Блог

Вы здесь

Синхронизация паролей при использовании DirSync

Office 365 использует Windows Azure Active Directory (AD Azure) для управления пользовательскими учетными данными и хранения пользовательских профилей. Инструмент синхронизации каталогов (DirSync) предназначен для синхронизации профилей пользователей между локальными Active Directory и Azure AD в облаке. Это значит, что все профили пользователей из локальной инфраструктуры будут присутствовать в Office 365.

В новой версии DirSync доступна возможность синхронизации пароля пользователя между локальной и облачной инфраструктурой.

Варианты идентификации пользователей

SAAS приложения не установлены локально и у них нет доступа к локальным AD. Поэтому, SAAS приложения часто реализованы по методу непересекающейся идентичности. В результате, пользователи вынуждены будут использовать различные логины и пароли. Единый вход —важный шаг вперед в развитии облачных технологий. Единый вход определяется как способность двух провайдеров IDP к перекрестной идентификации, то есть пользователь, который вошел с использованием своих учетных данных в одно приложение, может без повторного использования логина и пароля войти в приложения второго провайдера. Такую совместимость называют Федерацией. Единый вход реализован на построении Федерации и обеспечивает максимальное удобство для пользователей, который могут использовать программное обеспечение без постоянного введения логина и пароля.

Синхронизация директорий при гибридном сценарии Office 365 не обеспечивала Единого входа: пользователю, который вошел в локальную среду, все равно необходимо было повторно вводить логин и пароль при входе в Office 365. Но синхронизация предусматривала, что имена пользователей будут одинаковыми. Теперь появилась возможность так же синхронизировать и пароли. Поскольку настроить синхронизацию директорий проще, чем настроить Единый вход на основе федерации, такая новая возможность как синхронизация паролей станет отличным сценарием для многих клиентов.

Три основных способа идентификации пользователя в Office 365:

Идентификация в облаке

В данном случае предусматривается идентификация пользователей исключительно в облаке. Создаются пользователи в облаке и они никак не связаны с локальными пользователями. Этот вариант подойдет для небольших или новых организаций. Пользовательскими учетными записями можно полностью управлять в облаке, в том числе и их паролями.

Если вдаваться в технические подробности, то по сути при создании пользователя создается новая запись в AD Azure. Здесь размещены все учетные записи для всех служб Office 365. С помощью учетной записи Администратора Office 365 можно производить настройки учетных записей пользователей и необходимые действия с паролями.

Синхронизация директорий с использованием DirSynс

Такой вариант используется когда Ваша инфраструктура функционирует используя AD и Вы хотите, чтобы локальные пользователи могли пользоваться Office 365. Инструмент DirSync используется для синхронизации профилей пользователей. Синхронизация директорий позволяет избежать создания новых учетных записей в облаке, которые будут являться, по большому счету, дублями локальных записей. Теперь, с появлением синхронизации паролей, нет необходимости управлять паролями в двух местах. До того, в облаке и локальной среде пароли могли отличаться.

Страница, на которой Вы можете настроить синхронизацию паролей:

Для того чтобы синхронизировать AD необходимо следовать весьма несложным инструкциям, которые доступны в учетной записи Администратора Office 365:

1.      Подготовка к синхронизации каталогов.

2.      Подтверждение владения доменами.

3.      Активация синхронизации с AD.

4.      Установка и настройка инструмента синхронизации.

5.      Проверка синхронизации.

6.      Активация синхронизированных пользователей.

После небольшого подготовительного этапа Вы можете загрузить и установить DirSync на Windows Server (не контроллер домена), входящий в состав вашего домена. Для его установки используется обыкновенный мастер настройки. После этого каждые три часа информация между локальными и облачными директориями будет синхронизироваться.

За некоторым исключением все данные синхронизируются по одному пути — от локальных директорий к облачным. Профиль пользователя может быть создан и управляется в облаке или локально — оба варианта одновременно не реализуются: параметры учетных записей пользователей, созданных в локальной среде, могут изменяться только там, в том числе и смена пароля. Для того чтобы синхронизированному пользователю сменить пароль, он должен либо прийти в офис, либо через VPN подключиться к корпоративной сети.

Вы можете выбрать пользователей для синхронизации с Office 365, но Вы не можете выбрать отдельные атрибуты пользователя, т.к. они все необходимы.

Новая возможность синхронизации паролей, применяет дополнительные параметры безопасности и синхронизирует пароль с AD Azure. До этих изменений пароли пользователей для облачных и локальных учетных записей были различными.

Для того чтобы синхронизировать пароли достаточно воспользоваться соответствующим атрибутом конфигурации. Это делается в Мастере настройки синхронизации. В соответствующем поле о синхронизации паролей внесите изменения — настройки будут применены ко всем пользователям. После этого им не надо будет создавать новый пароль в облаке и повторно его вводить.

Федерация директорий с использованием ADFS

Федерация представляет собой совместную работу локальной AD и Azure AD (Office 365). В этом случае, говоря доступным языком, Office 365 не видит пароль пользователя — он выступает «проверяющей» стороной. Всеми данными управляет федеративная директория. Федеративная директория лишь передает в Office 365 цифровой код, подтверждающий проверку подлинности учетных данных пользователя.

Как правило, федерация реализуется с использованием Windows Active Directory и Active Directory Federation Services (ADFS). ADFS синхронизирует все локальные директории и лишь после выполнения этого обязательного требования они синхронизируются с Azure AD. Федерации используются исключительно для аутентификации и авторизации потоков.

Следуя инструкции в учетной записи Администратора Office 365 настроить федерацию достаточно легко.

Что выбрать сейчас: федерация c ADFS или синхронизация паролей через DirSync?

Раньше, при выборе развертывания федерации с ADFS, возможность использования одного пароля и в облаке и локально становилась решающей. Тем не менее, процесс требовал не мало усилий, а зачастую и дополнительных серверов, и сетевых решений.

Функция синхронизации паролей при использовании DirSync не содержит таких требований к инфраструктуре и, соответственно, снижает затраты. Достаточно одного сервера с подключением, для того чтобы соединиться с AD Azure, — никаких требований к входящим соединениям, брандмауэру или конфигурации.

Однако, все еще некоторые клиенты могут предпочесть Федерацию AD. На то есть ряд причин:

  • ADFS позволяет ограничивать доступ к Exchange Online, используя фильтры IP—адресов.
  • ADFS будет соблюдать сконфигурированные ограничения по времени входа в систему Active Directory для пользователей.
  • ADFS дает возможность пользователям изменить пароль, в то время как они вне корпоративной сети.
  • В связи с требованиями политики безопасности некоторые клиенты могут сделать выбор в пользу ADFS в связи с тем, что все процедуры обработки паролей производятся на стороне ADFS.
  • С ADFS администратор может сразу заблокировать доступ определенному пользователю, в то время как DirSync синхронизирует изменения каждые три часа (изменение пароля синхронизируется каждые две минуты).
  • ADFS допускает использование собственных развернутых продуктов многофакторной аутентификации. Обратите внимание на то, что AD Azure поддерживает многофакторную аутентификацию, но многие сторонние продукты многофакторной аутентификации требуют собственной интеграции.
  • Некоторые гибридные сценарии требуют наличия ADFS для гибридного поиска (поиск как в локальном, так и в облачном расположении).

Читайте также:

Настройка и лицензирование учетных записей Office 365 в PowerShell

Гибридное развертывание Office 365