ADFS vervangen door AADConnect

Kan ik ADFS vervangen door AADConnect Seamless Sign-On? 

 

Het simpele antwoord is ‘ja’! Microsoft heeft in juni 2017 een update uitgebracht voor Azure AD Connect, genaamd Seamless Single Sign-On (ook wel SSO genoemd), die een eenvoudigere en meer kosteneffectieve SSO-oplossing biedt voor Office 365 dan ADFS.

AD Connect Seamless Single Sign-On kan jullie kostbare (en mogelijk gecompliceerde) ADFS-infrastructuur vervangen via de AD Connect-wizard.

Probleem

Microsoft’s Single Sign-On-oplossing voor Office 365 is van oudsher Active Directory Federation Services (ADFS). ADFS biedt de volgende voordelen:

  • Single sign-on voor Office 365 / andere apps
  • Verificatie is on-premise. Aanmelden bij Office 365 is afhankelijk van Active Directory-account
  • Met ADFS kunnen beheerders de toegang tot Office 365 beperken met behulp van claimregels (alleen specifieke groepen / locaties toegang geven tot Office 365 via bepaalde clients)

ADFS brengt echter ook de volgende problemen met zich mee:

  • Kostbare en gecompliceerde ADFS-instellingen. Het onderstaande diagram toont een typische ADFS-omgeving voor Office 365 SSO. Dit is in Azure om HA / DR te bieden.Voor deze structuur zijn zes servers vereist (twee DC’s, twee ADFS-backend en twee WAP-frontends) om interne SSO intern te bieden voor lokale gebruikers die Office 365 gebruiken. De Azure-infrastructuur alleen voor ADFS voor Office 365 heeft zes servers nodig (twee voor HA) .
  • Single Sign-On met ADFS werkt alleen intern! John krijgt bijvoorbeeld SSO in het onderstaande diagram als hij de ADFS-servers raakt wanneer hij inlogt bij Office 365. Clare zou geen SSO ontvangen, aangezien deze de WAP-servers raakt bij het aanmelden bij Office 365.

  • Vereist technische kennis om in de toekomst op te zetten en te ondersteunen. Servers moeten ook worden geback-upt.
  • Aanvullende gecompliceerde claimregels zijn vereist voor het vergrendelen van services (alleen specifieke groepen / locaties toegang geven tot Office 365 via bepaalde clients).
  • Dit verslaat bijna het doel van verhuizen naar de cloud, bijvoorbeeld e-mail verplaatsen naar Office 365 maar volledig afhankelijk zijn van servers (on-premise of in Azure). Als uw ADFS-servers leeg zijn, kan niemand inloggen bij Office 365!

De oplossing? Azure AD Connect met Seamless Sign-On

De oplossing voor Single Sign-On zonder ADFS is AD Connect Seamless Single Sign-On.

Azure Active Directory naadloze eenmalige aanmelding (Azure AD Seamless SSO) ondertekent gebruikers automatisch wanneer ze zich op hun bedrijfsapparatuur bevinden die is verbonden met uw bedrijfsnetwerk. Indien ingeschakeld, hoeven gebruikers hun wachtwoorden of zelfs hun gebruikersnaam niet in te voeren om zich aan te melden bij Azure AD. Deze functie biedt gebruikers eenvoudige toegang tot cloudgebaseerde applicaties zonder dat er aanvullende interne componenten nodig zijn.

Voordelen van naadloze SSO

Het onderstaande diagram vat de voortgang van de naadloze SSO samen:

Het volgende zijn de voordelen van Seamless SSO:

  • Werkt in combinatie met Password Hash Synchronization of Pass-Through Authentication
  • Cloud Life raadt aan om Seamless SSO in combinatie met Password Hash Synchronization te gebruiken.Dit zorgt ervoor dat gebruikers op het bedrijfsnetwerk SSO krijgen, maar gebruikers kunnen zich nog steeds bij Office 365 aanmelden als het bedrijfsnetwerk / AD Connect de wachtwoordhashmethode niet gebruikt.
  • Gebruikers worden automatisch aangemeld bij zowel on-premise als cloud-gebaseerde applicaties in het bedrijfsnetwerk.
  • Gebruikers hoeven hun wachtwoorden niet herhaaldelijk in te voeren.
  • Gebruikers buiten het bedrijfsnetwerk kunnen inloggen met de normale gebruikersnaam en wachtwoordmethode die is vereist voor wachtwoordhash-synchronisatie.
  • Er zijn geen extra componenten / servers vereist. AD Connect Wizard (zie hieronder) en een GPO

  • Hiermee kunt u niet-Windows 10-apparaten registreren met Azure AD zonder ADFS.
  • Hiermee kunt u het gebruiken met op Azure gebaseerde voorwaardelijke toegang op basis van apparaat .
  • Naadloze SSO is een opportunistische functie. Als het om welke reden dan ook niet lukt, gaat de inlogervaring van de gebruiker terug naar zijn normale gedrag, dat wil zeggen dat de gebruiker zijn wachtwoord moet invoeren op de inlogpagina.
  • Het is gratis! Naadloze SSO is een gratis functie en u heeft geen betaalde versies van Azure AD nodig om deze te gebruiken.
  • Uitloggen wordt ondersteund. Hiermee kunnen gebruikers een ander Azure AD-account kiezen om in te loggen, in plaats van automatisch aangemeld te zijn met Seamless SSO.
  • U hoeft geen inkomende poorten te openen. Webtoepassingsservers hebben inkomend 443 verkeer naar hen nodig. Dit kan worden gezien als een beveiligingsrisico en moet worden beschermd; mogelijk een webapplicatie-firewall en misschien zelfs een pentest.
  • Naadloze SSO wordt ondersteund op webbrowser-clients en Office-clients die moderne authenticatie ondersteunen op platforms en browsers die in staat zijn tot Kerberos-authenticatie.

De onderstaande tabel toont ondersteunde browsers.

(* Vereist aanvullende configuratie )

Technische details

Hoe werkt de aanmelding bij een webbrowser met Seamless SSO?

Hieronder ziet u de inlogstroom in een webbrowser:

  • De gebruiker probeert toegang te krijgen tot een webtoepassing (bijvoorbeeld Outlook Web App https://outlook.office365.com/owa/) vanaf een bedrijfsapparaat dat is aangesloten op een domein binnen uw bedrijfsnetwerk.
  • Als de gebruiker nog niet is aangemeld, worden deze omgeleid naar de Azure AD-inlogpagina.
  • De gebruiker typt zijn gebruikersnaam in de Azure AD-inlogpagina. (Voor bepaalde toepassingen krijgt de gebruiker een stille aanmeldingservaring (dwz uw gebruikers hoeven zelfs hun gebruikersnaam niet in te voeren)
  • Met behulp van JavaScript op de achtergrond daagt Azure AD de browser uit via een ongeautoriseerde 401-reactie om een ​​Kerberos-ticket te leveren.
  • De browser vraagt ​​op zijn beurt om een ​​ticket uit Active Directory voor de AZUREADSSOACC-computeraccount (die Azure AD vertegenwoordigt).
  • Active Directory lokaliseert het computeraccount en retourneert een Kerberos-ticket naar de browser, gecodeerd met het geheim van het computeraccount.
  • De browser stuurt het Kerberos-ticket dat het van Active Directory naar Azure AD heeft doorgestuurd.
  • Azure AD ontsleutelt het Kerberos-ticket dat de identiteit van de gebruiker bevat die is aangemeld bij het bedrijfsapparaat, met behulp van de eerder gedeelde sleutel.
  • Na evaluatie retourneert Azure AD een token terug naar de toepassing of vraagt ​​de gebruiker om aanvullende bewijzen uit te voeren, zoals multifactorverificatie.
  • Als de aanmelding bij de gebruiker geslaagd is, heeft de gebruiker toegang tot de app.

Het onderstaande diagram toont de stroom en de stappen:

Veelgestelde vragen

Hieronder staan ​​een aantal van de meest voorkomende problemen bij Cloud Life over het vervangen van ADFS door AD Connect Seamless SSO …

We gebruiken ADFS-claimregels om de toegang tot Office 365 te beperken

Antwoord: voorwaardelijke toegang moet worden gebruikt om de toegang tot Office 365 te beperken via Device / Location of MFA. Let op: vereist Azure AD Premium-licentie.

We gebruiken ADFS voor SSO voor externe gehoste applicaties

Antwoord: vervang dit door Azure Single Sign-On voor Enterprise-apps. Dit zorgt ervoor dat de SSO-oplossing echt in de cloud is. Veel leveranciers bieden al een sjabloon voor Azure SSO in de Azure Portal-galerij. Als de app van de derde partij niet wordt vermeld, biedt Azure instructies voor het ontwikkelen van Azure SSO voor niet-galerij-apps. Dit zorgt er ook voor dat de app van de derde partij voorwaardelijke toegangsregels kan hebben .

We gebruiken ADFS voor onze eigen on-premise-applicaties …

Antwoord: kan dit worden vervangen door Azure Application Proxy om een ​​single-panel (myapps.microsoft.com) te waarborgen voor toegang tot applicaties?

We gebruiken ADFS voor authenticatie van oudere applicaties, bijvoorbeeld Office 2010

Antwoord: met Office 2010 biedt ADFS geen volledige SSO. Het maakt gebruik van basisverificatie en gaat eigenlijk via de WAP-servers, dus uw ervaring is niet anders dan het gebruik van Password Hash Synchronization. ADFS werkt met moderne authenticatietoepassingen. Het is 2018! Tijd om over te gaan van Office 2010 naar toepassingen die moderne verificatie ondersteunen, bijvoorbeeld Office 2016.

Is ADFS niet veiliger dan Naadloze SSO gebruiken met wachtwoordhash-synchronisatie?

Antwoord: waarom? ADFS vereist inkomende 443 toegang tot een server in de zakelijke DMZ. AD Connect vereist alleen uitgaand verkeer. Verbindingen met Office 365 kunnen ook worden beperkt tot alleen bedrijfsapparaten die gebruikmaken van voorwaardelijke toegang .

Is het een groot project om ADFS te vervangen door AD Connect Seamless Sign-On?

Antwoord: Nee. Normaal zouden we een POC-fase met een testdomein aanbevelen om de gebruikerservaring te testen. Zodra dit is gebeurd, kan de overschakeling buiten de uren op het live domein worden gedaan.

Gebruikerservaring van Azure AD Connect Naadloze SSO

In de volgende sectie wordt de eindgebruikerservaring van Azure AD Connect Seamless SSO van een aangesloten machine getoond (Windows 10).

De gebruiker logt in op Windows 10-domein gekoppelde machine. Dit is de eerste keer dat ze zich aanmelden bij deze machine:

Internet Explorer wordt geopend:

De gebruiker voert het adres https://outlook.office365.com in. De gebruiker wordt rechtstreeks toegelaten zonder gebruikersnaam of wachtwoord:

Afbeeldingsresultaat voor office 365 owa

Known issues

Hoewel relatief weinig, zijn er een aantal bekende uitdagingen:

Client-app

  • Niet alle client-apps ondersteunen AD Connect Seamless SSO. De client-app moet moderne verificatie ondersteunen, bijvoorbeeld Outlook 2016 of Outlook 2013 (met een reg-sleutelwijziging).
  • Het wordt ondersteund op webbrowser-gebaseerde clients en Office-clients die moderne authenticatie ondersteunen op platforms en browsers die in staat zijn tot Kerberos-authenticatie.
  • Upgrade naar Office 2016 als uw bedrijf dit nog steeds gebruikt; het is tenslotte 2018!Alle apps van derden (bijvoorbeeld Outlook-plug-ins) die geen ondersteuning bieden voor Outlook 2010. Laat dit uw cloud-SSO-oplossingsreis niet belemmeren. Neem contact op met de leverancier om te bespreken waarom hun toepassing / plug-in toekomstbestendig moet zijn.

Alternatieve ID

  • Wanneer u Outlook gebruikt om verbinding te maken met Office 365, wordt in de documentatie van Microsoft het volgende vermeld:

“Naadloze SSO ondersteunt Alternatieve ID als gebruikersnaam bij configuratie in Azure AD Connect zoals hier wordt weergegeven. Niet alle Office 365-toepassingen ondersteunen Alternatieve ID. ”

  • Uit de ervaring van Cloud Life blijkt dat AD Connect Seamless SSO voor Outlook met Office 365 het beste werkt met de standaard ‘User Principal Name’ voor Azure AD Connect Username.
  • Hoewel Alternatieve ID mogelijk is, is de gebruikerservaring slecht aangezien Outlook hard gecodeerd is om de gebruikersprincipe-naam uit Active Directory te gebruiken bij de eerste autodiscover / setup.
  • Dit betekende dat we tijdens de installatie, hoewel we het wachtwoord niet hoefden in te voeren, de gebruikersnaam moesten wijzigen om overeen te komen met het e-mailadres. We zijn natuurlijk blij dat we ongelijk hebben gekregen, maar dit is onze ervaring tot nu toe. Het advies van Cloud Life? Gebruik de User Principle Name als de Azure AD-aanmelding.

 

Roderick is de oprichter van Cloud Life. Daarnaast is hij Cloud Consultant, Trainer en Cloud Security specialist. Hij heeft ervaring met SharePoint en aanverwante technologieën sinds 2006, beheert en werkt met Office 365 sinds de dag dat het uitkwam(!) en is onderdeel van de Microsoft Partner Advisory Board op het vlak van Microsoft Enterprise Mobility + Security. Geen vraag is hem dus te gek. Wil je iets weten over Office 365, Azure of Security? Stuur een mailtje door op de knop hieronder te klikken! Roderick denkt graag met je mee.