office 365 - adfs - shibboleth · 2019-09-26 · • shibboleth prinzipiell unterstützt, aber...
TRANSCRIPT
S. 1Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Office 365 - ADFS - Shibboleth
71. DFN-Betriebstagung 24./25.09.2019
S. 2Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Office 365
Exchange
Sharepoint
Teams
Office 365
Webapps
OneDrive
…
AAD
S. 3Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Sync AAD (Azure Active Directory)
• Idealer Weise föderiert per Shibboleth
• Praxis (soweit mir bekannt):
• stets Sync mit lokalem IAM und AAD
• teilweise eigenes Passwort in Cloud keine Nutzung der
AAI
• Shibboleth prinzipiell unterstützt, aber nicht alle
Funktionen von Office 365 vollständig nutzbar, für reine
Exchange-Nutzung wohl ausreichend
• Vollständige Funktionen nur mit ADFS (Active Directory
Federation Services) gewährleistet
S. 4Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
ADFS (Active Directory Federation Services)
• Funktionsweise ähnlich Shibboleth - spricht „Microsoft-
SAML“
• Bestandteil von Windows-Server – Achtung:
Versionsupdate = Serverupdate
• Authentifizierungs- und Attributverzeichnis Active
Directory (Standard)
• Attributquellen: AD, LDAP, Datenbanken oder
• SAML-Anbieter als Anspruchsanbieter
(Authentifizierung und Attribute)
ADSF als Proxy einsetzbar
S. 5Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
ADFS und Office 365
Exchange
OWA
portal.microsoft
online.com
Office 365
AADADSync
z.B. AAD-Connect
OAuthADFS ADFS
Sharepoint
Webapps
Sharepoint
OneDrive,
Office lokal
S. 6Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
ADFS und Shibboleth
ADFS
AD
Metadaten (nicht DFN)
Attribut: sAMAcountname
sAMAcountname Attribute
Rolle: SP + IdP
Rolle: IdP
Bild: https://shibboleth.net
S. 7Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
ADFS und Shibboleth
• attribute-resolver.xml<AttributeDefinition xsi:type="Simple" id="sAMAccountName">
<InputDataConnector ref="myLDAP" attributeNames="uid" />
<AttributeEncoder xsi:type="SAML2String"
name="urn:oid:1.2.840.113556.1.4.221" friendlyName="sAMAccountName"
encodeType="false" />
</AttributeDefinition>
S. 8Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
ADFS und Shibboleth
S. 9Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Office365 - ADFS - Shibboleth
portal.microsoft
online.com
Office 365
AADAD
OAuthADFS ADFS
S. 10Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Demo
Bild: https://flyclipart.com
S. 11Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Wirklich so einfach?
• Natürlich nicht!
• Aber: Alles ist lösbar!
S. 12Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Probleme und Lösungen ADFS
• sAMAccountname allein reicht nicht zum Auslesen AD
Claimrule für Office 365 Identy Plattform anpassen:c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] =>
issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/claims/UPN",
"http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query =
"samAccountName={0};userPrincipalName,objectGUID;{1}", param = regexreplace(c.Value,
"(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
NACH
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname" =>
issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/claims/UPN",
"http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query =
"samAccountName={0};userPrincipalName,objectGUID;<<NetBios-Domain>>\{0}", param =
regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
Beispiel: userPrincipalName,objectGUID;uni-bamberg\{0}"
S. 13Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Probleme und Lösungen ADFS
• Datenschutz ggf. problematisch
sorgfältige! Konfiguration AAD Connect synchronization
services (per default sync all to cloud!) oder
Eigenständiges AD aus IAM provisionieren
• portal.microsoftonline.com und Shibboleth: zweimalige
Eingabe des Nutzernamens erforderlich (erst WAYF, dann
login)
Einrichtung eines Webservers, DNS-Eintrag o365.uni-
bamberg.de, der Redirect auf das lokale ADFS mit WAYFless-
Url erledigt (Prinzip ähnlich profile/SAML2/Unsolicited)
S. 14Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Probleme und Lösungen ADFS
• Standard-IdP ist das AD und nicht Shibboleth
Authentifizierungsquelle muss ausgewählt werden
über custom theme kann der Shibboleth-IdP per JS
ausgewählt werden Umleitung zum Shibboleth-IdP
S. 15Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
ADFS2ADFS2ADFS2ADFS2
• Komplexe Technik (nicht nur bei HA)
Probleme und Lösungen ADFS
interne
Firewall
externe
Firewall
NLB* VIP NLB* VIPAD
ADFS-
Worker1WAP1*
ADFS-
Worker2 WAP2*
ggf.
MSSQL
*MS: 2 per Datacenter,
Proxy und NLB durch
F5 ersetzbar
o365
S. 16Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Probleme und Lösungen ADFS
• „Intelligenz“ des MS-Netzwerklastenausgleichsmanagers (NLB)
ADFS ab Version 3 (Server 2012R2) Überwachungs-URL
per Skript Funktionsüberwachung und ggf. defekte Node aus
dem Verbund entfernen
oder
Web Application Proxy (WAP) vollständig und NLB bei Workern
durch F5 ersetzen
S. 17Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Nützliche Links – Shibboleth und ADFS
• http://download.microsoft.com/documents/France/Intero
p/2010/Federated_Collaboration_With_Shibboleth_2_0
_and_SharePoint_2010_technologies-1_0.docx
• https://wiki.shibboleth.net/confluence/display/SHIB2/Mic
rosoftInterop?preview=%2F4358293%2F4751396%2F
ADFS_and_Shib.pdf&searchId=VV3GU92OB
S. 18Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Nützliche Links - ADFS
• Einstieg: https://docs.microsoft.com/de-de/windows-
server/identity/active-directory-federation-services
• Sizing: https://docs.microsoft.com/de-de/windows-
server/identity/ad-fs/design/planning-for-federation-
server-capacity
• Drittanbieter-Proxy-Lösungen (ms-adfspip):
https://docs.microsoft.com/de-de/windows-
server/identity/ad-fs/overview/ad-fs-faq
S. 19Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Nützliche Links – ADFS und O365
• Einstieg: https://docs.microsoft.com/en-us/azure/active-
directory/hybrid/whatis-hybrid-identity
• Verbund: https://docs.microsoft.com/en-us/azure/active-
directory/hybrid/how-to-connect-fed-whatis
S. 20Office 365 – ADFS – Shibboleth | Frank Schreiterer – RZ Universität Bamberg | Tel. +49 951 863-1356 | [email protected]
Fragen
• Umsetzung an der RTWH Aachen: Gerhard Lemoine