Wiele firm obawia się, że wdrożenie Office 365 to skomplikowany proces, który wymaga instalacji wielu serwerów w lokalnej infrastrukturze. Zwłaszcza instalacja i konfiguracja serwerów ADFS, aby zapewnić logowanie za pomocą tych samych poświadczeń do aplikacji hostowanych lokalnie oraz aplikacji znajdujących się w Office 365 może być trudne dla niektórych organizacji. Brak powyższej funkcjonalności może być poważną przeszkodą przed rozpoczęciem korzystania z Office 365. W tym artykule przedstawię funkcjonalność synchronizacji haseł (Password Sync), która umożliwia uproszczenie konfiguracji oraz zmniejszenie ilości serwerów potrzebnych do wdrożenia Office 365.
Funkcjonalność synchronizacji haseł jest realizowana przez narzędzie DirSync, wykorzystywane także do synchronizacji obiektów z lokalnego Active Directory do Windows Azure Active Directory (WAAD). (Więcej informacji na temat WAAD, znajduje się tutaj: http://technet.microsoft.com/en-us/library/hh967611.aspx). DirSync jest to darmowy appliance Forefront Identity Manager 2010 R2 przeznaczony jednokierunkowego (z małymi wyjątkami) synchronizowania obiektów takich jak konta użytkowników, grupy, kontakty itp., z lokalnego Active Directory do Windows Azure Active Directory. Proces odpowiedzialny za synchronizację haseł uruchamiany jest automatycznie, co 2 minuty i wykonuje następujące czynności:
- Sprawdza atrybut pwdLastSet na każdym koncie użytkownika, aby ustalić czy nastąpiła zmiana hasła.
- Jeśli zostanie stwierdzona zmiana hasła, proces pobiera hash hasła z Active Directory.
- Hash hasła zostaje ponownie zahash’owany i w takie postaci wysłany do Windows Azure Active Directory za pomocą szyfrowanego kanału.
Jak widać same hasła nie są przesyłane do Office 365. Synchronizowane są ich hashe, które są dodatkowo zabezpieczone.
DirSync w procesie synchronizacji, wysyła do WAAD, także nazwę użytkownika (UserPrincipalName). W związku z tym, konto użytkownika w WAAD, ma taki sam login i hasło jak konto użytkownika w lokalnym AD. Dzięki temu użytkownik może używać tych samych poświadczeń do logowania do usług znajdujących się w Office, 365 jaki w lokalnym Active Directory.
Główny proces synchronizowania obiektów i ich atrybutów, który uruchamia się, co 3 godziny jest niezależny od procesu synchronizacji haseł. Oznacza to, że wymuszenie zwykłego procesu synchronizacji nie wymusza synchronizacji haseł. Aby wymusić synchronizację haseł należy wykonać następujące polecenie w Powershellu konfiguracyjnym DirSync: Set-FullPasswordSync oraz zrestartować usługę FIMSynchronizationService.
DirSync, który jest niezbędny do synchronizacji haseł, może być instalowany na serwerach Windows Server 2008 R2 lub nowszych. Ponadto 22 listopada 2013 została wydana wersja DirSync (6567.0018), która pozwala na instalowanie tej aplikacji na kontrolerach domeny. Inną możliwością jest zainstalowanie serwera DirSync na serwerze wirtualnym znajdującym się Windows Azure.
Synchronizacja obiektów za pomocą DirSync zmienia „source of authority” dla obiektów w Office 365. Oznacza to, że wszelkie zmiany na obiektach utworzonych w WAAD za pomocą DirSync, muszą być wykonywane w lokalnym AD, a następnie zsynchronizowane do WAAD. Dotyczy to również haseł. Użytkownik chcąc zmienić hasło, musi to zrobić w lokalnym AD i poczekać (maksymalnie 2 minuty), aż nowe hasło zostanie synchronizowane do chmury.
Warto nadmienić, że zarówno korzystając z ADFS, jaki i Password Sync, polisy dotyczące haseł konfigurowane są w lokalnym Active Directory.
Jakie są różnice między używaniem DirSync z Password Sync, a wykorzystaniem ADFS do uwierzytelniania do Office 365:
- ADFS umożliwia wykorzystanie Client Access filtering policy (konieczne posiadanie ADFS Proxy), które mogą na przykład zablokować dostęp do Office 365 w wybranych godzinach, wybranym grupom użytkownikom do wybranych usług.
- ADFS w niektórych przypadkach może zapewnić Single Sign-On (logowanie do Lync’a, logowanie do OWA w LANie). W przypadku DirSync z Password Sync, użytkownik musi podawać poświadczenia aby zalogować się poczty, Lynca Online czy Sharepointa Online
- W przypadku ADFS uwierzytelnianie użytkownika odbywa się w lokalnym Active Directory. Jeśli chodzi o DirSync Password Sync, użytkownik uwierzytelniany jest przez WAAD.
Jeśli powyższe funkcjonalności nie są wymagane, DirSync z Password Sync jest wspaniałą alternatywą dla wdrażania ADFS dla potrzeb logowania do Office 365, która ogranicza koszty wdrożenie usług w chmurze.