Синхронізація паролів під час використання DirSync, it-partner

Office 365 використовує Windows Azure Active Directory (AD Azure) для керування обліковими даними користувача та зберігання профілів користувача. Інструмент синхронізації каталогів (DirSync) призначений для синхронізації профілів користувачів між локальними Active Directory та Azure AD у хмарі. Це означає, що всі профілі користувачів з локальної інфраструктури будуть у Office 365.

У новій версії DirSync доступна можливість синхронізації пароля користувача між локальною та хмарною інфраструктурою.

Варіанти ідентифікації користувачів

SAAS програми не встановлені локально і вони не мають доступу до локальних AD. Тому, SAAS додатки часто реалізовані за методом ідентичності, що не перетинається. В результаті, користувачі змушені будуть використовувати різні логіни та паролі. Єдиний вхід - важливий крок уперед у розвитку хмарних технологій. Єдиний вхід визначається як здатність двох провайдерів IDP до перехресної ідентифікації, тобто користувач, який увійшов з використанням своїх облікових даних в один додаток, може без повторного використання логіну та пароля увійти до другого провайдера. Таку сумісність називають Федерацією. Єдиний вхід реалізований на побудові Федерації та забезпечує максимальну зручність для користувачів, які можуть використовувати програмне забезпечення без постійного введення логіну та паролю.

Синхронізація директорій за гібридного сценарію Office 365 не забезпечувала Єдиного входу: користувачу, який увійшов у локальне середовище, все одно необхідно було повторно вводити логін і пароль при вході до Office 365. Але синхронізація передбачала, що імена користувачів будуть однаковими. Тепер з'явиласяможливість також синхронізувати і паролі. Оскільки налаштувати синхронізацію директорій простіше, ніж налаштувати Єдиний вхід на основі федерації, така нова можливість синхронізації паролів стане відмінним сценарієм для багатьох клієнтів.

Три основні способи ідентифікації користувача в Office 365:

it-partner

Ідентифікація у хмарі

У цьому випадку передбачається ідентифікація користувачів виключно у хмарі. Створюються користувачі в хмарі і вони не пов'язані з локальними користувачами. Цей варіант підійде для невеликих чи нових організацій. Користувальницькими обліковими записами можна повністю керувати в хмарі, у тому числі й паролями.

Якщо вдаватися в технічні подробиці, то по суті при створенні користувача створюється новий запис AD Azure. Тут розміщено всі облікові записи для всіх служб Office 365. За допомогою облікового запису Адміністратора Office 365 можна виконувати налаштування облікових записів користувачів та необхідні дії з паролями.

Синхронізація директорій з використанням DirSynс

Такий варіант використовується, коли Ваша інфраструктура функціонує використовуючи AD і Ви хочете, щоб локальні користувачі могли користуватися Office 365. Інструмент DirSync використовується для синхронізації профілів користувачів. Синхронізація директорій дозволяє уникнути створення нових облікових записів у хмарі, які будуть за великим рахунком дублями локальних записів. Тепер, з появою синхронізації паролів, немає необхідності керувати паролями у двох місцях. До того, у хмарі та локальному середовищі паролі могли відрізнятися.

Сторінка, на якій Ви можете налаштувати синхронізацію паролів:

синхронізація

Для того щоб синхронізувати AD необхідно слідувати дуже нескладнимінструкції, доступні в обліковому записі Адміністратора Office 365:

1. Підготовка до синхронізації каталогів.

2. Доказ володіння доменами.

3. Активація синхронізації з AD.

4. Встановлення та налаштування інструмента синхронізації.

5. Перевірка синхронізації.

6. Активація синхронізованих користувачів.

Після невеликого підготовчого етапу Ви можете завантажити та встановити DirSync на Windows Server (не контролер домену), що входить до вашого домену. Для встановлення використовується звичайний майстер настройки. Після цього кожні три години інформація між локальними та хмарними директоріями синхронізуватиметься.

За деяким винятком усі дані синхронізуються одним шляхом — від локальних директорій до хмарних. Профіль користувача може бути створений і управляється в хмарі або локально - обидва варіанти одночасно не реалізуються: параметри облікових записів користувачів, створених у локальному середовищі, можуть змінюватися тільки там, у тому числі зміна пароля. Для того щоб синхронізований користувач змінити пароль, він повинен або прийти в офіс, або через VPN підключитися до корпоративної мережі.

Ви можете вибрати користувачів для синхронізації з Office 365, але Ви не можете вибрати окремі атрибути користувача, тому що Ви не можете вибрати їх. вони всі потрібні.

Нова можливість синхронізації паролів, застосовує додаткові параметри безпеки та синхронізує пароль з AD Azure. До цих змін паролі користувачів для хмарних та локальних облікових записів були різними.

Для того, щоб синхронізувати паролі, достатньо скористатися відповідним атрибутом конфігурації. Це робиться в Майстері налаштування синхронізації. У відповідному полі синхронізації паролів внесітьзміни — налаштування будуть застосовані до всіх користувачів. Після цього їм не треба буде створювати новий пароль у хмарі та повторно його вводити.

Федерація директорій з використанням ADFS

Федерація являє собою спільну роботу локальної AD та Azure AD (Office 365). У цьому випадку, кажучи доступною мовою, Office 365 не бачить пароль користувача - він виступає стороною, що «перевіряє». Усі дані управляє федеративна директорія. Федеративна директорія лише передає в Office 365 цифровий код, що підтверджує автентифікацію облікових даних користувача.

Дотримуючись інструкцій в обліковому записі Адміністратора Office 365, налаштувати федерацію досить легко.

Що вибрати зараз: федерація з ADFS або синхронізація паролів через DirSync?

Раніше, при виборі розгортання федерації з ADFS, можливість використання одного пароля в хмарі і локально ставала вирішальною. Проте процес вимагав чимало зусиль, а найчастіше і додаткових серверів, і мережевих рішень.

Функція синхронізації паролів під час використання DirSync не містить таких вимог до інфраструктури та, відповідно, знижує витрати. Достатньо одного сервера з підключенням, щоб з'єднатися з AD Azure, - жодних вимог до вхідних з'єднань, брандмауера або конфігурації.

Однак, все ще деякі клієнти можуть віддати перевагу AD AD. На те є низка причин: