Synchronizacja haseł do Office 365 deep dive

Wiele firm obawia sie, ze wdrozenie Office 365 to skomplikowany proces, który wymaga instalacji wielu serwerów w lokalnej infrastrukturze.  Zwlaszcza instalacja i konfiguracja serwerów ADFS, aby zapewnic logowanie za pomoca tych samych poswiadczen do aplikacji hostowanych lokalnie oraz aplikacji znajdujacych sie w Office 365 moze byc trudne dla niektórych organizacji. Brak powyzszej funkcjonalnosci moze byc powazna przeszkoda przed rozpoczeciem korzystania z Office 365. W tym artykule przedstawie funkcjonalnosc synchronizacji hasel (Password Sync), która umozliwia uproszczenie konfiguracji oraz zmniejszenie ilosci serwerów potrzebnych do wdrozenia Office 365.

Funkcjonalnosc synchronizacji hasel jest realizowana przez narzedzie DirSync, wykorzystywane takze do synchronizacji obiektów z lokalnego Active Directory do Windows Azure Active Directory (WAAD). (Wiecej informacji na temat WAAD, znajduje sie tutaj: https://technet.microsoft.com/en-us/library/hh967611.aspx).  DirSync jest to darmowy appliance Forefront Identity Manager 2010 R2 przeznaczony jednokierunkowego (z malymi wyjatkami) synchronizowania obiektów takich jak konta uzytkowników, grupy, kontakty itp., z lokalnego Active Directory do Windows Azure Active Directory. Proces odpowiedzialny za synchronizacje hasel uruchamiany jest automatycznie, co 2 minuty i wykonuje nastepujace czynnosci:

  • Sprawdza atrybut pwdLastSet na kazdym koncie uzytkownika, aby ustalic czy nastapila zmiana hasla.
  • Jesli zostanie stwierdzona zmiana hasla, proces pobiera hash hasla z Active Directory.
  • Hash hasla zostaje ponownie zahash’owany i w takie postaci wyslany do Windows Azure Active Directory za pomoca szyfrowanego kanalu.

Jak widac same hasla nie sa przesylane do Office 365. Synchronizowane sa ich hashe, które sa dodatkowo zabezpieczone.

DirSync w procesie synchronizacji, wysyla do WAAD, takze nazwe uzytkownika (UserPrincipalName). W zwiazku z tym, konto uzytkownika w WAAD, ma taki sam login i haslo jak konto uzytkownika w lokalnym AD. Dzieki temu uzytkownik moze uzywac tych samych poswiadczen do logowania do uslug znajdujacych sie w Office, 365 jaki w lokalnym Active Directory.

Glówny proces synchronizowania obiektów i ich atrybutów, który uruchamia sie, co 3 godziny jest niezalezny od procesu synchronizacji hasel. Oznacza to, ze wymuszenie zwyklego procesu synchronizacji nie wymusza synchronizacji hasel. Aby wymusic synchronizacje hasel nalezy wykonac nastepujace polecenie w Powershellu konfiguracyjnym DirSync: Set-FullPasswordSync oraz zrestartowac usluge FIMSynchronizationService.

DirSync, który jest niezbedny do synchronizacji hasel, moze byc instalowany na serwerach Windows Server 2008 R2 lub nowszych. Ponadto 22 listopada 2013 zostala wydana wersja DirSync (6567.0018), która pozwala na instalowanie tej aplikacji na kontrolerach domeny. Inna mozliwoscia jest zainstalowanie serwera DirSync na serwerze wirtualnym znajdujacym sie Windows Azure.

Synchronizacja obiektów za pomoca DirSync zmienia „source of authority” dla obiektów w Office 365. Oznacza to, ze wszelkie zmiany na obiektach utworzonych w WAAD za pomoca DirSync, musza byc wykonywane w lokalnym AD, a nastepnie zsynchronizowane do WAAD. Dotyczy to równiez hasel. Uzytkownik chcac zmienic haslo, musi to zrobic w lokalnym AD i poczekac (maksymalnie 2 minuty), az nowe haslo zostanie synchronizowane do chmury.

Warto nadmienic, ze zarówno korzystajac z ADFS, jaki i Password Sync, polisy dotyczace hasel konfigurowane sa w lokalnym Active Directory.

Jakie sa róznice miedzy uzywaniem DirSync z Password Sync, a wykorzystaniem ADFS do uwierzytelniania do Office 365:

  • ADFS umozliwia wykorzystanie Client Access filtering policy (konieczne posiadanie ADFS Proxy), które moga na przyklad zablokowac dostep do Office 365 w wybranych godzinach, wybranym grupom uzytkownikom do wybranych uslug.
  • ADFS w niektórych przypadkach moze zapewnic Single Sign-On (logowanie do Lync’a, logowanie do OWA w LANie). W przypadku DirSync z Password Sync, uzytkownik musi podawac poswiadczenia aby zalogowac sie poczty, Lynca  Online czy Sharepointa Online
  • W przypadku ADFS uwierzytelnianie uzytkownika odbywa sie w lokalnym Active Directory. Jesli chodzi o DirSync Password Sync, uzytkownik uwierzytelniany jest przez WAAD.

Jesli powyzsze funkcjonalnosci nie sa wymagane, DirSync z Password Sync jest wspaniala alternatywa dla wdrazania ADFS dla potrzeb logowania do Office 365, która ogranicza koszty wdrozenie uslug w chmurze.