1 / 45

Office 365 : Fédération d’Identité et Solutions d’Annuaires

Office 365 : Fédération d’Identité et Solutions d’Annuaires. Christophe Leroux Architect EMEA Microsoft. 10/02/2011 Aziz BELAID Consultant AI3. SOMMAIRE. ADFS : Authentification sur Office365 Présentation Planification Flux d’authentification Déploiement

nguyet
Download Presentation

Office 365 : Fédération d’Identité et Solutions d’Annuaires

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Office 365 : Fédération d’Identité et Solutions d’Annuaires Christophe Leroux Architect EMEA Microsoft 10/02/2011Aziz BELAID Consultant AI3

  2. SOMMAIRE • ADFS : Authentification sur Office365 • Présentation • Planification • Flux d’authentification • Déploiement • DirSync: synchronisation d’annuaire Office365 • Présentation • Prérequis • Installation • Composants

  3. Fédération d’identités Authentification sur Office 365

  4. Choix disponibles pour l’authentification Identité Microsoft Online • Connexion avec votre identifiant Cloud - L’authentification se produit dans le Cloud - Les utilisateurs ont deux identifiants – un pour les services de l’entreprise et un pour les services Cloud • Le nom d’utilisateur/mot de passe est demandé Fédération d’identités (Nouveau) • Connexion avec votre identifiant d’entreprise - L’authentification se produit dans l’entreprise - Les utilisateurs utilisent leur nom d’utilisateur/mot de passe d’entreprise pour accéder aux services de l’entreprise et du Cloud • Les utilisateurs disposent d’une authentification unique

  5. Choix disponibles pour l’authentification Identité Microsoft Online • Gestion des stratégies de mot de passe dans l’entreprise et dans le Cloud • Réinitialisation de mot de passe dans l’entreprise et dans le Cloud Fédération d’identités (Nouveau) • Gestion des stratégies de mot de passe en entreprise uniquement • Réinitialisation de mot de passe uniquement en entreprise • Requiert l’installation d’un ou plusieurs serveurs en entreprise

  6. Démo Authentification avec Identifiant Microsoft Online Authentification  avec Fédération d’Identité

  7. Architecture d’Identité : Choixdisponibles 1.Identifiants Microsoft Online 2.Identifiants Microsoft Online + DirSync Microsoft Online Services 3.Fédérations d’identité + DirSync PlateformeIdentité Trust Federation Gateway Exchange Online Locaux Client Contoso Plateformed’Authentication Active Directory Federation Server 2.0 SharePoint® Online IdP IdP Plateforme Provisioning MS Online Directory Sync AD Lync™ Online Annuaire Service connector Portaild’Administration 7| Microsoft Confidential

  8. Tableau Comparatif • 1. Identifiant MS Online • 2. Identifiant MS Online + DirSync • 3. Fédérationd’Identités+ DirSync • Approprié pour • Petites entreprises sans ActiveDirectory • Avantages • Pas de serveursrequis en entreprise • Inconvénients • Pas de SSO • 2 jeuxd’identifiants à gérer avec des stratégies de mot de passedifférentes • Identifiantsgérésdans le cloud • Approprié pour • Moyennes/Grandesentreprises avec ActiveDirectory • Avantages • Utilisateurs et groupesgérés en entreprise • Permet des scénarios de coexistence • Inconvénients • Pas de SSO • 2 jeuxd’identifiants à gérer avec des stratégies de mot de passedifférentes • Un serveurrequis en entreprise • Approprié pour • TrèsGrandesentreprises avec ActiveDirectory • Avantages • SSO avec identifiantentreprise • Identitésgérées en entreprise • Stratégie de mot de passegérée en entreprise • Permet des scénarios de coexistence • Inconvénients • Déploiements de serveurs en Haute disponibilitérequis 8| Microsoft Confidential

  9. 9| Microsoft Confidential DirSync et Fédérationd’Identité : Procédure 1.Plannification (Lecture doc) 2. Preparation 3. Etablir la fédération et/ou la coexistence Ajouter et vérifier les domaines SMTP Configurer et lancer DirSync Configurer les Services Configurer la Federation d’identité Activer la coexiistence Installation DirSync GO Portail Admin Outild’identité Microsoft Online Administration DNS Configuration des Services Online Outil Microsoft Online DirSync 4. Licenses Utilisateurs Licencesutilisateurs Portail Admin

  10. Enregistrement nom de domaineMSOnline • (4) Les nouveaux domainesenregistrés se propagentversMSOnline • MSO réserve le nom de domaine en tantque “DomaineFédéré” • MSO règle le point d’entrée pour le nom de domainevers : “https://adfs.contoso.com/adfs/ls/” (2) Créer un enregistrement DNS dansvotre zone pour prouverquevousêtesbien le propriétaire Ex : ms1234567.contoso.com > ps.microsoftonline.com • (3) Relancer MSO Federation Configcmdlet: • “Add-MsolFederatedDomain –DomainName “contoso.com” • *Cettecommandevérifiequevousêtes le propriétaire du domaine* • Lancer MSO Federation Configcmdlet: • “Add-MsolFederatedDomain–DomainName “contoso.com” Entreprise: contoso.onmicrosoft.com DomainesStatut contoso.com activé Entreprise: contoso.onmicrosoft.com DomainesStatut contoso.comen attente

  11. 11| Microsoft Confidential Experience au travers des Applications et des OSFédération vs. Domaine Non-Fédéré • Un nouveau “connecteur de service” estrequis – principalement pour les clients riches • Permetd’installer les mises à jour clientes et OS pour unemeilleure experience • Permet le support de l’authentification pour les clients riches • Permet de s’assurerque les clients ont les bonnes configurations • Les scénarios kiosk (ex : OWA) sontsupportés sans le “connecteur de service” Office 2010, ouOffice 2007 SP2 SharePoint Online ActiveSync, POP, IMAP, Entourage Outlook Web Application Outlook 2007 or 2010 Outlook 2007 Outlook2010 Win 7 Win 7 Vista/XP Win 7/Vista/XP A chaque session A chaque session A chaque session A chaque session A chaque session Unefois à la configuration Identifiant MS Online Online ID Online ID Online ID Online ID Online ID Online ID Fédérationd’identités Unefois à la configuration Transparent Transparent Transparent Transparent Transparent Authentification AD Authentification AD Authentification AD Authentification AD Authentification AD Authentification AD

  12. Fédérationd’Identités en Details Flux d’Authentication | Scénarios de déploiement | Déploiement de la Fédérationd’Identité

  13. 13| Microsoft Confidential Fédérationd’IdentitéFlux d’authentification (profilpassif) Microsoft Online Services Client

  14. 14| Microsoft Confidential Fédérationd’identitéFlux d’autentification (profilactif) Client Microsoft Online Services

  15. Déploiement ADFS : Configuration matérielle recommandée

  16. 16| Microsoft Confidential AD FS 2.0 Choix de déploiement • Configuration avec un seulserveur • Ferme de Serveur AD FS 2.0 avec Equillibrage de charge • Server Proxy AD FS 2.0 (utilisateursdistants) External user Active Directory Serveur Proxy AD FS 2.0 Serveur AD FS 2.0 Serveur AD FS 2.0 Serveur Proxy AD FS 2.0 Utilisateur Interne DMZ Entreprise

  17. 17| Microsoft Confidential Pilote et déploiement de la Fédérationd’Identité • Si vousdémarrez avec un domainefédéré en production • Le déploiement de la fédérationd’identité à toutel’entreprisepeut-êtreréaliséétape par étape. • Si vousdémarrez avec un domaine standard en production (avec Directory Sync) contenant des utilisateurs en production: • La conversion (vers la fédération) est un grand changement • Un piloteou un déploiement de la fédérationd’identité d’un domaine standard en production n’est pas possible • Cependant, un pilote avec des utilisateurs en production est possible • Requiert un domaine de test fédéré et le changement des UPN des utilisateurspilotes

  18. 18| Microsoft Confidential Structures ActiveDirectory Clients • Domainescorrespondants • Le domaine Interne et le domaineExternesont les mêmes • Ex : contoso.com • Sous-domaine • Le(s) domainesInternessont des sous-domaines du domaineExterne • Ex : Corp.contoso.com • Domaine Local • Le domaine Interne n’est pas publiquementenregistré • Ex : Contoso.local • Domaines multiples et distincts • Ex : la moitié des utilisateursontleurs UPNs sous contoso.com et l’autremoitiésur fabrikam.com • Multi-Forêt • Non supportéactuellement

  19. 19| Microsoft Confidential ConsidérationssurActiveDirectory • Domainescorrespondants • Pas de prérequis • Sous-domaine • Requiertl’enregistrement des domainesdansl’ordre, primairepuissous-domaines • Domaine Local • Le Domaine ne peut pas êtreenregistré et donc ne peutêtreutilisé pour la fédération • Requiertl’utilisation de nouveaux UPN pour tous les utilisateurs • Domaines Multiples et distincts • Requiert le déploiement de serveurs AD FS 2.0 pour chaquedomaine distinct

  20. 20| Microsoft Confidential RèglesGénérales • Tous les utilisateursdoivent disposer d’un UPN • Les UPNs doiventcorrespondre à un domainevalidésur Office 365 • Les utilisateursdoiventutiliserleur UPN pour se connecter à Office 365

  21. Dirsync Synchronisation d’annuaire Office 365

  22. 22| Microsoft Confidential A quoi sert DirSync ? • Permet une coexistence applicative et d’identité • Les identités sont gérées on-premise • Synchronise les utilisateurs, groupes et contacts • Permet une fédération d’identité simple • Permet un coexistence applicative (Exchange et Lync™ 2010) • Exchange On-premise et Lync 2010 coexistent avec leurs équivalents coté OnLine (routage et annuaires). • Permet les fonctions avancée de “Rich Coexistence” Exchange • Inclus les « write-back »

  23. 23| Microsoft Confidential Office 365 DirSyncNouvelles fonctionnalités • Le version de Dirsync de BPOS V1 se contentait de faire une synchro d’objets simples • DirSync V2 permet: • Coexistence d’identités – les identités sont gérée on-premises • Salles de conférence, boites aux lettres de ressources • Support de la fédération • Synchronise les groupes de sécurité • Synchronise des information supplémentaires (i.e., photos) • Coexistence Free/Busy (avec un serveur CAS Exchange Server 2010 CAS SP1 on premise) • Supports de fonctions Rich Coexistence avec Exchange Server 2010 (Archives Cloud, Filtrages, Delegations)

  24. 24| Microsoft Confidential Quand utiliser DirSync ? • Petite sociétés • Petite et moyenne sociétés • Grands comptes • Coexistence long-terme • Création des utilisateurs et GO ! • MOAC • Tous le monde est activé en même temps • Par d’historique des l’ancien système • Pour: Facile à déployer; simple pour les petites organisations • Contre: Perte de l’ancien contenu • Création des utilisateurs en masse (Office 365 APIs) • Pour: Facilité de créer beaucoup d’utilisateurs • Contre: Satisfaction utilisateurs à cause de la perte des données • Contre: Pas de coexistence • L’administrateur installe DirSync. DirSync provisionne dans MSO tous les utilisateurs, les groups et contacts. • Pour: les objets sont créés coté onpremise • Pour: Permet de gérer la coexistence entre les annuaire et les Free/Busy • Contre: Nécessite un serveur onpremises sur le long terme.

  25. 25| Microsoft Confidential Quelles sont les question à se poser avant d’installer DirSync • Comptez-vous activer la fédération d’identité ? • Si votre société planifie d’utiliser la fédération d’identité (SSO) au moyen d’ Active Directory Federation Services (ADFS), il est recommandé de le faire avant l’installation de DirSync • Avez-vous enregistré vos domaines ? • Est-ce que l’Active Directory est « propre » ? (exemple: objets dupliqués, mal renseignés, etc.) • Vous aurez des avertissements ou erreurs lors de la synchronisation

  26. 26| Microsoft Confidential Choix de déploiements • Coexistence simple • DirSync synchronise les identités • Pas de serveur Exchange Server 2010 Client Access on premise • Coexistence riche • DirSync synchronise les identités • Installation d’un serveur Exchange Server 2010 Client Access on premise • Activation des fonctionnalités de coexistence riche

  27. 27| Microsoft Confidential Coexistence richePrésentation • Le coexistence riche, scenario pour le long terme • Free/Busy et partage de calendriers entre utilisateurs on premise et online • Migration simple de boites aux lettres dans les deux sens gérée à partir du serveur Exchange 2010 on premise (EMC ou PowerShell) • Archive online • Coexistence des filtrages • Il faut installer au moins un serveur Exchange Server 2010 server SP1 on-premise (extension de schéma, URL…), même si le serveur Exchange Server 2010 on-premise n’est pas destiné à héberger des boites aux lettres (uniquement le rôle CAS est nécessaire) • Permet des déplacements progressifs de boites aux lettres (pilote, etc.)

  28. Microsoft Confidential Coexistence RicheDirSync “Write Back” 28| Microsoft Confidential

  29. 29| Microsoft Confidential Demo:Installation et configuration de DirSync

  30. Microsoft Confidential

  31. Microsoft Confidential

  32. Microsoft Confidential

  33. Microsoft Confidential

  34. Microsoft Confidential

  35. 36| Microsoft Confidential Installation un seul fichier de 54 MB

  36. 37| Microsoft Confidential Configuration admin@mikek.me mikek.local\Administrator wwwwwwwwww wwwwwwwwwwwwwwww

  37. 39| Microsoft Confidential Full vs. Delta Syncs • Après l’installation • Microsoft Online DirSync va synchroniser la forêt dans son intégralité • Une seule forêt • Synchronise tous les utilisateurs, les groupes mail-enabled , les groupes de sécurité, et les contacts • La première synchronisation peut prendre du temps dépendant du nombre d’objets à synchroniser • Une estimation du temps nécessaire sera disponible (en cours de test) • Les synchronisations suivantes sont des deltas • Par défaut, toutes les trois heures • Synchronise tous les changements effectués on premise vers Microsoft Online • Peut être très rapide, dépendant du nombre de changements effectués on premise

  38. 40| Microsoft Confidential Forcer la synchronisation • Il est possible de forcer la synchronisation de DyrSync au moyen de PowerShell • Lancer PowerShell, • Exécuter la cmdlet MSO Directory SyncConfigShell.psc1 qui se trouve dans le répertoire d’installation Microsoft Online Directory Sync • CMDLET Start-OnlineCoexistenceSync

  39. 41| Microsoft Confidential Prérequis et dépendances • Operating Systems supportés • Microsoft Windows Server® 2003 SP2 x86 • Microsoft Windows Server 2008 x86 • Prérequis • Microsoft .NET Framework 3.5 et Microsoft Windows PowerShell® v1.0 • Ne doit pas être un contrôleur de domaine • Doit être membre d’un domaine • Peut synchroniser une forêt fonctionnant sous: • Microsoft Windows Server 2000 • Microsoft Windows Server 2003 • Microsoft Windows Server 2008 • Microsoft Windows Server 2008 R2 • Le fichier d’installation comprend: • Microsoft SQL Server® Express • Microsoft IdentityLifecycle Manager 2007 – “Special Microsoft Online version” • Aucun produit à acheter dans la majorité des cas

  40. 42| Microsoft Confidential Composants de DirSync • Microsoft Windows Server 2003 SP2 ou plus & Win2008 • Basé sur IdentityLifecycle Manager 2007 (ILM 2007) • Utilise SQL Server Express SP3 • S’il y a plus de 50000 objets à synchroniser, il faut utiliser un SQL complet • Support de Microsoft SQL Server 2005/2008 • Installation par MSI

  41. 43| Microsoft Confidential Erreurs de synchronisation • Les erreurs de synchronisation sont envoyées aux administrateurs par email • Les erreurs les plus classiques sont: • Problèmes de caractères interdits (apostrophes, &, %) • Manques ou duplication d’attributs • Les administrateurs peuvent régler ces problèmes en modifiant les informations coté on premise

  42. 44| Microsoft Confidential Future – Post GA • Migration d’ILM vers Microsoft Forefront®Identity Manager 2010 • Support du 64-bit uniquement • Amélioration des performances • Solution Multi-forêts • Microsoft Online MA

  43. Questions & Réponses 45| Microsoft Confidential

More Related