Zur Navigation Zur Suche Zum Inhalt
Kontakt

Office 365 und Active Directory Federation Service (ADFS)

Adrian Jöri
Office 365

Office 365 unterstützt verschiedene Anmelde-Modelle. Die verfügbaren Modelle sind Cloud Identity, Synchronized Identity und Federated Identity. In diesem Blogeintrag möchte ich innerhalb des Modelles Federated Identity den Bereich ADFS näher erläutern.

ADFS wird bei mittleren Unternehmen vor allem aufgrund der Single Sign-on (SSO) Fähigkeit implementiert. Single-Sign on ermöglicht die einmalige Eingabe der persönlichen Anmeldedaten, welche anschliessend für andere Applikationen verwendet werden können. Weitere Vorteile wie die Restriktion von Ländern oder Arbeitszeiten sowie regulatorische Anforderungen, welche die Synchronisation der Passwort Hashes zu Microsoft verbieten, werden selten verlangt. Eine Vollständige Liste der Szenarien bei denen ADFS eingeführt werden muss, findest du bei den weiterführenden Links.

An dieser Stelle ist zu erwähnen, dass Exchange Online mit Outlook zur Zeit noch kein Single Sign-on unterstützt. Das entsprechende Feature, mit dem Namen passive Authentication wurde von Microsoft im November 2014 angekündigt und befindet sich im Moment in der Testphase.

ADFS in der Praxis

Die nachfolgende Grafik zeigt den Aufbau und die Kommunikationsverbindungen einer ADFS Infrastruktur mit Office 365. In diesem Blog Eintrag wird wie bereits erwähnt, nur das violette Zahnrad näher beschrieben. Die gestrichelte Linie „Password hashes“ zwischen „On-premises directory“ und „Office 365“ bedeutet, dass diese Einstellung optional gewählt werden kann.

 

Hinter dem violetten Zahnrad verbergen sich im Idealfall folgende Devices:

  • 2x Windows Server 2012 R2 mit der Rolle Web Proxy
  • 2x Hardware Load Balancing
  • 2x Windows Server 2012 R2 mit der Rolle ADFS

Diese Zusammenstellung macht klar, dass die Realisierung einer Federated Identity Lösung mit ADFS die Komplexität und die Kosten der IT Infrastruktur verändern wird.

Die Nachfolgende Grafik zeigt die Architektur der oben genannten Devices in einer Übersicht auf.

Warum werden alle Komponenten redundant aufgebaut?

Meine Tests mit Office 365 haben ergeben, dass Clients mit einer lokalen Installation von Office 365 Professional Plus > 7 Tage ohne eine interne Verbindung, uneingeschränkt arbeiten können. Besteht jedoch ein Problem mit der internen ADFS Authentifizierung, läuft die Lizenz umgehend ab und die Benutzer können Office 365 nur noch im eingeschränkten Modus verwenden. Da die Office Suite (Word, Excel, Outlook) in vielen Unternehmen zu den wichtigen Geschäftsapplikationen gehören, hätte dies verheerende Auswirkungen.

Meine Empfehlung ist es deshalb, frühzeitig die Anforderungen der Benutzer zu erheben und eine passende Architektur zu entwerfen. Bei der Verwendung des Modells Federated Identity müssen auf jeden Fall die zusätzlichen Kosten, welche durch die ADFS Infrastruktur entstehen, berücksichtigt werden.