Синхронизация паролей при использовании DirSync
Office 365 использует Windows Azure Active Directory (AD Azure) для управления пользовательскими учетными данными и хранения пользовательских профилей. Инструмент синхронизации каталогов (DirSync) предназначен для синхронизации профилей пользователей между локальными Active Directory и Azure AD в облаке. Это значит, что все профили пользователей из локальной инфраструктуры будут присутствовать в Office 365.
Синхронизация паролей при использовании DirSync
Office 365 использует Windows Azure Active Directory (AD Azure) для управления пользовательскими учетными данными и хранения пользовательских профилей. Инструмент синхронизации каталогов (DirSync) предназначен для синхронизации профилей пользователей между локальными Active Directory и Azure AD в облаке. Это значит, что все профили пользователей из локальной инфраструктуры будут присутствовать в Office 365.
В новой версии DirSync доступна возможность синхронизации пароля пользователя между локальной и облачной инфраструктурой.
Варианты идентификации пользователей
SAAS приложения не установлены локально и у них нет доступа к локальным AD. Поэтому, SAAS приложения часто реализованы по методу непересекающейся идентичности. В результате, пользователи вынуждены будут использовать различные логины и пароли. Единый вход —важный шаг вперед в развитии облачных технологий. Единый вход определяется как способность двух провайдеров IDP к перекрестной идентификации, то есть пользователь, который вошел с использованием своих учетных данных в одно приложение, может без повторного использования логина и пароля войти в приложения второго провайдера. Такую совместимость называют Федерацией. Единый вход реализован на построении Федерации и обеспечивает максимальное удобство для пользователей, который могут использовать программное обеспечение без постоянного введения логина и пароля.
Синхронизация директорий при гибридном сценарии Office 365 не обеспечивала Единого входа: пользователю, который вошел в локальную среду, все равно необходимо было повторно вводить логин и пароль при входе в Office 365. Но синхронизация предусматривала, что имена пользователей будут одинаковыми. Теперь появилась возможность так же синхронизировать и пароли. Поскольку настроить синхронизацию директорий проще, чем настроить Единый вход на основе федерации, такая новая возможность как синхронизация паролей станет отличным сценарием для многих клиентов.
Три основных способа идентификации пользователя в Office 365:
Идентификация в облаке
В данном случае предусматривается идентификация пользователей исключительно в облаке. Создаются пользователи в облаке и они никак не связаны с локальными пользователями. Этот вариант подойдет для небольших или новых организаций. Пользовательскими учетными записями можно полностью управлять в облаке, в том числе и их паролями.
Если вдаваться в технические подробности, то по сути при создании пользователя создается новая запись в AD Azure. Здесь размещены все учетные записи для всех служб Office 365. С помощью учетной записи Администратора Office 365 можно производить настройки учетных записей пользователей и необходимые действия с паролями.
Синхронизация директорий с использованием DirSynс
Такой вариант используется когда Ваша инфраструктура функционирует используя AD и Вы хотите, чтобы локальные пользователи могли пользоваться Office 365. Инструмент DirSync используется для синхронизации профилей пользователей. Синхронизация директорий позволяет избежать создания новых учетных записей в облаке, которые будут являться, по большому счету, дублями локальных записей. Теперь, с появлением синхронизации паролей, нет необходимости управлять паролями в двух местах. До того, в облаке и локальной среде пароли могли отличаться.
Страница, на которой Вы можете настроить синхронизацию паролей:
Для того чтобы синхронизировать AD необходимо следовать весьма несложным инструкциям, которые доступны в учетной записи Администратора Office 365:
1. Подготовка к синхронизации каталогов.
2. Подтверждение владения доменами.
3. Активация синхронизации с AD.
4. Установка и настройка инструмента синхронизации.
5. Проверка синхронизации.
6. Активация синхронизированных пользователей.
После небольшого подготовительного этапа Вы можете загрузить и установить DirSync на Windows Server (не контроллер домена), входящий в состав вашего домена. Для его установки используется обыкновенный мастер настройки. После этого каждые три часа информация между локальными и облачными директориями будет синхронизироваться.
За некоторым исключением все данные синхронизируются по одному пути — от локальных директорий к облачным. Профиль пользователя может быть создан и управляется в облаке или локально — оба варианта одновременно не реализуются: параметры учетных записей пользователей, созданных в локальной среде, могут изменяться только там, в том числе и смена пароля. Для того чтобы синхронизированному пользователю сменить пароль, он должен либо прийти в офис, либо через VPN подключиться к корпоративной сети.
Вы можете выбрать пользователей для синхронизации с Office 365, но Вы не можете выбрать отдельные атрибуты пользователя, т.к. они все необходимы.
Новая возможность синхронизации паролей, применяет дополнительные параметры безопасности и синхронизирует пароль с AD Azure. До этих изменений пароли пользователей для облачных и локальных учетных записей были различными.
Для того чтобы синхронизировать пароли достаточно воспользоваться соответствующим атрибутом конфигурации. Это делается в Мастере настройки синхронизации. В соответствующем поле о синхронизации паролей внесите изменения — настройки будут применены ко всем пользователям. После этого им не надо будет создавать новый пароль в облаке и повторно его вводить.
Федерация директорий с использованием ADFS
Федерация представляет собой совместную работу локальной AD и Azure AD (Office 365). В этом случае, говоря доступным языком, Office 365 не видит пароль пользователя — он выступает «проверяющей» стороной. Всеми данными управляет федеративная директория. Федеративная директория лишь передает в Office 365 цифровой код, подтверждающий проверку подлинности учетных данных пользователя.
Как правило, федерация реализуется с использованием Windows Active Directory и Active Directory Federation Services (ADFS). ADFS синхронизирует все локальные директории и лишь после выполнения этого обязательного требования они синхронизируются с Azure AD. Федерации используются исключительно для аутентификации и авторизации потоков.
Следуя инструкции в учетной записи Администратора Office 365 настроить федерацию достаточно легко.
Что выбрать сейчас: федерация c ADFS или синхронизация паролей через DirSync?
Раньше, при выборе развертывания федерации с ADFS, возможность использования одного пароля и в облаке и локально становилась решающей. Тем не менее, процесс требовал не мало усилий, а зачастую и дополнительных серверов, и сетевых решений.
Функция синхронизации паролей при использовании DirSync не содержит таких требований к инфраструктуре и, соответственно, снижает затраты. Достаточно одного сервера с подключением, для того чтобы соединиться с AD Azure, — никаких требований к входящим соединениям, брандмауэру или конфигурации.
Однако, все еще некоторые клиенты могут предпочесть Федерацию AD. На то есть ряд причин:
- ADFS позволяет ограничивать доступ к Exchange Online, используя фильтры IP—адресов.
- ADFS будет соблюдать сконфигурированные ограничения по времени входа в систему Active Directory для пользователей.
- ADFS дает возможность пользователям изменить пароль, в то время как они вне корпоративной сети.
- В связи с требованиями политики безопасности некоторые клиенты могут сделать выбор в пользу ADFS в связи с тем, что все процедуры обработки паролей производятся на стороне ADFS.
- С ADFS администратор может сразу заблокировать доступ определенному пользователю, в то время как DirSync синхронизирует изменения каждые три часа (изменение пароля синхронизируется каждые две минуты).
- ADFS допускает использование собственных развернутых продуктов многофакторной аутентификации. Обратите внимание на то, что AD Azure поддерживает многофакторную аутентификацию, но многие сторонние продукты многофакторной аутентификации требуют собственной интеграции.
- Некоторые гибридные сценарии требуют наличия ADFS для гибридного поиска (поиск как в локальном, так и в облачном расположении).
Читайте также:
Настройка и лицензирование учетных записей Office 365 в PowerShell