token UPN:user@contoso.com Source User ID: ABC123 Federation Gateway Auth Token UPN:user@contoso.com Unique ID: 254729 ` Client (AD joined) Exchange Online or SharePoint Online 6. Oktober 2011 Seite 13

- Authentisierungsablauf Active / Rich Client Profile Customer Microsoft Online Services Active Directory ADFS 2.0 Server Logon (SAML 1.1) Token UPN:user@contoso.com Source User ID: ABC123 Federation Gateway Auth Token UPN:user@contoso.com Unique ID: 254729 ` Client (AD joined) Lync Online 6. Oktober 2011 Seite 14

- Authentisierungsablauf Active Flow (Outlook / Active Sync) Customer Microsoft Online Services Active Directory ADFS 2.0 Server Logon (SAML 1.1) Token UPN:user@contoso.com Source User ID: ABC123 Federation Gateway Auth Token UPN:user@contoso.com Unique ID: 254729 ` Client (AD joined) Basic Auth Credentilas Username/Password Exchange Online 6. Oktober 2011 Seite 15

ADFS 2.0 Einrichten - Details Microsoft Office 365 Services Voraussetzungen Identity Federation aktuell nur über ADFS 2.0 möglich In MS Online Szenarien werden immer WS-* eingesetzt WS-Trust bietet Unterstützung für Rich Client Authentifizierung Unterstützte Protokolle WS-* (Web Services Spezifikationen), SAML1.1 SAML2.0 coming later (with Shibboleth support) Stenge Authentifizierung (2FA, Two-factor Authentication) Lösungen Web Applikatioenn über ADFS Proxy Sign In Webseite oder andere Proxies (UAG/TMG) Rich Clients sind abhängig von der möglichen Konfiguration 6. Oktober 2011 Seite 16

ADFS 2.0 Einrichten - Umsetzungsvarianten 1. Single server configuration 2. ADFS 2.0 server farm and load-balancer 3. ADFS 2.0 proxy server or UAG/TMG (External Users, Active Sync, Outlook) Active Directory ADFS 2.0 Server ADFS 2.0 Server ADFS 2.0 Server Proxy Internal user ADFS 2.0 Server Proxy Enterprise DMZ 6. Oktober 2011 Seite 17

ADFS 2.0 Einrichten - Identity Federation ausrollen oder testen Ausgangslage 1: Neue Office 365 Umgebung oder neue zusätzliche federated Domain Rollout kann Phasenweise durchgeführt werden Ausgangslage 2: Bestehende Office 365 Umgebung mit bestehender Domain und lizenzierten Benutzern Domain Konvertierung ( standard zu federated ) ist eine grosse Umstellung! Phasenweiser Rollout ist nicht möglich Pilotumgebung nur mit einer separaten Test Domain möglich, erfordert aber das ändern von Benutzer UPNs 6. Oktober 2011 Seite 18

ADFS 2.0 Einrichten - Unterstützte AD Strukturen Matching Domain Interne und Externe Domain sind identisch, Beispiel: office-365.ch Sub Domain Interne Domain ist eine Sub Domain der externen Domain, Beispiel: corp.office-365.ch Beide Domain müssen der registriert werden, zuerst Top-Level-Domain Local Domain Interne Domain ist nicht offentlich registriert, Beispiel: office365.local Interne Domains können nicht verwendet werden, Alle Benutzer benötigen eine neue UPN (User Principal Name) Multiple distinct login domains Verschiedenen eigenständige Domains, Beispiel: office-365.ch und paninfo.com Für jede Domain ist eine eigenständige ADFS 2.0 Umgebung notwendig Multi Forest Wird zur Zeit nicht unterstützt, kann zu einem Pool zusammengeführt werden über weitere Tools 6. Oktober 2011 Seite 19

(1/2) Jeder Benutzer muss eine UPN besitzen UPNs müssen mit einer validierten Domain in Office 365 übereinstimmen UPN Charakterrestriktionen Buchstaben, Zahlen, Punkte, Underscore (_) oder Bindestrich (-) Keinen Punkte vor @ Zeichen Benutzer müssen verstehen, dass sie sich mit der UPN anmelden sollen Beispiel: flamari@office-365.ch und nicht office365\flamari 6. Oktober 2011 Seite 20

(2/2) Office 365 Hauptadministrator niemals auf Identity Federation umstellen Für Troubleshooting notwendig Öffentliches Zertifikat erforderlich, zum Test gibt es auch gratis Zertifikate Microsoft Online IDs können nicht als Backup für Federated IDs verwendet werden 6. Oktober 2011 Seite 21

Begriffe und Links Abkürzung MOS MOP ADFS TMG UAG DirSync DMZ UPN SSO SAML WS-* Begriff Microsoft Online Services Microsoft Online Portal Active Directory Federation Services Microsoft Forefront Threat Management Gateway Microsoft Forefront Unified Access Gateway Directory Synchronisation Tool Demilitarized Zone User Principal Name Sigle sign-on / Einmaliges Anmelden Security Assertion Markup Language Web Services Spezifikationen Offizielle Website zu Office 365: Offizielle Hilfeseiten: Paninfo Website zu Office 365: www.office365.com Verzeichnissynchronisierung und einmaliges Anmelden Directory synchronization and single sign-on Enterprise Single Sign-on (Office 365 Community) www.office-365.ch 6. Oktober 2011 Seite 22

??? FRAGEN??? 6. Oktober 2011 Seite 23

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback