El proceso de federación de Office 365 consta de dos partes diferenciadas
A continuación, voy a explicarte el funcionamiento de ambos componentes 😉
Se encarga de copiar los usuarios contenidos en un grupo o unidad organizativa del Directorio Activo local en el directorio activo de Office 365. Esta copia de atributos es granular y se puede definir qué propiedades se van a copiar en Office 365. Los únicos parámetros obligatorios son el UPN y el UID del usuario para que una vez entre en funcionamiento la federación, el servidor ADFS sea capaz de relacionar el usuario local
AADSync se puede configurar de modo que no copie las contraseñas en la nube, consiguiendo que los usuarios que están en la nube de ninguna forma se puedan conectar sin pasar por el servidor de federación.
También es importante resaltar que AADSync ha de tener conexión a Internet, pero únicamente de salida hacia los servidores de Office 365, para que pueda establecer un túnel seguro contra los servidores de Azure AD para subir los datos.
Por último, indicar que para la configuración de AADSync es necesario un usuario Enterprise Admin. del dominio local y administrador global del tenant para configurarlo.
Esto nos proporciona una alta granularidad a la hora de gestionar quién, cómo, cuándo y desde dónde los usuarios se conectan a los servicios en la nube de Office 365. También nos proporciona la posibilidad de añadir a la autenticación un servicio de doble factor de autenticación, que en este caso será ‘Azure Two Factor Authentication Server’.
Adicionalmente, se instalará un servidor de autenticación multifactor (MFA) integrado en la granja de federación que habrá de tener establecido un túnel de comunicación con el servicio ‘Azure Two Factor Authentication’ de Active Directory Premium de Office 365.
El ciclo de autenticación con federación funcionará de forma ligeramente diferente según los usuarios se conecten a Office 365 (desde dentro de la organización o desde fuera).
El usuario se conectará a los servicios de Office 365 a través de los ‘SmartLinks’ que definiremos en un servidor IIS auxiliar. Dicho servidor reenviará la solicitud de login directamente al servidor ADFS, que cojerá las credenciales de dominio del usuario logado del navegador y NO pedirá segundo factor de autenticación, ya que ADFS y MFA detectarán que está en un entorno seguro, redirigiendo automáticamente a los servicios de Office 365, proporcionando una experiencia de Single Sign On completa al usuario.
Es decir, a través de Internet, el esquema cambia. ¡Se endurece la seguridad!
En primer lugar, el usuario accederá a los servicios a través del portal de Office 365, que será el que cuando detecte que pertenece a un tenant que está federado, a través del dominio de la dirección de correo utilizada para identificarse en el portal, realizará una redirección hacia el proxy de autenticación de dentro de la organización, que será el que solicite las credenciales al usuario. Es en este momento cuando entra en acción el segundo factor de autenticación, que solicitará al servicio de autenticación multifactor de Azure Active Directory Premium que le haga llegar al usuario una clave de validación, que el usuario recibirá a través de la aplicación móvil: de un SMS, de un correo electrónico o por una llamada telefónica. Éste la introducirá en el formulario de autenticación.
Este sitio web utiliza cookies para que tengas la mejor experiencia de usuario. Si continuas navegando, estás dando tu consentimiento para aceptar las cookies y también nuestra política de cookies (esperemos que no te empaches con tanta cookie 😊)