Momentan dreht sich alles um neue Services in Office 365, cool, aber ein Thema ist ebenso wichtig. Identitäten und Authentifizierung. Von einer Cloud Identität auf Federierte Identität im Betrieb umzustellen macht kein Spaß. Soviel ist sicher! In diesem Artikel findest du die aktuellen Möglichkeiten und weiterführende Links, sodass du als Einstieg hier alles beisammen hast.

Die folgenden Authentifizierungmöglichkeiten bestehen:

  1. Cloud-Only
  2. Password Hash Sync / Kennwortsynchronisierung
  3. AD FS / Active Directory-Verbunddienste
  4. Drittanbieter Föderierungsanbieter
  5. Passthrough-Authentication

Bevor es in die einzelnen Möglichkeiten geht etwas mehr Informationen hier zu den verschiedenen Identitäten. In Office 365 gibt es drei Identitäten:

  1. Cloud identity / Cloud Identität
  2. Synchronized identity / Synchronisierte Identität
  3. Federated identity / Federierte Identität

Um die nachfolgenden Authentifizierungsmöglichkeiten besser zu verstehen ist meiner Meinung nach das Verständnis der Identitäten relevant. Daher hier der kleine Ausflug dahin.

Cloud identity / Cloud Identität

Aus meiner Sicht DAS Modell für kleine Office 365 Instanzen. Jedes Unternehmen, welches keine eigene Infrastruktur hat sollte sich definitv damit beschäftigen, da alles in Office 365 erstellt und bearbeitet wird sowie in Azure Active Directory gespeichert wird. Auch wird das Passwort von Azure Active Directory verifiziert. Azure Active Directory ist der “Cloud” Verzeichnisdienst von Microsoft. Sozusagen das vergleichbare Active Directory aus dem eigenen Serverraum. Es gibt keinen identischen Benutzer im lokalen Verzeichnisdienst, falls dies vorhanden ist.

Cloud identity – Cloud Identität

Synchronized identity / Synchronisierte Identität

Die synchronisierte Identität ist auf dem lokalen Verzeichnisdienst gemanaged (oft der Active Directory Server im eigenen Serverraum) und die Benutzerkonten sind in der Cloud. Die Passwörter sind als doppelter Hashwert in der cloud gesichert. Mehr dazu findest du hier. Der Benutzer meldet sich an der Loginmaske mit seinem gleichen user (UPN / E-Mail) und seinem bekannten Passwort an welches von Azure Active Directory geprüft wird. Diese Identität verwendet das Azure Active Directory Connect Tool um die Benutzer beispielsweise von dem eigenen Active Directory in die Cloud zu synchronisieren.

Synchronized identity – Sychronisierte Identität

Federated identity / Federierte Identität

Diese Identität benötigt ebenfalls das Azure Active Directory Connect Tool sowie einen Active Directory Verbunddienst (AD FS) oder einen Identitäts-Drittanbieter. Das Passwort des Benutzers wird bei dieser Identität nicht von Azure geprüft, sondern von dem lokalen Identitätsanbieter. In der folgenden Zeichnung ist es beispielsweise AD FS. Eins sollte hier noch klar sein, AD FS hat nichts spezifisches mit Office 365 zu tun. Es hilft bei vielen anderen Anwendungen ebenfalls.

Federated identity / Federierte Identität

Dies sollte es als Ausflug in die Identitäten gewesen sein. Weiterführende Links findest du innerhalb der Identitätsabschnitten.

Authentifizierungsmöglichkeiten

Cloud-Only

Wer die “Cloud Identität” gelesen hat weiß schon was passiert. Recht simpel. Da sich das Benutzerkonto ist der Cloud befindet, meldet der User sich mit seinen Cloud Daten an Office 365 (Azure Active Directory) an. Mehr Details hier. Die Vorteile sind ebenfalls recht simpel.

Vorteile:

  • Einfache Konfiguration
  • Zuverlässigkeit, da keine eigene Hardware im Serverraum benötigt wird die updates benötigt oder Probleme bereitet
  • Wenn der Benutzer oder die Benutzerin eine Internetverbindung hat, kann man sich anmelden

Nachteile:

  • Die Verwaltung von einer großen Anzahl von Usern im Admin Portal selbst mittels Importfunktionalität ist sehr aufwändig
  • Ist ein lokaler Verzeichnisdienst vorhanden haben die Cloud Identitäten nichts mit den lokalen gemeinsam und sind getrennt. Passwörter können voneinander abweichen und sind nicht synchron.

Password Hash Sync / Kennwortsynchronisierung

Auch hier was der Ausflug in die synchronisierten Identitäten ein Hinweis was passiert. Wie bei der Cloud-Only Authentifizierung meldet sich der User an Office 365 an und hat danach Zugriff. Eine willkommen Abwechslung zur Cloud-Only Authentifizierung ist die Kennwortsynchronisierung mit Azure AD Connect.

Vorteile:

  • Benutzer müssen sich nur ein Passwort merken, da die Konten aus dem lokalen Verzeichnisdienst in die Cloud gesynct werden
  • Die Verwaltung der Konten kann im lokalen Verzeichnisdienst erledigt werden welches sich an bestehende Prozesse gut anpasst
  • Mit erweiterten Lizenzen kann der Benutzer das Passwort in der Cloud ändern und dies wird in das lokale Verzeichnis zurück geschrieben

Nachteile:

  • Domänengebundene PC’s werden standardmäßig immer noch nach dem Passwort gefragt (z.B. Passwortabfrage im Browser)
  • Logineinschränkungen können hier wie auch bei Cloud-Only nur limitiert erfolgen, da die Anmeldung gegen Azure Active Directory erfolgt
  • Die angesprochenen erweiterten Lizenzen für die Passwortänderung in der Cloud sind Azure Active Directory Premium oder die Enterprise Mobility & Security Pakete welche in erhöhte Kosten resultieren
  • Eigene Hardware benötigt, jedoch zumeist vorhanden durch eigenen Active Directory Server

AD FS / Active Directory-Verbunddienste

Die umfassenste Lösung für Office 365 sind die federierten Identitäten. Da die Anmeldung gegen den eigenen Identitätsanbieter erfolgt sind keine Passwörter, auch keine Hashes in Azure Active Directory. AD FS bietet ein “echtes Single-Sign-On” und bietet den Anwender die bestmögliche Integration Ihrer Devices.

Vorteile:

  • Volle SSO Integration im Webbrowser und Office
  • Erweiterte Sicherheitsmöglichkeiten wie beispielsweise eine Filterung der Herkunfs-IP-Adresse
  • Die AD FS Farm kann für andere Cloudservices die SAML verwenden wiederverwendet werden

Nachteile:

  • Recht komplexes Setup und eigene Hardware benötigt
  • Erhöhte Kosten durch Server und Software
  • Erweiterter Punkt für Probleme

Drittanbieter Föderierungsanbieter

Ein recht ähnliches Szenario wie AD FS in dem ein anderer Anbieter zur Föderierung mit Office 365 genutzt wird. Wenn beispielsweise Shibboleth, BIG-IP oder VMware Workspace One bereits benutzt wird, sollte geprüft werden ob dies ausreicht. Einen zweiten Föderierungsanbieter nur für Office 365 zu verwenden halte ich für nicht sinnvoll. Die Kompatibilitätsliste ist hier zu finden.

Passthrough-Authentication

Zum Abschluss der Möglichkeiten kommt PTA. Dies ermöglicht ein tunneln der Anmeldedaten in die eigene Infrastruktur welche dann wieder gegen den eigenen Anbieter verifiziert werden. Die Daten werden zwar an der Anmeldeseite eigegeben, werden aber nicht in Azure Active Directory gesichert.

Hier noch ein Bild und einen weiterführenden Link welches die Details etwas mehr erklärt.

Passthrough-Autentication / Passthrough-Authentifizierung

Somit sollte einiges zum Thema Office 365 Identitäten und Authentifizierung geklärt sein.

Falls es Fragen oder Wünsche gibt, einfach in den Kommentaren Fragen oder mich per Mail, Twitter oder Facebook anschreiben.

Zum Abschluss bleibt:

Don’t be afraIT, everything will work out / Keine Angst, alles halb so wild 🙂

LEAVE A REPLY

Please enter your comment!
Please enter your name here