Cloud-Services und lokale Server mit Single Sign-On für Office 365 absichern

Die Verwendung der Active Directory-Verbunddienste setzt einiges an Wissen und Planung voraus. Das gilt vor allem für die Anbindung an Office 365.

Office 365 ermöglicht verschiedene Identitätsmanagement-Optionen, von denen jede Vorzüge hat.  In diesem Beitrag...

befassen wir uns mit einer dieser Optionen, den Active Directory Federation Services (ADFS) beziehungsweise Active Directory-Verbunddiensten. Wir zeigen, wie die Technik funktioniert und wie sie eingerichtet wird. Von der Verbindung zwischen ADFS und Office 365 profitieren vor allem Unternehmen mit einer hybriden Umgebung (lokale Server und Postfächer sowie Office 365).

Active Directory Federation Services (ADFS) werden in Kombination mit Microsoft Office 365 verwendet, um Single Sign-On (SSO) nutzen zu können. Anwender müssen sich einmal in der Weboberfläche von ADFS anmelden und können dann auf ihre Ressourcen in Office 365 und anderen Webdiensten zugreifen, ohne sich erneut anmelden zu müssen. Das erleichtert die Verwaltung und mindert die Verwirrung von Anwendern, wenn diese mehrere Benutzerkonten nutzen müssen, die wiederum verschiedene Kennwörter verwenden.

Im Gegensatz zu Cloud- oder regelmäßig synchronisierten Identitäten authentifizieren sich diese Identitäten durch eine ADFS-Server-Infrastruktur anstatt Microsoft Azure Active Directory. Das heißt, Anwender melden sich mit ihrem Benutzerkonto von Active Directory auch bei Office 365 an. Um zu verstehen, wie ADFS funktioniert, schauen wir uns an, was passiert, wenn ein Benutzer versucht, sich in Office 365 auf Basis von ADFS anzumelden:

  1. Ein Endanwender versucht sich in Office 365 mit seinem Benutzerprinzipalnamen (User Principal Name, UPN) anzumelden.
  2. Die Authentifizierungs-Plattform überprüft die UPN und erkennt, dass der Endbenutzer eine verteilte Identität hat, also in ADFS eingebunden ist. Office 365 leitet die Authentifizierungsanforderung an die ADFS-Server des Endanwenders. Die Plattform kennt die URL, da dies zwischen der ADFS-Infrastruktur und Office 365 konfiguriert wurde.
  3. Der Client verbindet sich mit dem ADFS Proxy und überträgt die Anmeldeinformationen.
  4. Der ADFS Proxy oder ein anderes Proxy-Unterstützungsgerät leitet die Authentifizierungsanforderung an den ADFS-Server.
  5. Der ADFS-Server überprüft die Anmeldeinformationen mit dem lokalen Active Directory.
  6. Wenn die Anmeldeinformationen erfolgreich überprüft wurden, gibt ein Domain Controller ein Kerberos-Token an den ADFS-Server.
  7. Der ADFS-Server ignoriert die Kerberos-Token und erstellt ein neues ADFS-Token, welches er an den ADFS-Proxy-Server weiterleitet.
  8. Der ADFS Proxy-Server leitet das ADFS-Token an den Client.
  9. Der Client sendet das ADFS Token zu Office 365 und authentifiziert sich damit erfolgreich.

Die Outlook-Authentifizierung funktioniert etwas anders. Da Outlook nicht für die Zusammenarbeit mit ADFS entwickelt wurde, verbindet sich Exchange Online direkt mit dem ADFS-Server anstelle des Outlook-Client. Dies wird als aktiver Authentifizierungsablauf bezeichnet, während das obige Verfahren ein passiver Authentifizierungsablauf ist.

ADFS-Installation im Überblick

Der Prozess der ADFS-Installation besteht aus drei Schritten :

  1. Aktivieren und anpassen der Verzeichnissynchronisation. Diese sorgt dafür, dass im lokalen Netzwerk Endanwender-Konten zu Office 365 in einem konsistenten Zustand synchronisiert werden.
  2. Stellen Sie sicher,  dass Ihre lokalen Endanwender-Konten mit einer Internet-routingfähigen UPN konfiguriert sind.  Das bedeutet, Sie können nicht mit einem lokalen UPN oder einem anderen internen Domain-Namen arbeiten. Die Domain für den Einsatz muss konfiguriert und überprüft werden. Zum Beispiel ist Joe@mydomain.local eine ungültige UPN, aber joe@mydomain.com ist gültig.
  3. Konfigurieren Sie eine Vertrauensstellung über die PowerShell zwischen Ihrer lokalen ADFS- Infrastruktur und Office 365. Zuvor müssen Sie natürlich ADFS als Serverrolle auf einem internen Server installieren und in das Netzwerk einbinden.

Vorsichtsmaßnahmen und Überlegungen für eine ADFS-Installation

Es gibt einige Dinge zu beachten, wenn Sie ADFS im Netzwerk und dem Internet bereitstellen:

Voraussetzungen: Seien Sie vorsichtig, wenn Sie einen Internet-routingfähigen Domain-Namen für die UPN Ihrer Endanwender nutzen. Erstellen neuer UPNs ist relativ einfach, Ihr Unternehmen könnte aber mit Anwendungen arbeiten, die wiederum  mit hartcodierten UPNs konfiguriert sind. Überprüfen Sie das, um sicherzustellen, dass ADFS mit Office 365 funktioniert.

ADFS
ADFS installieren Sie als Serverrolle. Sie können während der Installation auswählen, ob Sie einen alleinstehenden Server oder eine Serverfarm installieren wollen.

Hochverfügbarkeit: Sobald Sie ADFS produktiv einsetzen, ist eine hohe Verfügbarkeit wichtig, da der Serverdienst kritisch für die Authentifizierung ist. Wenn Ihre ADFS-Infrastruktur nicht Verfügungbar ist, werden Anwender nicht in der Lage sein, sich bei Office 365 anzumelden. Stellen Sie sicher, dass Ihre Infrastruktur hoch verfügbar ist, um Probleme zu vermeiden.

Redundante Konfiguration von ADFS ist einfach: Statt der Auswahl eines Standalone-Verbundservers während der Installation, sollten Sie eine Verbundfarm erstellen. Auf diese Weise können Sie jederzeit weitere Server zum Verbund hinzufügen und so sicherstellen, dass die Infrastruktur hochverfügbar ist.  Auch wenn Sie zunächst nur einen Server betreiben wollen, ist das Verwenden einer Farm immer der bessere Weg.

Windows Internal Database oder SQL? ADFS wird standardmäßig mit einer Windows Internal Database installiert. Das ist für die meisten Unternehmen ausreichend. Sie können auch eine ADFS-Farm mit der Standard-Windows Internal Database betreiben. Der erste Server wird automatisch als primärer ADFS-Server bezeichnet. Nachfolgende Server, die Sie jederzeit der Farm hinzufügen können, beziehen automatisch Konfigurationsinformationen vom primären Server. Außerdem findet alle paar Minuten eine Synchronisierung der Daten statt.

Der Nachteil dieses Ansatzes ist, dass Sie nur maximal fünf Server in der Farm betreiben können. Wenn der primäre ADFS-Server ausfällt, können Sie keine Konfigurationen  in ADFS ändern bis der primäre Server wieder online ist. Andere ADFS-Server werden Service-Anfragen weiter beantworten und die Infrastruktur aufrechterhalten. Allerdings lassen sich keine Änderungen mehr an ADFS ausführen und die Infrastruktur ist nicht stabil. Sie müssen daher so schnell wie möglich den primären Server reparieren oder einen anderen Server zum primären Server heraufstufen.

ADFS
Die Konfigurationsdaten von ADFS speichern Sie entweder in einer internen Datenbank oder auf einem SQL-Server.

Als Alternative zur Windows Internal Database können Sie auch eine SQL-Datenbank für ADFS verwenden. Dies erfordert zusätzliche Arbeit beim Setup, aber Sie können SQL für hohe Verfügbarkeit nutzen. Außerdem gibt es keine primären oder sekundären ADFS Server in der Farm, da alle Daten in der SQL-Datenbank gespeichert sind. Wenn Sie bereits SQL einsetzen und eine SQL-Infrastruktur zur Verfügung haben, bietet es sich auch an, diese zu nutzen. Verwendung von SQL bedeutet auch, Sie können mehr als fünf Server in einer Farm und zusätzliche ADFS-Funktionen wie SAML integrieren. Sie können diese Funktion zwar nicht mit Office 365 verwenden, aber die Technik kann sinnvoll sein , wenn Sie ADFS mit anderen Anwendungen nutzen wollen.

Topologien. Ein weiteres wichtiges Puzzlestück ist die Wahl, wie Ihre ADFS Topologie aussehen soll. ADFS sollten Sie in großen Unternehmen über mehrere Rechenzentren verteilen, um sicherzustellen, dass die Infrastruktur hochverfügbar ist. Da nicht alle Firmen über einen zweiten Standort verfügen, können Sie auch Drittanbieter-Datenzentren oder Infrastructure as a Service-Anbieter wie Microsoft Azure nutzen, um Ihrer ADFS-Infrastruktur zu hosten.

Load Balancing. Die Wahl der richtigen Load-Balancing-Optionen ist ebenfalls wichtig. Obwohl ADFS mit DNS Round-Robin funktioniert, bietet Lastenverteilung nur begrenzten Wert, wenn einer der ADFS-Proxy-Server ausfällt. In einem solchen Fall ist eine manuelle Intervention erforderlich, um den DNS-Eintrag für den ausgefallenen Server zu entfernen. Clients müssen entweder warten oder ihren DNS-Cache manuell löschen. Load Balancing ist sicherlich der bessere Weg. Allerdings sind in diesem Fall zusätzliche Geräte und eine kompliziertere Konfiguration notwendig.

Folgen Sie SearchEnterpriseSoftware.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Office-Software

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close