Administradores de sistemas: tiraron los servidores de Exchange para arriba? Vamos a habilitar SSO

Sysadmin Blog Mi artículo anterior se centró en la migración de Exchange en la nube de Microsoft, pero hay más de Office 365 más que de Exchange. Single Sign On (SSO) entre 365 y Oficina local de dominio de Microsoft puede ser un poco complicado. Una correcta aplicación tiene altos requerimientos mínimos, y hay muy buenos argumentos en contra de tomar atajos. SSO es acerca de la conveniencia. El 365 más de la Oficina de servicios que utiliza, el sentido más SSO empieza a hacer. Nadie quiere ser la perforación de las contraseñas de una docena de veces al día para utilizar las herramientas de negocio vitales. Hay algunos argumentos de seguridad que pueden ser parte de la promoción de ventas, pero en realidad se reducen a "la más difícil de hacer las cosas, más probable es que sus usuarios son hacer caso omiso de la seguridad". Los argumentos económicos también deben ser considerados: un menor número de contraseñas que recordar y restablecer equivale a un menor número de llamadas al soporte técnico. Mientras que el suena ideal, el diablo está en los detalles. La idea detrás de SSO es que un usuario, ya sea dentro del firewall corporativo o que operen en un modo de nube-tools-sólo puede acceder a la Oficina 365 de servicios y aplicaciones que utilizan sus credenciales corporativas. Desafortunadamente, la implementación de Microsoft de SSO es totalmente dependiente de la nube de Microsoft es capaz de comunicarse con un servidor de directorio activo de las empresas. Las comunicaciones entre la nube y la red corporativa es proporcionado por federación de Active Directory Service (ADFS.) Si el vínculo entre ADFS y la Oficina 365 es por alguna razón, los usuarios no pueden entrar Debido a esto, se recomienda que los ADFS servidores en el lado corporativo de la ecuación de agruparse. Para los despliegues de medallas de oro, dos grupos se recomienda. La primera: una piscina de fondo de ADFS. Por razones de seguridad, usted no quiere exponer a sus servidores de autorización de ADFS reales directamente a Internet, pero tienen que tener una alta disponibilidad para que el personal todavía se puede acceder a sus servicios de nublados durante las fallas de hardware, actualizaciones, etc Los ADFS front-end servidores proxy también necesitan ser agrupados, y por las mismas razones. Preferiblemente, también tendría acceso a acceso a Internet redundantes para que pueda soportar la pérdida de un solo proveedor de Internet. Así que ¿qué se necesita para terminar con la migración de Exchange Office 365 y habilitar SSO? La implementación de SSO En el artículo anterior, cubrí los buzones de la migración a la nube. Con el fin de trabajar para SSO, que ahora tendría que convertir los buzones de remanentes de la zona para usuarios con correo habilitado. Empezamos por la recopilación de información del buzón de la Oficina 365 en un archivo CSV , y luego ejecutar un script de PowerShell. El script se proporciona. A continuación, tenemos que garantizar el nombre principal de usuario (UPN) para todos nuestros usuarios se establece a un nombre de dominio públicamente direccionable. Esto asegura que usted puede hacer frente a sus usuarios como username@externaldomain.tld, que Office 365 puede entender. (Como un nombre de dominio público, Office 365 se puede mirar hacia arriba.) Adición de un sufijo UPN no requiere que usted cambie su nombre de dominio interno, para que los usuarios aún podrán ser tratados como username@internaldomain.local detrás del firewall corporativo. Ahora es el momento de clúster. Implementar clúster NLB Active Directory Federation Services "por ejecutar el asistente de ADFS. A continuación, crear e implementar un clúster de AD FS. Asegúrese de verificar dos veces el tamaño de su Active Directory. Menos de 50 mil objetos pueden ser manejados por SQL Server Express, más requiere de una instalación completa de SQL Server. Además, hay límites a la cantidad de objetos que se pueden replicar en la Oficina 365. Si usted piensa que puede tener más de 20.000 objetos que necesitan ser replicados, póngase en contacto con apoyo de la Oficina 365 para un especial de tomarse de las manos. Tenemos la vuelta de la configuración SSO de instalar la herramienta de sincronización de directorios y la activación de sincronización de directorios. Después de esto, usted debe tener SSO establecido entre su dominio y Office 365. Como usted puede decir, salimos de Pequeñas y Medianas Empresas (PYME) por detrás de hace mucho tiempo. Se trata de las grandes infraestructuras: en muchos casos, más que todo de bienes de una PYME servidor actualmente desplegados. Una alternativa posible que existe. Los de Microsoft Online Services Sign-In Assistant ( MOS SIA ) se hizo para ayudar a cerrar la brecha. Aunque cada uno de los usuarios van a tener dos conjuntos de credenciales (local empresarial y basadas en nube), con el SIA MOS, sólo tienes que entrar una vez. Si bien no SSO, MOS SIA es una descarga gratuita herramienta que es "lo suficientemente cerca" en la práctica. Si bien es útil y conveniente, la Oficina 365 de SSO en su forma actual, simplemente no tiene sentido para las PYME.