El proceso de federación de Office 365 consta de dos partes diferenciadas
- el proceso de federación propiamente dicho en el que los usuarios se autentican contra la granja de servidores de federación.
- la sincronización de directorio activo, en el cual interviene un servidor que mantiene una copia del directorio activo local en el Azure Active Directory de Office 365.
A continuación, voy a explicarte el funcionamiento de ambos componentes 😉
Azure Active Directory Synchronization
El componente Azure Active Directory Synchronization (AADSync desde ahora) es un software que se instala en un servidor On Premises y…
Se encarga de copiar los usuarios contenidos en un grupo o unidad organizativa del Directorio Activo local en el directorio activo de Office 365. Esta copia de atributos es granular y se puede definir qué propiedades se van a copiar en Office 365. Los únicos parámetros obligatorios son el UPN y el UID del usuario para que una vez entre en funcionamiento la federación, el servidor ADFS sea capaz de relacionar el usuario local con el usuario cloud.
AADSync se puede configurar de modo que no copie las contraseñas en la nube, consiguiendo que los usuarios que están en la nube de ninguna forma se puedan conectar sin pasar por el servidor de federación.
También es importante resaltar que AADSync ha de tener conexión a Internet, pero únicamente de salida hacia los servidores de Office 365, para que pueda establecer un túnel seguro contra los servidores de Azure AD para subir los datos.
Por último, indicar que para la configuración de AADSync es necesario un usuario Enterprise Admin. del dominio local y administrador global del tenant para configurarlo.
Servicios de Federación con autenticación multifactor
El objetivo de federar Office 365 contra el dominio local es evitar almacenar credenciales en la nube y delegar toda la autenticación en los servidores de dominio locales a través del servicio ADFS.
Esto nos proporciona una alta granularidad a la hora de gestionar quién, cómo, cuándo y desde dónde los usuarios se conectan a los servicios en la nube de Office 365. También nos proporciona la posibilidad de añadir a la autenticación un servicio de doble factor de autenticación, que en este caso será ‘Azure Two Factor Authentication Server’.
Por cuestiones de seguridad, el servicio de federación se publica en Internet a través del puerto HTTPS y a través de una granja de servidores proxy en alta disponibilidad, ya que es imperativo que el servidor proxy sea accesible desde internet.
Adicionalmente, se instalará un servidor de autenticación multifactor (MFA) integrado en la granja de federación que habrá de tener establecido un túnel de comunicación con el servicio ‘Azure Two Factor Authentication’ de Active Directory Premium de Office 365.
El ciclo de autenticación con federación funcionará de forma ligeramente diferente según los usuarios se conecten a Office 365 (desde dentro de la organización o desde fuera).
Si es desde dentro…
El usuario se conectará a los servicios de Office 365 a través de los ‘SmartLinks’ que definiremos en un servidor IIS auxiliar. Dicho servidor reenviará la solicitud de login directamente al servidor ADFS, que cojerá las credenciales de dominio del usuario logado del navegador y NO pedirá segundo factor de autenticación, ya que ADFS y MFA detectarán que está en un entorno seguro, redirigiendo automáticamente a los servicios de Office 365, proporcionando una experiencia de Single Sign On completa al usuario.
Sin embargo, si el usuario se conecta desde fuera de la red de la organización…
Es decir, a través de Internet, el esquema cambia. ¡Se endurece la seguridad!
En primer lugar, el usuario accederá a los servicios a través del portal de Office 365, que será el que cuando detecte que pertenece a un tenant que está federado, a través del dominio de la dirección de correo utilizada para identificarse en el portal, realizará una redirección hacia el proxy de autenticación de dentro de la organización, que será el que solicite las credenciales al usuario. Es en este momento cuando entra en acción el segundo factor de autenticación, que solicitará al servicio de autenticación multifactor de Azure Active Directory Premium que le haga llegar al usuario una clave de validación, que el usuario recibirá a través de la aplicación móvil: de un SMS, de un correo electrónico o por una llamada telefónica. Éste la introducirá en el formulario de autenticación.