Innledning
Denne måneden har Microsoft kunngjort (med mye fanfare) sitt nye Office 365 cloud-tjenester teknologi offisielt tilgjengelig og klar for kjøp. Office 365 gir Microsoft-administrerte versjoner av Exchange, Sharepoint og Lync (tidligere kjent som Office Communications Server). Med denne kunngjøringen, er Microsoft alvor konkurrerer mot ... Microsoft. Forsøk på å forstyrre den arven PC klient /tjener-modellen, er Microsoft satser på at mange bedrifter ønsker å redusere kostnadene, flytte redusert pris fra kapitalkostnader til driftskostnader og re-tildele IT-ansatte til mer strategiske prosjekter for sin virksomhet enn "varer" som e-post. Reisen til nettskytjenester vil bli foretatt av organisasjoner på ulike skritt, men et kritisk spørsmål gjenstår. Hvordan vil Identity forvaltes på disse cloud-tjenester? Hva om klargjøring og de-provisioning av kontoer? Adgangskontroll, regnskap og Authorization (ofte referert til som AAA) bor på lokaler i Active Directory i dag (for de fleste organisasjoner) - migrere denne "til skyen" kan bli rotete. Hva bør min bedrift gjøre?
Active Directory Federation Services (ADFS)
Microsoft oppfordrer kunder til å vurdere å vedta Active Directory Federation Services (ADFS) 2.0 i forbindelse med en Office 365 distribusjon. ADFS kan også være nyttig i federating kataloger mellom din organisasjon og en annen organisasjon for å redusere Identity and Access Management hodepine.
Før ADFS (eller sine tidligere inkarnasjoner), mange organisasjoner utplassert en "egen" Active Directory implementering, kanskje i sin DMZ for mindre pålitelige systemer eller å fungere som et ekstranett autentisering og autorisasjon for tredjeparter som kommer inn for å konsumere tjenester. Den store utfordringen her blir en kontoer administrator for ekstranettbrukere (som kan starte som en "liten 100 bruker pilot" som raskt utvides, så vi har alle opplevd); når de trenger deres passord, når de har en ny medarbeider som skal legges, må de ringe deg for å få det gjort. Den andre store bekymringen her er rundt de-provisioning av brukerne; gjør alle dine ekstranett partnere ringe deg når de si opp en ansatt? Du kan potensielt ha en ekkel sikkerhetshendelse på hendene hvis en misfornøyd ansatt har fortsatt tilgang via ekstranett
Active Directory Federation Services gjør hva det høres ut som -. Det federates Katalog med Directory B for å tillate omforent etter fullmakt, autentisering og tilgangskontroll beslutninger skal gjøres. Det åpner for en mer sømløs opplevelse for brukeren; de er i stand til å håndtere (og husker) ett sett med legitimasjon for å få tilgang til flere systemer. Dette er også mye lettere på administrator (er) som de lett kan kontrollere tilgangen og sette ACL basert på ett sett med legitimasjon uten å bli mistet i altfor komplekse oppgaven med å administrere brukere og grupper, kartlegging som brukerne skal tilhøre hvilke grupper og hvilken konto (det kan være flere per person i ulike katalog tilfeller) personen er autentisering med.
ADFS er en server rolle for Windows Server 2008. Det er ingen ekstra lisensiering avgift for å bruke produktet på toppen av Windows Server lisens. Distribusjon av ADFS krever minst to servere; én ADFS server i miljøet og en ADFS server i partnerorganisasjonen miljø. ADFS 2.0 kan lastes ned fra Microsofts nettsted her. ADFS har ganske minimal bruksbehov; dokumentasjonen krever en enkelt kjerne 1GHz CPU med 1 GB RAM og 50 MB diskplass. ADFS utnytter også sertifikater for å etablere sine klareringer og kapsle autentiseringsinformasjon blir utvekslet med SSL. Fra en klient perspektiv, alle nettlesere som er relativt nåværende og støtter Javascript må fungere uten problem.
Federation Terminologi og Design Vedtak
Når arkitekten en føderasjon løsning, er det mange beslutninger som skal vurderes og terminologi for å bli kjent med. En av de store tingene om ADFS er at den støtter åpne standarder som SAML (Security Assertion Markup Language). Dette gjør det mulig å justere med tredjepartsløsninger som IBM Tivoli Federated Identity Manager (TIM) eller til og med til en skytjeneste katalog som Active Directory forekomsten som kjører i Windows Azure. En liste over noen integrasjonsløsning guider som har blitt publisert for kort har blitt gjort tilgjengelig fra Microsoft her. Lese gjennom disse åpner for en generell forståelse av hva som er mulig med ADFS i noen komplekse og tilpassede scenarier
De fleste organisasjoner vil bruke ADFS for en av to relativt enkle aktiviteter.; federating med en partner organisasjon og forene med en skytjeneste som Office 365. La oss dykke inn i disse to scenariene og utforske hva som kreves
Scenario 1: federating med en partner organisasjon (eller utvide AD å være påstander-aware)
I mange tilfeller er ADFS bare et krav for å tillate et forent forbindelse mellom to Active Directory ved hjelp av organisasjoner, vist i figur 1. Siden ingen skjema oppdateringen er nødvendig i Active Directory til å utnytte ADFS, er dette en ganske grei prosess å konfigurere og sette opp.
adfs servere er satt opp i hver organisasjon miljø, mest sannsynlig i DMZ. Utplasseringen kan også brukes til en intern applikasjon som du ønsker å utvide til å være krav bevisst. Et krav er en uttalelse om en bruker som brukes for godkjenningsformål i et program. ADFS støtter tre forskjellige typer krav:
- Identity påstander (User Principal navn, e-post og et felles navn)
- Gruppe krav (en brukers medlemskap i en gruppe eller en rolle i organisasjonen )
- Custom krav (inneholder en egendefinert attributt om en bruker, for eksempel telefonnummer eller skiltnummeret).
Krav basert autentisering kan utveksle noen eller alle av disse attributtene mellom de to organisasjonene i For å gi rom for en sømløs identitet integrering opplevelse for sluttbrukeren. Et krav bevisst programmet er en .NET-program som er i stand til å dra nytte av bibliotek utvidelser adfs.
Figur 1: Grunnleggende ADFS tillitsforhold mellom to organisasjoner.
ADFS tillit konfigurasjon er ganske grei. Den ADFS rolle kan legges til serveren din via den vanlige rolle konfigurasjonsprosessen i Windows Server. Det er en alvorlig av konfigurasjonsprosesser som kan følges for å sikre at ingenting er savnet fully publisert av Microsoft og tilgjengelig på denne lenken. I forfatterens erfaring, var den vanskeligste delen av konfigurasjons skape erstatningsregler for et krav leverandør tillit. Må rettes disse erstatningsregler mellom de to organisasjonene, og sørger for at du både snakker samme språk om hva som er godkjent er kritisk; det anbefales at du gjør skrivebordsdeling under prosessen konfigurasjon med den annen organisasjon for å sikre at det ikke er noen uoverensstemmelser
Scenario 2:. federating med Office 365
Hvis en organisasjon planlegger å flytte e -post eller samarbeidstjenester til skyen, finne opp hjulet med et annet Active Directory rett og slett ikke er gjennomførbart. Heldigvis er det en trinnvis guide på federating en lokal adfs gjennomføring med Office 365-tjenesten, vist i figur 2. Vær oppmerksom på at ADFS 2.0 må brukes med Office 365 - tidligere versjoner støttes ikke. Den store faktor for ADFS konfigurasjon i et Office 365-miljø er at adfs federation fullmakter må brukes til å tillate klienter å koble fra utenfor bedriftens nettverk. Også Microsoft anbefaler flere servere i ADFS konfigurasjon som utgjør det som kalles en ADFS gård. Som en beste praksis, Microsoft også anbefaler å publisere ADFS 2.0 infrastrukturen til Internett ved hjelp av Unified Access Gateway. På grunn av testing begrensninger, denne forfatteren var ikke i stand til å validere denne konfigurasjonen, men vil absolutt anbefale det i et produksjonsmiljø
Figur 2:. På lokaler /Office 365 identitet utveksling via ADFS.
Sammendrag
ADFS er et svært fleksibelt verktøy som kan utvide godkjenningstjenester til andre applikasjoner eller mellom to ulike organisasjoner; det er integrert i Windows Server, så prisen er absolutt rett. Hvis du ønsker å enkelt utvide AD utenfor miljøet og ønsker å redusere konto administrasjons problemer samtidig som kravene bevisst føderasjon, definitivt vurdere ADFS som en del av løsningen. Hvis du overfører til Office 365 som en organisasjon, er ADFS nesten en nødvendig komponent - det er best å lære det nå og være proaktiv med en implementering som er klar til å gå når du er.