O365: Same Sign On

Door ralpje op dinsdag 4 juni 2013 08:32 - Reacties (4)
Categorieën: ActiveDirectory, Office365, Views: 3.538

Voor klanten die graag Office 365 gebruiken maar niet graag werken met 'gescheiden' passwords voor de on-premise omgeving en die in cloud was er tot nu toe één optie: Door middel van ADFS en DirSync de gegevens van je on-premise AD syncen naar de cloud en daarmee ook je (kerberos)authenticatieticket synchroniseren. Eén keer inloggen en je bent geauthenticeerd op beide omgevingen.
Ideaal natuurlijk, maar ook een behoorlijk uitgebreide setup: je zult de ADFS rol ergens moeten implementeren, je zult een ADFS-proxy moeten inrichten én je moet DirSync kunnen draaien. De laatste twee rollen kun je niet elkaar óf met een domain controller combineren, waardoor je flink zult moeten investeren in servers.... en die wilde je nou net kwijt met je overstap naar de cloud.

Inmiddels heeft Microsoft hier een mooi alternatief voor gevonden: Password Synchronization. Deze extra functie in de nieuwe versie van DirSync bied de mogelijkheid om door middel van een zogenaamde password hash sync je on-premise password te syncen naar de cloud.
Dat syncen geeft ook gelijk aan wat het grootste nadeel is: er is géén single sign on. Je password wordt (gehashed, uiteraard) gesynchroniseerd vanuit de on-premise AD naar de cloud, maar er vindt geen synchronisatie plaats tussen (bijvoorbeeld) kerberostickets.
Het voordeel is echter dat je het password tussen beide omgevingen gelijk trekt en je dus bij een expired password maar op één plaats je password hoeft te wijzigen (en te onthouden ;)) én dat er minder ijzer nodig is om het te realiseren: de sync zit simpelweg in de nieuwste DirSync-versie en je hebt dus geen ADFS-Proxy of andere uitgebreide oplossingen nodig. Voor kleinere gebruikers die geen single sign on nodig hebben maar wel graag uniformiteit hebben in wachtwoorden is dit een prima optie en eens te meer toont Microsoft aan dat ze de markt goed in de gaten hebben en waar mogelijk hierop inspelen.

Mijn twee grootste wensen voor O365 op dit moment: Two-factor authentication (die nu in beta al voor admins beschikbaar is!) en self-service password recovery. Die laatste functie zit al deels in de nieuwste Wave 15 voor O365, maar uitsluitend voor admins. Ik verwacht dat Microsoft allebei deze functies voor het einde van dit kalenderjaar voor alle gebruikers heeft uitgerold.