Cómo no romper los límites, cómo crear una buena arquitectura y cómo hacer un buen mantenimiento

Federación de Office 365

El proceso de federación de Office 365 consta de dos partes diferenciadas

  • el proceso de federación propiamente dicho en el que los usuarios se autentican contra la granja de servidores de federación.
  • la sincronización de directorio activo, en el cual interviene un servidor que mantiene una copia del directorio activo local en el Azure Active Directory de Office 365.

A continuación, voy a explicarte el funcionamiento de ambos componentes 😉

Azure Active Directory Synchronization

El componente Azure Active Directory Synchronization (AADSync desde ahora) es un software que se instala en un servidor On Premises y…

Se encarga de copiar los usuarios contenidos en un grupo o unidad organizativa del Directorio Activo local en el directorio activo de Office 365. Esta copia de atributos es granular y se puede definir qué propiedades se van a copiar en Office 365. Los únicos parámetros obligatorios son el UPN y el UID del usuario para que una vez entre en funcionamiento la federación, el servidor ADFS sea capaz de relacionar el usuario local nubecon el usuario cloud.

AADSync se puede configurar de modo que no copie las contraseñas en la nube, consiguiendo que los usuarios que están en la nube de ninguna forma se puedan conectar sin pasar por el servidor de federación.

También es importante resaltar que AADSync ha de tener conexión a Internet, pero únicamente de salida hacia los servidores de Office 365, para que pueda establecer un túnel seguro contra los servidores de Azure AD para subir los datos.

Por último,  indicar que para la configuración de AADSync es necesario un usuario Enterprise Admin. del dominio local y administrador global del tenant para configurarlo.

Servicios de Federación con autenticación multifactor

El objetivo de federar Office 365 contra el dominio local es evitar almacenar credenciales en la nube y delegar toda la autenticación en los servidores de dominio locales a través del servicio ADFS.

Esto nos proporciona una alta granularidad a la hora de gestionar quién, cómo, cuándo y desde dónde los usuarios se conectan a los servicios en la nube de Office 365. También nos proporciona la posibilidad de añadir a la autenticación un servicio de doble factor de autenticación, que en este caso será ‘Azure Two Factor Authentication Server’.

office-365Por cuestiones de seguridad, el servicio de federación se publica en Internet a través del puerto HTTPS y a través de una granja de servidores proxy en alta disponibilidad, ya que es imperativo que el servidor proxy sea accesible desde internet.

Adicionalmente, se instalará un servidor de autenticación multifactor (MFA) integrado en la granja de federación que habrá de tener establecido un túnel de comunicación con el servicio ‘Azure Two Factor Authentication’ de Active Directory Premium de Office 365.

El ciclo de autenticación con federación funcionará de forma ligeramente diferente según los usuarios se conecten a Office 365 (desde dentro de la organización o desde fuera).

Si es desde dentro…

El usuario se conectará a los servicios de Office 365 a través de los ‘SmartLinks’ que definiremos en un servidor IIS auxiliar. Dicho servidor reenviará la solicitud de login directamente al servidor ADFS, que cojerá las credenciales de dominio del usuario logado del navegador y NO pedirá segundo factor de autenticación, ya que ADFS y MFA detectarán que está en un entorno seguro, redirigiendo automáticamente a los servicios de Office 365, proporcionando una experiencia de Single Sign On completa al usuario.

Sin embargo, si el usuario se conecta desde fuera de la red de la organización…

Es decir, a través de Internet, el esquema cambia. ¡Se endurece la seguridad!

En primer lugar, el usuario accederá a los servicios a través del portal de Office 365, que será el que cuando detecte que pertenece a un tenant que está federado, a través del dominio de la dirección de correo utilizada para identificarse en el portal, realizará una redirección hacia el proxy de autenticación de dentro de la organización, que será el que solicite las credenciales al usuario. Es en este momento cuando entra en acción el segundo factor de autenticación, que solicitará al servicio de autenticación multifactor de Azure Active Directory Premium que le haga llegar al usuario una clave de validación, que el usuario recibirá a través de la aplicación móvil: de un SMS, de un correo electrónico o por una llamada telefónica. Éste la introducirá en el formulario de autenticación.

Una vez el servidor ADFS verifica que el usuario, la contraseña y el segundo factor de autenticación son correctos, redirige el navegador hacia la URL del servicio solicitado por el usuario, a la que le anexa un token de validación que hace que Office 365 permita el acceso del usuario al servicio.

Arquitectura

mm

Sobre Luis Emilio López López

Con más de 17 años de experiencia en el campo de las Tecnologías de la Información, actualmente desempeño el rol de IT and Cloud manager en ENCAMINA, actuando tambien como consultor en proyectos Azure y Office 365. Mi expertise se centra en soluciones de Sistemas basados en soluciones Microsoft Actualmente ostento las certificaciones MCSE en * Cloud platform and infrastructure * Productiviy * Messaging * SharePoint. También poseo las certificaciones MCSA en: * Cloud Platform * Office 365 * Windows Server 2012 Aunque en realidad soy un GEEK aprendiz de todo y maestro de nada ;)
Esta entrada ha sido publicada en Azure. Enlace permanente.
ENCAMINA, piensa en colores