Novinka v rámci Office 365: Synchronizace hesel

Pokud jste ve vaší společnosti kladně odpověděli na otázku zdali, jak a proč využívat cloudové služby Office 365, potom velmi záhy budete chtě nechtě stát před otázkou, jak vyřešit otázku identit uživatelů. Zjednodušeně tedy to, jak a čím se budou vaši uživatelé přihlašovat k jednotlivým službám a jak z pohledu správce na tyto identity budete vázat další služby Office 365.

Identity, hesla, DirSync a ADFS

Aby vaši uživatelé mohli přistupovat k jednotlivým službám Office 365, budou se muset při přístupu ke každé jednotlivé službě autentizovat. V rámci cloudových služeb tedy musí vzniknout účet/identita, která je následně navázána na jednotlivé služby Office 365. Tato identita může vzniknout několika způsoby a každá z nich má své výhody, či nevýhody. Pro výběr té nejvhodnější varianty se rozhodnete na základě informací o vašem konkrétním prostředí, či požadavcích dané služby. Zkráceně se jedná o identity, které buď vytvoříte přímo v prostředí Office 365 a nemají žádnou spojitost s vaším prostředím, nebo budete identity replikovat z vaší interní on-premise Active Directory, případně autentizaci v rámci Office 365 „vypnete“ a veškeré takové požadavky přesměrujete na lokálně vypublikovanou službu ADFS, která se postará o vše nezbytné. Každá z těchto variant má svá pozitiva, ale jak už tomu většinou bývá, čím větší komfort, tím větší náklady na zřízení a provoz. Proto i když je technicky ADFS rozhodně nejzajímavější řešením, které navíc nabízí nejvíc komfortu pro koncového uživatele, ne každá společnost bude ochotna zaplatit cenu, kterou taková volba znamená. Dále už budu hovořit pouze o té variantě, ve které jsou identity uživatelů replikovány do Office 365 z vaší interní Active Directory - pouze zde došlo minulý týden k zásadní změně.

Poznámka autora: Pokud se chcete o tomto tématu dozvědět více, doporučuji nastudovat můj předchozí článek „Hybridní scénáře nasazení Office 365“ na: https://www.kpcs.cz/a/383/Hybridni-scenare-nasazeni-Office-365

Identita v Microsoft Online replikovaná z Active Directory

Díky synchronizaci účtů on-premise Active Directory pomocí nástroje DirSync (správně se nástroj jmenuje celým jménem: „The Windows Azure Active Directory Sync tool“) s identitami v cloudu lze zajistit, aby nově vzniklé účty ve vašem prostředí byly téměř ihned synchronizovány do cloudové Windows Azure Directory. V takovém případě ale není možné identity v cloudu jakkoli editovat, změny je nutné provádět vždy na straně on-premise Active Directory a tyto změny jsou následně přeneseny do Cloudu při další synchronizaci.

Novinkou z minulého týdne je uvedení nové verze DirSync, ve které máme nyní možnost v rámci konfigurace zvolit, zdali chceme replikovat do cloudu nejen námi zvolené objekty a jejich běžné atributy, ale také velmi silně schráněný atribut s heslem. Tedy správně řečeno s hashem odvozeným od hesla, protože ta se nikde neukládají, jak jinak než z důvodu bezpečnosti. Pro úplnost uvádím, že hash je jednosměrná matematická operace, která z původního hesla vytvoří hash o přesně dané délce, který ale z principu věci není možné jakkoli zneužít pro získání původního hesla.

Poznámka autora: Zjednodušeno, nicméně není účelem tohoto článku jakkoli řešit problematiku hesel.

Synchronizovaný účet je následně vždy nutné ze strany správce v Office 365 aktivovat, což v praxi znamená nastavení umístění a jazyka, kterým budou s uživatelem komunikovat jednotlivé služby, plus přiřazení cloudové licence, čímž fakticky dojde k zajištění přístupu k dané službě.

Důležité: Replikace účtů z on-premise Active Directory do cloudové Windows Azure Directory v Office 365 je základní podmínkou pro většinu hybridních scénářů.

Novinky v praxi

Pokud již DirSync používáte, je nutné provést aktualizaci tohoto replikačního nástroje (zjednodušeně odinstalovat a znovu instalovat nejnovější verzi). Pokud budujete nové prostředí, použijete aktuálně dostupnou nejnovější verzi tohoto nástroje.

Více informací naleznete zde: Install or upgrade the Directory Sync tool (https://technet.microsoft.com/en-us/library/jj151800.aspx)

Jak přesně je replikace hesel zajištěna, jak ji můžete monitorovat a s jakými problémy se můžete setkat se můžete dočíst zde: Implement Password Synchronization (https://technet.microsoft.com/en-us/library/dn246918.aspx)

Důležité: Protože při tomto scénáři zůstává lokální Active Directory tím, kdo rozhoduje, zapamatujte si, že v případě jakékoli nestandardní situace je informace v cloudu při nejbližší synchronizaci (standardně do 3h, kdy ale nová část replikace hesel má naprostou prioritu a DirSync se ji snaží zreplikovat do Office 365 pokud možno okamžitě) prostě a jednoduše přepsána hodnotou z on-premise prostředí. Může totiž dojít např. k situaci, kdy správce Office 365 ručně nastaví heslo identitě v Office 365, pokud se toto ale neshoduje s heslem v on-premise prostředí, je při příští změně hesla na straně uživatele a jeho identity v lokální Active Directory toto heslo v cloudu přepsáno.

DirSync a synchronizace hesel

Pro koho je tato novinka určena

Nasazení replikace hesel z lokální on-premise Active Directory do Office 365 je z mého pohledu určeno pro menší a středně velké zákazníky, pro které je nasazení ADFS příliš komplikované, nebo nákladné. Jednoznačným argumentem pro tuto novinku je tedy snadnost nasazení, cena a provoz, který není závislý na řešení pomocí vysoké dostupnosti služby, atd.

ADFS naproti tomu stále nabízí výhody jakými jsou např. jednotné přihlašování, bezpečnost na úrovni sítí, ze kterých se může uživatel autentizovat a nezapomeňme na to, že autentizace není závislá na Office 365, díky tomu jsou zcela ve vaší správě např. politiky hesel, nebo možnosti vícefaktorové autentizace (Smard Card, USB token, atd.).

Závěr

S příchodem nové verze Office 365 nabízejí jednotlivé cloudové služby nové a velmi zajímavé možnosti hybridních scénářů, tedy možnost propojení s on-premise servery, díky kterému máme možnost využít z obou světů to, co nám aktuálně nejvíc vyhovuje. Novinky v oblasti replikace hesel uživatelských identit z on-premise Active Directory do Office 365, nabízí zákazníkům nové možnosti nasazení Office 365 tak, aby to odpovídalo jejich představám o snadnosti nasazení, bezpečnosti, atd.

Nechte za Vás pracovat odborníky

Nemáte ve vaší organizaci IT oddělení a nechce se vám ho zřizovat? Díky filozofii cloudových služeb Office 365 tomu tak může být i nadále a navíc ušetříte další dodatečné náklady. Správu služeb Office 365 můžete provádět zcela sami nebo ji svěřit do rukou profesionálů pomocí delegované správy. Máme dlouholeté zkušenosti s implementací i následnou správou řešení od společnosti Microsoft a disponujeme špičkovými konzultanty, kteří jak pokrývají celé portfolio produktů Microsoft, tak také patří mezi první certifikované odborníky na správu a implementaci služeb Office 365 ve světě vůbec. Pro konzultaci nasazení Office 365 nás prosím kontaktujte na adrese cloud@kpcs.cz nebo nás vyberte jako partnera při zakoupení vašeho předplatného.

KPCS CZ, s.r.o. - Partner ID: 1784141

KPCS CZ – Martin Pavlis (pavlis@kpcs.cz)