Balkongriller

SharePoint und Office 365 Blog


Hinterlasse einen Kommentar

Fit für Office 365: Benutzersynchronisation

In einer Blogserie beleuchte ich, warum sich ein Unternehmen für Office 365 fit machen sollte und welche Dienste sofort genutzt werden können.

Ein zentrales Elemente für die User Experience sind einheitliche Usernamen und Passwörter
oder sogar Single Sign On. Office 365 stellt drei Stufen zur Verfügung.

  • Erstellen von neuen Microsoft Online ID: Jeder Benutzer hat einen separaten Benutzernamen für Office
    365. Dieser Option ist einfach eingerichtet, bietet aber sehr wenig
    Komfort und benötigt einen grossen Aufwand für die Pflege der Benutzer.
  • Microsoft Online ID mit DirSync: Die Benutzernamen und die Passwörter (genauer: ein Hash davon)
    werden mit dem Tool DirSync in Office 365 synchronisiert. Der Benutzer
    kann sich mit seinem gewohnten Angaben einloggen.
  • Federated ID mit DirSync: Die
    Benutzernamen und die Passwörter werden synchronisiert, mittels ADFS
    Server wird Single Sign On realisiert. Ist der Benutzer am internen
    Netzwerk, wird er automatisch in Office 365 angemeldet. Greift er von
    extern zu, loggt er sich mit seinen gewohnten Logindaten ein. Dieses
    Szenario bietet den grössten Komfort und wird darum nachfolgend
    beschrieben.

Setup auf Azure

Um sich Federated ID auf Office 365 einzuloggen, braucht man mindestens drei Server: Ein ADFS
Server, ein ADFS Proxy sowie ein Server auf welchem DirSync läuft. Windows
Azure bietet eine ideale Plattform, um diese Dienste schnell und kostengünstig
aufzubauen. Eine hochverfügbare Lösung besteht aus folgenden Komponenten

  • VPN: Mittels einer VPN Verbindung werden die Server auf Azure an das lokalen Netzwerk angebunden.
  • Domain Controller: Ein dedizierter DC auf Azure erlaubt auch den Zugriff, falls die Verbindung
    zum lokalen Netzwerk nicht verfügbar ist.
  • Zwei ADFS Server: Für die Redundanz empfiehlt es sich zwei ADFS Server zu installieren. Der ADFS
    Server wird von den internen Benutzer aufgerufen.
  • Zwei ADFS Proxy Server: Auch der Proxy Server sollte redundant ausgelegt werden. Dieser ist vom
    Internet her erreichbar und stellt den Zugriff auf den ADFS sicher.
  • DirSync: Der DirSync Server synchronisiert alle drei Stunden die Benutzer vom lokalen AD nach Azure AD
    (d.h. Office 365).

Die beiden ADFS Server werden in das selbe Availability Set gepackt, damit stellt Azure sicher,
dass sie auf anderer Hardware laufen und (eigentlich) nicht zusammen ausfallen.
Dito mit den zwei ADFS Proxy Servern. Für Szenarien mit weniger als 5000 Benutzer
reicht für den DC, den ADFS Server und den ADFS Proxy eine Small Instanz. Für
DirSync sollte eine Medium Instanz eingesetzt werden.

Die Installation von ADFS 3.0 ist z.B. hier beschrieben: