Office 365 Single Sign-On: Hohe Verfügbarkeit ohne hohe

WHITE PAPER
Office 365 Single Sign-On:
Hohe Verfügbarkeit ohne
hohe Komplexität
WWW.CENTRIFY.COM
Office 365 Single Sign-On: Hohe Verfügbarkeit ohne hohe Komplexität
Inhalt
Kurzzusammenfassung
3
Einführung
4
Centrify Identity Service für Office 365 6
Bei den Informationen in diesem Dokument, einschließlich der URL-Angaben und anderer Internetseitenhinweisen, sind
Änderungen vorbehalten. Sofern nicht anders bestimmt, sind die Beispielunternehmen, Organisationen, Produkte, Domainnamen, E-Mail-Adressen, Logos, Menschen, Orte und Ereignisse, die in diesem Dokument dargestellt werden, fiktiver Natur
und jegliche Verbindungen mit oder Schlussfolgerung auf echte Unternehmen, Organisationen, Produkte, Domainnamen,
E-Mail-Adressen, Logos, Menschen, Orte und Ereignisse unbeabsichtigt. Die Einhaltungspflicht aller zutreffenden Urheberrechte
obliegt dem Nutzer.
Ohne Einschränkungen des Urheberrechts ist die Reproduktion, Speicherung oder Einführung jeglicher Teile dieses Dokuments
in Datenabfragesysteme, sowie die Verbreitung in jeglicher Form (elektronisch, mechanisch, Fotokopie, Aufnahme, oder andere
Methode) oder für jeglichen Zweck ohne die ausdrückliche schriftliche Genehmigung der Centrify Corporation untersagt. Unter
Umständen befinden sich in diesem Dokument Patente, Patentanmeldungen, Schutzmarken, oder anderes geistiges Eigentumsrecht in Besitz von Centrify. Sofern nicht durch ein ausdrückliches, schriftliches Lizenzabkommen von Seiten Centrifys
genehmigt, erhalten Sie durch die Bereitstellung dieses Dokuments keinerlei Lizenz in Bezug auf diese Patente, Schutzmarken,
Urheberrechte, oder anderen geistigen Eigentums.
Bei Centrify, DirectControl und DirectAudit handelt es sich um registrierte Schutzmarken und Centrify Suite, DirectAuthorize, DirectSecure und Direct- Manage sind Schutzmarken der Centrify Corporation in den Vereinigten Staaten von Amerika und/oder
anderen Ländern. Microsoft, Active Directory, Windows, Windows NT und Windows Server sind entweder registrierte Schutzmarken oder Schutzmarken der Microsoft Corporation in den Vereinigten Staaten von Amerika und/oder anderen Ländern.
Bei den Namen der in diesem Dokument aufgeführten Unternehmen und Produkte handelt es sich unter Umständen um
Schutzmarken der entsprechenden Eigentümer.
2
©2015 CENTRIFY CORPORATION AND MONTEREY TECHNOLOGY GROUP, INC. ALLE RECHTE VORBEHALTEN
WHITE PAPER
Kurzzusammenfassung
Der Wechsel zu Office 365 bedeutet für die meisten Organisationen einen Sprung nach vorne,
wenn es ums Kundenerlebnis, die Produktivität, IT-Vereinfachung und Einsparungen geht.
Unternehmen, die dabei jedoch kein verlässliches Single Sign-On (SSO) implementieren, setzen
diesen Fortschritt in einigen Kernbereichen aufs Spiel. Das Risiko steigt und die Produktivität
geht zurück.
Dieses White Paper erklärt, weshalb eine besonders verlässliche SSO zwischen Ihrem Netzwerk
vor Ort und Office 365 von zentraler Bedeutung ist, weshalb die Umsetzung mit den von Office
365 bereitgestellten Werkzeugen kompliziert ist und auf welche Art Centrify von Ihrem bereits
vorhandenem, Mehrfachstandort-Active Directory (AD) Gebrauch macht, um die Einführung
von SSO auf verlässliche und gleichzeitig einfache Art zu gestalten.
3
©2015 CENTRIFY CORPORATION AND MONTEREY TECHNOLOGY GROUP, INC. ALLE RECHTE VORBEHALTEN
Office 365 Single Sign-On: Hohe Verfügbarkeit ohne hohe Komplexität
Wenn es um Office 365 geht, benötigt jede Organisation
zuverlässiges SSO
Häufig wird zwischen „Unternehmenstechnologien“, welche sich lediglich für große
Unternehmen eignen, und Technologien, welche sich auch für kleine und mittelständische
Betriebe (SMBs) als praktisch und wertvoll erweisen, unterschieden. Dieser Unterschied wird
von SMBs oftmals anders wahrgenommen als von den Technologieanbietern. Ein sehr gutes
Beispiel dafür sind der Aufwand, die Komplexität und die Kosten, die mit der Bereitstellung
eines hochgradig verfügbaren Single Sign-On (SSO) zwischen Ihren Netzwerken vor Ort und
Office 365 einhergehen.
“Wenn Organisationen eine nur
einfache AD FS-Umsetzung verfolgen,
entsteht eine riskante Schwachstelle,
durch welche der Nutzerzugang
zu Office 365 verhindert werden
kann, selbst dann, wenn Office 365
eigentlich voll funktionsfähig ist.”
Bei der allgemeinen Einführung von Office 365 müssen getrennte Nutzer- und
Gruppenadministratorenkonten installiert werden. Diese Notwendigkeit stellt für Endnutzer,
IT-Mitarbeiter und die gesamte Organisation einen eindeutigen Schritt in die falsche Richtung
dar. Endnutzer müssen sich nun anstelle von einem zwei Passwörter merken oder versuchen,
diese zu synchronisieren. Außerdem müssen Endnutzer Ihre Anmeldedaten zweimal angeben:
einmal, um Zugriff auf ihren Arbeitsplatz sowie die Server vor Ort zu erhalten und ein zweites
Mal, um auf Office 365 zuzugreifen. Beim Schließen des Browsers müssen sich die Nutzer beim
nächsten Zugriff auf die Cloud dann erneut identifizieren.
Die IT-Abteilung muss nun außerdem bei jeder Neueinstellung ein Nutzerkonto im Active
Directory (AD) und ein zusätzliches Konto für Office 365 anlegen. Da die Informationen jeder
Abteilung auf diese Art zwischen der Cloud und lokalen Anwendungen verteilt sind, muss die
IT-Abteilung Gruppenmitgliedschaften innerhalb dieser zwei Umgebungen zweifach erstellen.
Die Verwaltung dieser ungenutzten Nutzer- und Gruppenkonten erhöht den Arbeitsaufwand
und mindert die positive Nutzererfahrung. Durch veraltete Zugangsdaten erhöht sich das
Sicherheitsrisiko und Anmeldedaten werden nach Ablauf nicht ordnungsgemäß gelöscht. Diese
Probleme stellten Organisationen vor der Einführung von AD vor über einem Jahrzehnt vor
große Herausforderungen. Die Allgegenwärtigkeit von AD ermöglicht es Unternehmen nun
jedoch, netzwerkinterne Identitätsinformationen zentral zu verwalten.
Für jede Organisation mit IT-Abteilung vor Ort, unabhängig von der Größe des Unternehmens,
wird Single Sign-On für Office 365 daher zur Voraussetzung; sofern der Organisation daran
gelegen ist, Probleme bei der Synchronisation von Nutzerkonten beim Wechsel zur Cloud zu
vermeiden. Microsoft bietet SSO zwischen lokalen Netzwerken und Office 365 durch seine
Active Directory Federation Services (AD FS) — einer bereits installierten Komponente auf
Windows Servern — und dem DirSync-Dienstprogramm, welches für die Synchronisierung
zwischen AD und Office 365 sorgt.
Hohe Verfügbarkeit von AD FS ist außer Reichweite
Einer der Vorteile von Office 365 besteht aus der hohen Verfügbarkeit, die automatisch mit
der Cloud einhergeht. Viele Organisationen würden den Wechsel zur Cloud und zu Office 365
ohne die Verbesserung ihrer derzeitig vorhandenen Verfügbarkeit nie erwägen. Für andere
Organisationen stellt die Verfügbarkeit von Office 365 den Hauptwert beim Wechsel dar.
4
©2015 CENTRIFY CORPORATION AND MONTEREY TECHNOLOGY GROUP, INC. ALLE RECHTE VORBEHALTEN
WHITE PAPER
Aus diesem Grund benötigen Organisationen SSO und eine hohe Verfügbarkeit. Die Umsetzung
eines hochgradig verfügbaren SSO für Office 365 durch die Active Directory Federation Services
(AD FS) stellt für die meisten Organisationen jedoch schlichtweg keine Option dar. Hochgradig
AD FS sind von den Network Load Balancing (NLB) Clustern abhängig, bei welchen sich ClusterMitglieder im selben Subnetz befinden müssen.1 Durch diese Grundvoraussetzung für die hohe
Verfügbarkeit von AD FS entstehen mehrere Probleme, durch welche die Umsetzung für alle
Organisationen, abgesehen von extrem großen Unternehmen, unpraktisch wird. Und selbst
dann bleibt die hohe Verfügbarkeit von AD FS fraglich.
Organisationen, welche lediglich eine einfache Umsetzung von AD FS verfolgen, kreieren daher
eine riskante Schwachstelle, durch welche der Nutzerzugang zu Office 365 verhindert werden
kann — selbst dann, wenn Office 365 eigentlich voll funktionstüchtig ist.
In diesem Paper gehen wir von zwei Annahmen aus, die auf die meisten Organisationen
zutreffen:
Rechenzentrum des
Unternehmens
• Die Organisation besitzt mindestens zwei reale Standorte (z.B. Büroräume, Filialen,
Rechenzentren), welche durch VPN oder WAN miteinander verbunden sind
• Wenn einer der Standorte aus irgendeinem Grund ausfallen sollte, schreibt das
Management die andauernde Verfügbarkeit von Office 365 für folgende Gruppen vor:
Domänencontroller
- Nutzer an anderen Standorten, die noch immer funktionsfähig sind
-Telearbeiter
- Nutzer am ersten Standort, die sich an einen alternativen Ort begeben können
ADFS Servers
Ehe Sie sich mit den Voraussetzungen Ihres NLB-Clusters vertraut machen, gehen Sie unter
Umständen davon aus, dass hohe Verfügbarkeit lediglich durch die Nutzung der verschiedenen
NLB Router
Standorte, welche die meisten Organisationen besitzen, zu erreichen ist. Idealerweise
stellen Sie an einem oder mehreren Standorten
einen AD FS-Server auf, auf welchem bereits
Domänencontroller vorhanden sind oder
ADFS Proxy Servers
hinzugefügt werden können.
NLB Router
Internet
Keine Möglichkeit,
um nicht benötigte
Ressourcen an anderen
Standorten zu nutzen
1
5
http://technet.microsoft.com/en-us/library/hh831698.aspx
©2015 CENTRIFY CORPORATION AND MONTEREY TECHNOLOGY GROUP, INC. ALLE RECHTE VORBEHALTEN
Office 365 Single Sign-On: Hohe Verfügbarkeit ohne hohe Komplexität
Hohe Verfügbarkeit stellt
bei AD FS nicht das einzige
Problem dar
AD FS benötigt typischerweise Folgendes:
• Vier Server: Zwei Cluster-Server in
der DMZ, zwei Cluster-Server hinter
der Firewall
• Verschiedene offene Ports in der
Firewall
• Zertifikate für Dritte
• Setup-Dauer: ein oder zwei Wochen
für Office 365; Tage bis Wochen für
zusätzliche Anwendungen
• AD FS ist als Teil einer Windows
Server-Lizenz kostenlos; zusätzliche
Hardware und Dienstleistungen
können jedoch $25.000 und mehr
kosten
Sollte AD FS am ersten Standort aus irgendeinem Grund nicht verfügbar sein, nutzt Office
365 im Idealfall den Failover zu einem AD FS-Server am Alternativstandort. So ist jeder
Nutzer mit Internetzugang in der Lage, Office 365 unabhängig von der Situation an den
einzelnen Standorten anzuwählen. Sofern diese Leistungsfähigkeit unterstützt wird, steht
hohe Verfügbarkeit für Office 365 mit SSO jeder Organisation zur Verfügung, die mindestens
zwei Standorte mit DSL-Internet besitzt — auch kleinen Organisationen mit nur einer
Handvoll an Nutzern. In diesem Fall wird keine spezielle Hardware, keine WAN-Services oder
Antriebsaggregate benötigt.
In der Realität können Organisationen ihre vorhandenen realen Standorte jedoch nicht auf
diese Art nutzen, da die AD FS-Cluster ein Network Load Balancing benötigen, wodurch sich
alle Mitglieder im selben IP-Subnetz befinden müssen oder das VLAN auf beide Standorte
ausgeweitet werden muss — nicht gerade eine bewährte Netzwerkpraxis.
Aus diesem Grund können Sie Ihre bereits bestehenden Standorte nicht zur hohen
Verfügbarkeit von AD FS nutzen. Durch die Platzierung der AD FS-Server an verschiedenen
Standorten nutzen diese verschiedene IP-Subnetze, welche NLB brechen und ein Clustering
und somit die hohe Verfügbarkeit von SSO für Office 365 verhindern.
Und nur für den Fall, dass Sie sich nun gefragt haben, ob keine anderen manuellen CutoverMaßnahmen, wie das Retargieren von Office 365 zu einem vollkommen anderen AD FS, oder
das einfache Ausschalten von SSO in Frage kommen – diese Schritte werden entweder nicht
unterstützt oder erweisen sich als nicht praktikabel.
Die Crux des Problems besteht aus zwei Teilen:
1. NLB schützt nicht vor Problemen, die den gesamten Standort betreffen.
NLB schützt nicht vor Problemen wie Stromausfällen, dem Aussetzen der Internetverbindung,
sowie Katastrophen wie Feuer und Überschwemmung. Nur die größten Organisationen
besitzen professionelle Rechenzentren in gut ausgebauten Gebäuden, in Regionen mit geringer
Katastrophengefahr, doppelter Stromversorgung, sowie doppelter Internetverbindung,
welche von verschiedenen Gebäudeseiten eingespeist wird, Feuerlöschanlagen und alle
anderen verfügbaren Technologien, die benötigt werden, um ein Rechenzentrum unter allen
Widrigkeiten funktional aufrecht zu erhalten.
2. Mit NLB können AD FS-Server nicht an verschiedenen Standorten aufgestellt
werden.
Hierbei handelt es sich um ein verzwicktes Problem, da Sie, sofern Ihre zwei Standorte mit
einem Domänencontroller durch VPN miteinander verbunden sind, die Voraussetzungen
für hohe Verfügbarkeit erfüllen. Je größer die physische Entfernung der zwei Standorte,
desto unabhängiger voneinander ist deren Ausfallwahrscheinlichkeit auf Grund von Stromund Internetproblemen, sowie anderen Katastrophen. Selbst zwei Bürogebäude, die sich
in der selben Region befinden, können für gewöhnlich auf verschiedene Internetanbieter
zurückgreifen und preiswerte, batteriebetriebene Backup-Systeme erwerben.
Die gute Nachricht ist, dass Sie hohe Verfügbarkeit bei SSO für Office 365 ganz ohne AD FS
erreichen können.
6
©2015 CENTRIFY CORPORATION AND MONTEREY TECHNOLOGY GROUP, INC. ALLE RECHTE VORBEHALTEN
WHITE PAPER
Centrify Identity Service für
Office 365
Keine Notwendigkeit mehr für AD FS und DirSync
Durch Centrify Identity Service für Office 365 besteht keine Notwendigkeit mehr für AD
FS und DirSync. Centrify nutzt Ihre bestehenden Standorte mit Leichtigkeit, um so die
hohe Verfügbarkeit von SSO für Office 365 bereitzustellen, wodurch Nutzer problemlos
weiterarbeiten können; unabhängig davon, was an anderen Standorten vor sich geht.
Um zuverlässiges SSO für Office 365 zu erhalten, folgen Sie einfach diesen Schritten:
1. Register for the Centrify Identity Service.
2. Perform the 5-minute Centrify Cloud Connector installation at each site using
(optionally) existing Windows.
Centrify konfiguriert Office 365 anschließend automatisch, sodass der Centrify Cloud Service
zur Autorisierung Ihrer Nutzer angewandt wird.
Beim Centrify Identitiy Service für Office 365 handelt es sich um eine durch Microsoft bestätigte,
auf Azure basierende Dienstleistung, welche die branchenweit am einfachsten anzuwendende
und umfassendste Lösung zum Single Sign-On bietet und dabei die bereits vorhandenen
Verzeichnisdienste (Active Directory, Centrify Cloud Directory, oder beide) nutzt. Auch
Nutzerbereitstellung und mobiles Management sind im Service enthalten. Endnutzer werden
begeistert sein vom SSO, sowie den Möglichkeiten zur Selbstbedienung. Die IT-Abteilung wird
sich über die zentralisierte Zugangskontrolle und Sichtbarkeit freuen. Centrify unterstützt dabei
sicheres Single Sign-On für sowohl Anwendungen vor Ort, als auch Cloud-Apps.
Domänencontroller
Cloud
Verbinder
Internet
Domänencontroller
Cloud
Verbinder
7
©2015 CENTRIFY CORPORATION AND MONTEREY TECHNOLOGY GROUP, INC. ALLE RECHTE VORBEHALTEN
Office 365 Single Sign-On: Hohe Verfügbarkeit ohne hohe Komplexität
Herausforderungen
Mit AD FS
Mit Centrify
Zusätzliche Hardware
Zwei Cluster-Server in der
Keine
entmilitarisierten Zone
(DMZ); zwei ClusterServer hinter der Firewall
Rekonfiguration der Firewall
Öffnung verschiedener
Keine
Ports in der Firewall nötig
Zertifizierung durch Dritte
Benötigt
Keine
Support für zusätzliche lokale
Individuelle Konfiguration
Ein umfassender Katalog
Apps oder die Cloud
und Fehlersuche nötig
bereits integrierter Apps
Einführungsdauer
1 bis 2 Wochen für Office
Weniger als eine Stunde
365; Tage bis Wochen für
für Office 365 oder
zusätzliche Anwendungen
Gesamtkosten
jede andere
Anwendung
Bis zu $25.000 und mehr für
Kostenlos für bis zu 3
zusätzliche Hardware
Anwendungen
und Dienstleistungen
Single Sign-On für Office 365
Centrify bietet für Office 365 SSO einen kompletten, durch Microsoft bestätigten Ersatz für AD
FS und DirSync. Für AD FS und DirSync sind Expertenwissen und große Investitionen in ClusterServer mit hoher Verfügbarkeit, sowohl innerhalb der Firewall, als auch in der DMZ, nötig.
Centrify Identity Service für Office 365 bietet eine direkte und nahtlose Integration mit dem AD
innerhalb von Minuten und ohne zusätzlichen Zeit- oder Kostenaufwand zur Installation oder
Konfigurierung neuer Infrastrukturen.
Centrify enthält automatisch zusätzliche Vorteile wie sicheres Browser-SSO über ein
Nutzerportal, Selbstbedienung für Nutzer, sowie mobilen One-Click-Zugang zur Cloud und
lokalen Anwendungen. Die Single Sign-On Lösung für Office 365 von Centrify hat den strengen
Microsoft-Validierungsprozess „Funktioniert mit Office 365“ erfolgreich durchlaufen.
Probieren Sie den Centrify Identity Service für Office 365 noch heute aus:
https://www.centrify.com/free-trial/identity-service-form/
8
©2015 CENTRIFY CORPORATION AND MONTEREY TECHNOLOGY GROUP, INC. ALLE RECHTE VORBEHALTEN
WHITE PAPER
Über Centrify
Centrify bietet konsolidiertes Identitätsmanagement im Rahmen von Rechenzentren, Clouds
und mobilen Umgebungen, wodurch nutzerfreundliche Single Sign-Ons (SSO), sowie eine
vereinfachte Identitätsinfrastruktur für IT-Abteilungen ermöglicht werden. Die konsolidierte
Identitätsmanagement-Software und Cloud-basierten Identity-as-a-Service (IDaaS)-Lösungen
von Centrify nutzen die bereits in einer Organisation vorhandene Identitätsinfrastruktur,
um so Single Sign-Ons, mehrstufige Autorisierungen, privilegiertes Identitätsmanagement,
Konformität und unternehmerisches Mobilitätsmanagement zu implementieren.
Über Randy Franklin Smith
Bei Randy Franklin Smith handelt es sich um einen international angesehenen
Sicherheitsexperten auf dem Gebiet der Sicherheit und Kontrolle von Windows und dem
Active Driectory. Randy ist für die Veröffentlichungen auf www.UltimateWindowsSecurity. com
verantwortlich und verfasste „The Windows Server 2008 Security Log Revealed“ — das einzige
Buch, das sich dem Security Log von Windows widmet. Randy ist außerdem Entwickler der
LOGbinder-Software, welche kryptische Anwendungslogs in verständliche und greifbare LogManagement und SIEM-Lösungen übersetzt. Als „Certified Information Systems Auditor“ führt
Randy Sicherheitsprüfungen für eine Vielzahl an Kunden durch – von kleinen, privaten Firmen,
über Fortune 500 Unternehmen, bis hin zu nationalen und internationalen Organisationen.
Randy ist darüber hinaus ein „Microsoft Security Most Valuable Professional“.
Disclaimer - UltimateWindowsSecurity.com wird von Monterey Technology Group, Inc. betrieben.
Monterey Technology Group, Inc. und Centrify Corporation behaupten zu keinem Zeitpunkt, dass
der Einsatz dieses White Papers ein erfolgreiches Ergebnis garantiert. Leser nutzen alle in diesem
Dokument verfügbaren Informationen auf eigene Gefahr.
Centrify bietet konsolidiertes Identitätsmanagement im Rahmen von Rechenzen-
S A N T A C L A R A , C A L I F OR N I A tren, Clouds und mobilen Umgebungen, wodurch nutzerfreundliche Single
EMEA Sign-Ons (SSO), sowie eine vereinfachte Identitätsinfrastruktur für IT-Abteilungen
ASIA PACIFIC
+61 1300 795 789
ermöglicht werden. Die konsolidierte Identitätsmanagement-Software und
BRAZIL
+55 11-3958 4876
Cloud-basierten Identity-as-a-Service (IDaaS)-Lösungen von Centrify nutzen die
L A T I N A MER I C A bereits in einer Organisation vorhandene Identitätsinfrastruktur, um so Single
EMA I L Sign-Ons, mehrstufige Autorisierungen, privilegiertes Identitätsmanagement,
Konformität und unternehmerisches Mobilitätsmanagement zu implementieren.
ASSET
ID CTO
COME
©
2015
E NT
R I F Y C O R PO R A T I O N . AL L R I G H T S R ES ER V ED . +1 (669) 444-5200
+44 (0) 1344 317950
+1 305 900 5354
[email protected]
WEB www.centrify.com
WWW.C EN T RIFY.C OM
+1 (669) 444- 5200

Download Report