Marta Grum, Administrator Systemów Microsoft w Grupie Unity OFFICE 365 + ADFS - POŁĄCZENIE KORZYŚCI ROZWIĄZAŃ CHMUROWYCH I CENTRALNEGO ZARZĄDZANIA Usługa Office365 jest niezbędnym pakietem narzędzi wykorzystywanych do codziennej pracy, dostępnym w chmurze Microsoftu. W zależności od wybranego planu dostępne są usługi tj.: Exchange Online, SharePoint Online, Lync Online, CRM Online, Project Online, Pakiet biurowy Office itp. Sądząc po szybkości pojawiania się nowych funkcjonalności, w niedalekiej przyszłości Microsoft zaskoczy kolejnymi nowymi możliwościami swojej chmury. Office365 nie jest przeznaczony jedynie dla firm pozbawionych infrastruktury informatycznej. Organizacje posiadające lokalne środowisko informatyczne również mogą skorzystać z zalet usług chmurowych nie tracąc możliwości zarządzania centralnego. Połączenie dwóch niezależnych środowisk jest możliwe przy pomocy rozwiązania firmy Microsoft Active Directory Federation Services. Daje ono możliwość kontroli środowiska chmurowego poprzez wykorzystanie lokalnego Active Directory, a także posiada kilka innych istotnych zalet Czym jest ADFS? ADFS, czyli Active Directory Federation Services jest dedykowanym oprogramowaniem zapewniającym użytkownikom w organizacji logowanie się do zewnętrznej usługi Office365 przy użyciu loginu i hasła przechowywanego w wewnętrznym Active Directory. Federacja Office365 z Active Directory przeznaczona jest dla firm posiadających usługę katalogową. ADFS spełnia rolę pośrednika umożliwiającego w bezpieczny sposób przekazanie danych pomiędzy organizacją, a usługą chmurową. Oprócz możliwości związanych z uwierzytelnianiem użytkowników ADFS ułatwia w znacznym stopniu zarządzanie środowiskiem znajdującym się w chmurze. Wykorzystując ADFS i narzędzie do synchronizacji katalogów, wszelkie zmiany dotyczące użytkownika wykonywane po stronie Active Directory są uwzględniane w usłudze chmurowej. Zalety wdrożenia ADFS wspólnie z Office365 Zauważalną zaletą, która przychodzi na myśl, jako pierwsza jest ułatwienie użytkownikowi możliwości logowania poprzez wykorzystanie lokalnego AD. Przy dużej ilości systemów obsługiwanych w codziennej pracy trudne jest zapamiętanie wielu haseł. Ułatwienie dostępu jest wygodą dla użytkownika. Umożliwienie wykorzystania polityki haseł jest gwarancją bezpieczeństwa firmy i jej danych. ADFS oferuje zatem zarówno funkcjonalność jak i bezpieczeństwo.
Operacja uwierzytelnienia użytkownika odbywa się wewnątrz organizacji. W przypadku firm, które wykupiły licencję obejmującą np. Exchange Online i SharePoint Online użytkownicy mogą przełączać się pomiędzy usługami w interfejsie webowym wykorzystując mechanizm SSO (ang.single sign-on) - pojedyncze logowanie. Kontrolowanie usługi Office365 po stronie AD umożliwia centralne zarządzanie. Poprzez zebranie danych o użytkownikach w jednym miejscu obniżamy jednocześnie czas i koszty potrzebne na obsługę nowych systemów. Funkcjonalności godne uwagi, które zyskujemy poprzez wdrożenie ADFS to m.in., automatyczne uzupełnianie danych użytkownika (jest on importowany do Office365 z danymi uzupełnionymi po stronie AD), tworzenie grup dystrybucyjnych i grup zabezpieczeń, ustalanie adresów e- mail i aliasów po stronie Active Directory, możliwość wymuszenia polityki haseł przedsiębiorstwa i blokady kont oraz ułatwienie dostępu użytkownikom. O czym należy pamiętać decydując się na wykorzystanie lokalnego AD z usługą Office365 Decydując się na wdrożenie ADFS-a przenosimy część odpowiedzialności za dostępność usługi na firmę. Active Directory oraz wszelkie serwery pośredniczące w procesie uwierzytelniania i synchronizacji katalogów muszą mieć zapewnioną wysoką dostępność. Istotne jest także redundantne łącze, które pozwoli na zapewnienie ciągłej łączności pomiędzy usługą chmurową, a lokalnym AD.
Active Directory Użytkownicy Farma ADFS Z pewnością dla wielu firm, które chcą skorzystać z wdrożenia usługi ADFS zniechęca liczba dodatkowych lokalnych serwerów, które należy przygotować. Farma ADFS do poprawnego funkcjonowanie oprócz kontrolera domeny wymaga serwera ADFS i ADFS Proxy oraz serwera z usługą synchronizacji katalogów. Dla organizacji, które nie posiadają własnej serwerowni istnieje substytut w postaci Windows Azure. Z użyciem chmury Microsoftu można utworzyć własne środowisko eliminując wszelkie potencjalne ryzyka z niedostępnością prądu, dostępu do Internetu etc. Poniżej zostały zobrazowane możliwe konfiguracje architektury ADFS i Office365: 1. Organizacja z własną infrastrukturą IT W tym rozwiązaniu serwery związane z usługa ADFS znajdują się w organizacji. Office 365 Active Directory Dir Sync ADFS ADFS Proxy Inne systemy w organizacji 2. Organizacja z podziałem zasobów na środowisko lokalne i Windows Azure Architektura przedstawia dwa serwery Active Directory z włączoną funkcją replikacji oraz serwery ADFS umiejscowione w usłudze Windows Azure. Całość komunikacja poprowdzona jest poprze tunel VPN Site-to-Site. Przy wykorzystaniu Windows Azure oprócz założenia konta dla usługi Azure jedynym wymaganiem jest utworzenie połączenia VPN (Site-to-Site) i przygotowania maszyn wirtualnych.
Active Directory Dir Sync ADFS ADFS Proxy Inne systemy w organizacji Active Directory Office 365 VPN 3. Organizacja z dedykowanym AD znajdującym się w Windows Azure Wszystkie serwery wykorzystywane przez organizację znajdują się w Windows Azure, jednak kontrola związana z usługami na serwerach w pełni pozostaje po stronie organizacji. Active Directory Dir Sync ADFS ADFS Proxy Office 365 Inne systemy w organizacji Internet
Niezależnie od wybranego rozwiązania dla zapewnienia bezpieczeństwa wymagany jest zakup kwalifikowanego certyfikatu SSL. Przykładowa konfiguracja serwera ADFS dla firmy z własną infrastrukturą IT 1. Przygotowanie serwerów: ADFS, ADFS Proxy oraz serwera synchronizacji katalogów. Rekomendowane są maszyny wirtualne, zaktualizowane i dodane do lokalnej domeny. Serwer ADFS Proxy należy umiejscowić w strefie DMZ (serwer pozostaje w grupie roboczej). Przed przystąpienie do skonfigurowaniem synchronizacji należy uporządkować Active Directory oraz pozbyć się niepotrzebnych elementów. 2. Utworzenie żądania certyfikatu. Należy pamiętać, aby wybrać we właściwościach prawidłową nazwę, która będzie użyta na serwerze ADFS, następnie zatwierdzić certyfikat i przyporządkować go do domyślnej stronie w IIS na serwerze ADFS (port 443). 3. Konfigurowanie ADFS-a: a. W Windows Server 2012 rola ADFS jest możliwa do zainstalowania bezpośrednio w rolach serwera, w Windows Server 2008 należy ściągnąć i zainstalować odpowiednie oprogramowanie dostępne na stronie firmy Microsoft. b. W narzędziach przechodzimy do AD FS Management, następnie wybieramy kreator konfiguracji AD FS. c. Tworzymy nową usługę federacji
d. W kolejnym kroku wybieramy opcje nowej farmy. Jest to istotne, ponieważ przy wybraniu opcji stand-alone nie będziemy mogli dodać kolejnego serwera jeśli będzie wymagana rozbudowa. e. W kolejnym punkcie wybieramy certyfikat oraz nazwę usługi federacji. Jest ona zgodna z certyfikatem, który został wygenerowany w pierwszych krokach. f. W ostatnim kroku podajemy konto domenowe, na którym będzie działała usługa ADFS (dla każdego serwera ADFS konto musi być to samo). g. W ostatnim kroku zobaczymy podsumowanie, które zweryfikuje poprawność wcześniej wykonywanych konfiguracji.
4. Konfigurowanie ADFS z Office365: a. Uruchamiamy powłokę PowerShell Windows Azure Active Directory Module na serwerze ADFS. b. Łączymy się z usługą Office365 za pomocą konsoli Powershell (Moduł Windows Azure Active Directory dla Windows PowerShell) wykorzystując konto globalnego administratora w usłudze Office365. c. Wykonujemy komendy mające na celu federację lokalnej domeny według artykułu: http://technet.microsoft.com/library/jj205461.aspx 5. Konfigurowanie serwera synchronizacji katalogów. Konfiguracja polega na zainstalowaniu narzędzia do synchronizacji na osobnym serwerze przeznaczonym do tego celu. Podczas instalacji niezbędne jest konto administratora domeny oraz konto administratora globalnego w Office365. Szczegółowy opis instalacji serwera Dir Sync znajduje się na stronie: http://technet.microsoft.com/en-us/library/jj151800.aspx. a. Po zalogowaniu na panel administratora w Office365 aktywujemy link Active Directory Synchronization. b. W czwartym kroku procesu synchronizacji z Active Directory znajduje się pakiet instalacyjny narzędzia do synchronizacji katalogów. Narzędzie instalujemy na dedykowanym serwerze Dir Sync. c. Postępujemy zgodnie z dalszymi instrukcjami instalatora, aż do ukończenia instalacji, następnie uruchamiamy serwer ponownie.
d. Po ponownym uruchomieniu logujemy się na konto administratora, następnie otwieramy konfigurator synchronizacji katalogów (Directory Sync Configuration). e. Przechodzimy przez kroki instalacji postępując zgodnie ze wskazówkami instalatora.
f. W ostatnim kroku zaznaczamy natychmiastową synchronizację katalogów.