Office 365 Übersicht der Anmeldeoptionen
Die Nutzung von Diensten in der Cloud erfordert natürlich eine Authentifizierung. Diese Seite beleuchtet diese Frage mit den technischen Hintergründen.
Anmeldeverfahren
Jeder Anwender, der Daten in der Cloud verwenden will, muss als Office 365 Identität in der Cloud natürlich angelegt und berechtigt worden sind. Das allein reicht aber nicht. Der Anwender muss natürlich auch beweisen, dass er die angegebene Identität ist. er muss sich also authentifizieren. Bei der Installation von ADSync fragt der Assistent schon einige Optionen an:
Die häufigsten Optionen sind:
- Office 365 Identität mit
"Cloud Kennwort
Dieser Weg ist für kleine Firmen oder Teststellungen interessant, wenn DirSync und ADFS nicht installiert werden. Die Authentifizierung erfolgt anhand von Anmeldedaten, die in der Cloud bereit gestellt werden. Sie melden sich also z.B. als User@kunde.onmicrosoft.com an. - Synchronisierte Identität
mit Kennwort (Office
365 Password Sync)
Seit Sommer 2013 gibt es eine weitere Option, bei der der ADFS-Server entfällt und stattdessen der Verzeichnisabgleich die Hashwerte der lokalen Kennworte zu Office 365 überträgt. Damit kann sich der Anwender an Office 365 Dienste - Anmeldung per
ADFS
Größere Firmen möchten aber nicht die Benutzer doppelt pflegen und auch die Anmeldedaten sollten die gleichen wie On-Prem sein. Sie können daher ihre UPN-Domain über ADFS "federieren". Die Identitäten haben dann einen entsprechenden Anmeldenamen und ein ADFS-Service übernimmt die Authentifizierung. ADFS Dienste können Sie selbst On-Premises hosten oder in der Cloud als AzureVM aufbauen oder direkt von Microsoft (Azure AD Premium) beziehen. Dann kommt aber wieder das Cloud Kennwort zum Tragen. -
Pass-Through Authentifizierung
Wenn ein ADFS zu aufwändig ist und der Kennwort-Sync das Single SignOn verhindert, ist PTA vielleicht ein Mittelweg
Stellt man die verschiedenen Verfahren gegenüber dann ergibt sich folgendes Bild:
Thema | Cloud Login | Password Hash Sync (PHS) | Pass Through Authentifizierung (PTA) | ADFS | AD Premium |
---|---|---|---|---|---|
Lokale Server/Dienste |
Kein |
|
|
|
|
Verfügbarkeit |
Hoch |
Hoch |
Hoch einfach möglich |
Hoch teuer möglich |
Hoch |
Kosten |
Niedrig |
Niedrig |
Niedrig |
Mittel bis Hoch |
Mittel * |
Single SignOn |
Nein |
Same SignOn |
Ja (Intern) |
Ja (Intern) |
Same SignOn |
MFA |
Ja |
Ja |
Ja |
Ja (über ADFS On-Premises ) |
Ja |
Meine Zielgruppe |
1-10 User |
1-x User mit lokalem AD |
1-x User mit lokalem AD und SSO Anspruch intern |
1-x User mit lokalem AD und SSO Anspruch intern und ADFS Nutzung mit anderen Apps |
Wie ADFS nur eben PaaS |
Multi Forest |
Ja |
Ja |
Ja, mit Trust zwischen Forests |
Ja, mit Trust zwischen
Forests |
Ja |
Es ist gar nicht so einfach zu unterscheiden.
BRK3015 Deep-dive: Azure Active
Directory Authentication and Single-Sign-On
https://www.youtube.com/watch?v=6RHbDriZRVc
Sehr guter Vortrag von John Craddock
Durch die Synchronisation der Hashwerte im DirSync seit Mitte 2013 können mittlere und kleine Firmen nun auch ohne ADFS auskommen. Das erspart nicht nur einen Server, sondern auch einen IP-Adresse, eine Webveröffentlichung, ein öffentliches Zertifikat und die Anmeldung an der Cloud funktioniert unabhängig von der eigenen Infrastruktur. Insbesondere die Abhängigkeit von der Verfügbarkeit des ADFS ist für viele Kunden kritisch.
Zur Sicherheit der Kennwort:
Natürlich kann jemand zu einem Hashwert per
"offline brute Force" Attacke ein passendes
Kennwort oder sogar sehr viele passende Kennwort
finden. Wenn Sie weiter lesen, dann werden Sie
aber sehen dass Office 365 Anwender beim Einsatz
von Outlook heute ihr Kennwort im SSL-Tunnel nur
BASE64-Codiert an die Exchange CAS-Server
senden. Da müsste eine privilegierte Person gar
nicht lange entschlüsseln und an die
Postfachinhalte ist technisch auch ein Zugriff
möglich.
Auf der anderen Seite nutzen sie täglich Browser, die allesamt in den USA entwickelt werden, (Google (Chrome), Apple (Safari) oder MS (IE). zudem erweitern "Add-ons" und"Toolbars" verschiedene Browser, die im gleichen Prozessraum mitlaufen. Die Software hat zwangsläufig Zugriff auf Kennworte, die sie in Formularen eingeben und niemand kann 100% sicher sein, dass diese Informationen auch sicher sind.
- Choose the right
authentication method for your
Azure Active Directory hybrid
identity solution
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/choose-ad-authn#comparing-methods
Anforderung an Infrastruktur
Je nachdem welche der drei Optionen sie umsetzen wollen, müssen Sie bestimmte Server und Dienste bereit stellen.
Hinweis:
Die Einstellung ist "pro Office 365 Domain" zu
fällen. Es ist also durchaus möglich, mehrere
Domänen zu betreiben und eine Domäne mit ADFS zu
nutzen, eine andere aber als Office365 User oder
DirSync.
Verfahren | DirSync | ADFS | Kennwortspeicher |
---|---|---|---|
Office 365 Benutzer mit Kennwort |
Entfällt |
Entfällt |
Hash bei Office 365 |
Single Sign on mit ADFS |
Erforderlich |
Erforderlich |
Hash On-Prem |
DirSync mit Password Hash |
Erforderlich |
Entfällt |
Hash On-Prem und Office 365 |
Pass Through Auth |
Ratsam |
Entfällt |
Hash On-Prem |
Kritisch ist eigentlich nur die ADFS-Lösung, da hier bei einem Ausfall des ADFS-Servers niemand mehr ein Ticket bekommt und damit die Office 365-Dienste nicht weiter nutzbar sind. Das mag auch der Grund sein, warum seit Sommer 2013 die dritte Option dazu gekommen ist, die Benutzer weiter On-Premises zu betreiben und mit dem DirSync in der Cloud zu verwalten und mit dem gleichen Kennwort in der Cloud anmelden zu lassen.
Authentication nach Diensten
Interessant ist nun, welche der drei Verfahren für die verschiedenen Office 365 Anwendungen wie angewendet wird: Denn nicht alle Verfahren nutzen z.B. ADFS so, wie sie es erwartet hätten.
HTTPS/SSL
Alle Kommunikationen sind in der Regel per HTTPS
gesichert, d.h. selbst wenn Kennworte per "BasicAuth"
oder Formulare unverschlüsselt gesendet werden,
sind diese durch den darunter liegenden
SSL-Tunnel geschützt.
Da viele Felder der folgenden Tabelle den gleichen Inhalt haben, habe ich Varianten vorab beschrieben:
- Anmeldung mit Benutzername und Kennwort im Formular oder per BasicAuth im Protokoll
- Anmeldung gegen den lokalen ADFS-Server und Durchreichen des Ticket an die Cloud
-
Basic
gegen den CAS, der dann gegen
den ADFS-Server geht
Der Client kann noch nicht selbst an den ADFS-Server gehen. Daher ist es auch erforderlich, dass der ADFS-Server ein öffentliches Zertifikat hat, damit der Office 365-Server die SSL-Verbindung aufbauen kann. -
Integrierte Anmeldung mit
Kerberos
Der Client bekommt von der Cloud auch "Negotiate" angeboten und wenn er lokal ein passendes Computerkonto mit dem SPN findet und die URL zum "Intranet" gehört, dann meldet sich der Client ohne weitere Kennworteingabe an.
Die Varianten werden die folgt genutzt:
Dienst/Client | Office 365 User |
ADFS | DirSync Hash |
Pass Through |
---|---|---|---|---|
Outlook WebApp/Browser |
|
|
|
|
ActiveSync/Mobile |
|
Kennwort geht zur Cloud |
|
EAs kann kein Kerberos |
Outlook/PC |
|
Kennwort geht zur Cloud |
|
|
SharePoint/Browser |
|
|
|
|
Office 365 Web Management |
|
|
|
|
Lync Windows Client |
|
+ Zertifikat für darauffolgende Prozesse |
+ Zertifikat für darauffolgende Prozesse |
+ Zertifikat für darauffolgende Prozesse |
Lync Mobile Client (Ab Version 5.2 |
+ Zertifikat für darauffolgende Prozesse |
+ Zertifikat für darauffolgende Prozesse |
+ Zertifikat für darauffolgende Prozesse |
+ Zertifikat für darauffolgende Prozesse |
Besonders die Variante 3 ist viele Administratoren und Sicherheitsbeauftragten nicht bekannt. Sie planen mit einem ADFS-Server weil Sie erwarten, dass damit da Kennwort nie das unternehmen verlässt, sondern maximal zum ADFS-Server gelangt und das damit ausgestellte Token (Vergleichbar einem Kerberos Ticket) zur Authentifizierung an der Cloud genutzt wird.
NTLM
Meines Wissens nutzt Office 365 aktuell NICHT
NTLM bei Anmeldungen innerhalb der Anwendung.
Mit PassThroughAuth ist aber Negotiate möglich.
Kerberos
Kerberos-Tickets werden von DCs ausgestellt.
Kerberos kann daher nur bei der
Authentifizierung gegen den internen ADFS-Server
per Kerberos erfolgen.
Weitere Links
- ADFS Basics
- ADFS Intern
- O365:DirSync
-
Confidently modernize to cloud
authentication with Azure AD
staged rollout, now generally
available
https://techcommunity.microsoft.com/t5/azure-active-directory-identity/confidently-modernize-to-cloud-authentication-with-azure-ad/ba-p/1994709 -
Choose the right authentication
method for your Azure Active
Directory hybrid identity
solution
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/choose-ad-authn -
What is hybrid identity with
Azure Active Directory?
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-hybrid-identity -
Choosing a sign-in model for
Office 365
https://blogs.office.com/2014/05/13/choosing-a-sign-in-model-for-office-365/ -
Lync Server 2013 Certificate
Authentication and Passive
Authentication support für Lync
2013 Mobile applications
http://blogs.technet.com/b/nexthop/archive/2013/10/08/lync-server-2013-certificate-authentication-and-passive-authentication-support-for-lync-2013-mobile-applications.aspx -
The Truth – Single Sign On with
Outlook and Office 365
http://jermsmit.com/the-truth-single-sign-on-with-outlook-and-office-365/ -
Mailbox.org: Google sperrt
"unsichere" Dritte von Kalender
aus
https://www.heise.de/ix/meldung/Mailbox-org-Google-sperrt-unsichere-Dritte-von-Kalender-aus-4640540.html -
PTA vs PHS vs ADFS in Azure AD
https://k21academy.com/microsoft-azure/architect/pta-vs-phs-vs-adfs/