Authentifizierung

Die Nutzung von Diensten in der Cloud erfordert natürlich eine Authentifizierung. Dieser Bereich beschreibt die verschiedenen Optionen. Denn auch die Cloud "sichert" den Zugriff auf Daten und Ressourcen über eine Anmeldung und natürlich benötigt jede Cloud dazu eine Identity-Verwaltung, d.h. Benutzerkonten die manuell oder automatisch angelegt werden können (Siehe DirSync). Ein "Trust", wie dies innerhalb von Firmen zwischen Domänen möglich ist, ist in der Cloud nicht denkbar. Insofern kann sich ein Anwender mit dem "Konto in der Cloud" anmelden, womit sich die Frage nach der Kennwortsicherheit, Rücksetzung, Policies etc. stellt, oder das Cloud-Konto ist nur ein Platzhalter um die Konfiguration zu speichern aber verweist bezüglich der Authentifizierung auf andere Dienste.

Es gibt einen klaren Trend mit Office 365 auf die Pass-Through Authentifizierung (PTA) zu setzen.

Ignite 2018: BRK3145 Deploying Outlook mobile securely in the enterprise
https://youtu.be/dt5GomXuqhI?t=552 
Our preferred identity model is a synchronized identity model, where you are using password hash syncronization or passthrough authentication with an AADConnect. But we do support federated identity...

Office 365 erlaubt mehrere Methoden einer Authentifizierung. Daher sollten Sie sich zuerst einmal die verschiedenen Optionen anschauen:

Einfache Verfahren

Wer nicht zu ADFS tendiert, kann neben expliziten Kenworten mit folgenden Verfahren den Anwendern ein Same-Login oder sogar ein SingleLogin (SSO) ermöglichen:

  • Password Sync
    Anstatt von ADFS kann man auch Kennworte abgleichen. Der Office 365 DirSync kann dies seit Sommer 2013
  • Seamless SSO
    Seit 2017 können sich kompatible Clients per Kerberos an der Cloud anmelden
  • Pass-Through Auth
    Agenten On-Prem beantworten die Auth-Requests der Cloud
  • ADFS zu PHS/SSO
    Irgendwann macht es jeder. Von ADFS zu PHS mit Conditional Access
  • Primary Refresh Token (PRT)
    Eine wichtige Schlüsselkomponente für SeamlessSingleSignOn, die meist funktioniert

Seiten zu ADFS

Weitere Seiten zu Authentifizierung

Modern Auth