Office 365-Active Directory Federation-Single-Sign On

image

Single Sign On ist interessant, sofern man seine eigene lokale Domäne mit Office 365 verknüpfen möchte. Es reicht also die einmalige Anmeldung an der Domäne, um auf weitere Dienste von O-365 zugreifen zu können, ohne erneut eine Benutzerkennung eingeben zu müssen.

In diesem Artikel möchten wir Ihnen beschreiben, wie Sie Single-Sign On(SSO) mit Office 365 ADFS (Active Directory Federation) einrichten. Im Anschluss gibt es ein kurzes Video, welches SSO in der Nutzersicht praktisch beschreibt.

Dank SSO, können Benutzer, die sich in der lokalen Active Directory angemeldet haben, ohne erneute Authentifizierung, auf Office 365 Dienste zugreifen.

 

Voraussetzung von Office 365 mit SSO oder auch Directory Synchronisation genannt, es wird  eine bestehende Active Directory Umgebung sowie verifizierte Office365 Domain vorausgesetzt.

 

image

Im unseren Szenario haben wir für die Einrichtung drei virtuelle Maschinen auf einen Hyper-V Host aufgesetzt.


Server 1:
Name: vSrv01

OS: Windows Server 2008 R2

Rolle: Active Directory Server


Server 2:

Name:vSrv02

OS: Windows Server 2008 R2

Rolle: Active Directory Federation 2.0
Online Zertifizierungsstelle

Feature: PowerShell, .NetFramework, PowerShell für Microsoft Online Services, Office 365 Einrichtungs-Assistent


Server 3:

Name: vSrv03

OS: Windows Server 2008 (32 Bit )

Feature: PowerShell, .NetFramework, DirSync

Es sind selbstverständlich auch andere Konstellationen möglich, des weiteren können Sie auch einige Dienste hochverfügbar gestalten.


CNAME Eintrag erstellen

Wir beginnen mit der Einrichtung auf dem vSrv01 (Active Directory Domain Services Server)
Auf dem Domaincontroller wird ein CNAME Eintrag erstellt, dieser zeigt von adfs.office365-e3.de auf vsrv02.office365-e3.de.  Wobei office365-e3.de hier unsere interne Domain ist.

 

Powershell, ADFS 2.0 und Zertifizierungsstelle

Nachdem wir diesen Eintrag erstellt haben, wechseln wir zum vSrv02 und installieren die PowerShell Rolle.

08-10-2011 01-03-42 

Anschließend können wir die ADFS 2.0 als Verbundserver installieren. Hier ist zu beachten, dass Sie nicht die ADFS Rolle installieren, die bei dem Server implementiert ist. Diese bringt Ihnen in diesem Szenario wenig, da es sich dabei um die ADFS 1.0 handelt. Für SSO mit Office 365 benötigen Sie die ADFS 2.0 (Herunterladen) Dieses Paket installiert alle benötigten Features.

07-10-2011 20-55-52

07-10-2011 20-55-37

Nach der Installation begrüßt Sie die ADFS 2.0 Oberfläche, bevor diese konfiguriert werden kann, muss im Internet Information Services (IIS) ein Zertifikat erstellt werden. Hier empfehlen wir ein SSL-Zertifikat von einer kommerziellen Zertifizierungsstelle zu benutzen. In unserem Beispiel aber installieren wir die Zertifizierungsstelle ebenfalls auf dem vSrv02 und stellen im IIS ein neues Zertifikat für die Domain aus.

07-10-2011 20-58-26

Dazu wird der IIS geöffnet und ein neues Zertifikat, mit Klick auf Zertifikatanforderung erstellen, für die Domain office365-e3.de erstellt.

07-10-2011 21-10-07

07-10-2011 21-09-18

Hier wird die Online Zertifizierungsstelle ausgewählt, in diesem Fall ist dies ebenfalls der vSrv02.

07-10-2011 21-09-29

07-10-2011 21-09-32

Nachdem das Zertifikat erstellt ist, wird dieses an die “Default Site”  im IIS gebunden.

image

 

Jetzt kann die ADFS 2.0 konfiguriert werden. Um das Szenario einfach zu gestalten, installieren wir in unserem Beispiel ein Stand-Alone Federation Server. Für den produktiven Einsatz empfehlen wir  aus Hochverfügbarkeitsgründen eine AD FS Farm zu installieren.

07-10-2011 20-55-37

07-10-2011 22-03-15

07-10-2011 22-03-27

Anschließend wird das Microsoft Online Services Module aus dem Hilfeportal von Office 365 heruntergeladen und installiert. Bei der Installation gibt es keine besonderen Punkte zu beachten.

07-10-2011 22-11-15

Nach der Installation wird die Partnerschaft zwischen On-Premise ADFS und Office 365 erstellt. Dazu wird die Microsoft Online Services Module for Windows PowerShell geöffnet.

Zuerst geben wir der Variable $cred die Administrations Login Daten von Office 365 mit.

07-10-2011 22-40-50

Mit dem nächsten Befehl verbinden wir uns.

  • Connect-MsolService –Credential $cred

Der nächste Schritt muss nur durchgeführt werden, wenn wir uns nicht auf unserem ADFS Server befinden, sondern auf einem anderem System!! Sonst kann dieser ignoriert werden.

Hier wird also unser lokale ADFS Server angegeben mit:

  • Set-MsolAdfscontext -Computer VSRV02.office365-e3.de

Lokale Administrator Daten eingeben:

07-10-2011 22-44-22

Mit dem nächsten Befehl wandeln wir die vorhandene Domain in eine “Federated”-Domain.

  • Convert-MSOLDomainToFederated –DomainName office365-e3.de

07-10-2011 23-04-58

Durch die Commandlets wird bei dem On-Premise AD FS Server das Microsoft Federation Gateway als Partner eingetragen. Die Office 365 AD FS Server werden entsprechend konfiguriert

 

image

Im Portal sollte jetzt die Domain schon für “Einmaliges Anmelden” vorbereitet sein

image

Vorbereitungssoftware

Zum Schluss werden auf dem vSRV02 noch die Vorbereitungssoftware (Punkt 3) für Office 365 installiert:

07-10-2011 22-08-22

07-10-2011 22-08-53

DirSync Tool

Jetzt wird der vSrv03 konfiguriert. Auf diesem System wird ausschließlich das DirSync Tool installiert. Dieses Tools ist für die Synchronisation der lokalen Active Directory Attribute mit Office 365 zuständig. Synchronisiert wird z.B. Active Directory Benutzer, die E-Mail Adressen sowie die Telefonnummern. Unter Synchronisation wird in diesem Zusammenhang das Kopieren von Active Directory Attributen vom lokalen on-Premise Active Directory in die Office 365 Cloud verstanden. Von Office 365 werden keine Attribute zurück in die on-Premise Active Directory kopiert.

Bevor die Synchronisation gestartet werden kann, muss im Portal von Office 365, die Active Directory Synchronisation aktiviert werden. Dazu wird im benutzerdefin

image

 

Hier kurz eine Übersicht, wie Sie einen Benutzerdefinierten Plan erstellen, um an die nötige Einstellung zu gelangen. Hierbei handelt es sich nur um ein Beispiel, Sie können natürlich Ihren eigenen Plan erstellen, wobei allerdings die Schritte abweichen können. Dies wird nur zur Aktivierung benötigt, Sie können immer wieder einen neuen Plan erstellen, dieser dient nur zur Übersicht.

 

 

Im Beispiel haben wir einen Windows Server 2008 genutzt, es wird aber auch z.B. Windows Server 2003 unterstützt. Windows Server 2008 R2 wird in der neusten Version von DirSync ebenfalls unterstützt da diese x64 Bit fähig ist! Des Weiteren darf DirSync nicht auf einem Domänencontroller installiert werden. Vor der Installation muss das Windows Feature Windows PowerShell installiert werden. Außerdem muss das .NET Framework 3.5 oder höher installiert sein.

Bei der eigentlichen Installation von DirSync muss nichts besonderes beachtet werden.

 08-10-2011 01-06-26

Für die Herstellung der Verbindung mit Office 365 wird einmal der Konfiguration Wizard ausgeführt. Hier wird der On-Premise Active Directory Administrators und der Global Administrators aus Office 365 abgefragt. Das Benutzerkonto und Kennwort des On-Premise Benutzers wird nur einmalig benötigt. Der Benutzername und das Kennwort des Global Administrators in Office 365 wird hingegen bei jeder Synchronisierung verwendet um sich gegen die Online Dienste zu Authentifizieren.

 

Nach der erfolgreichen Synchronisation müssen den Benutzern noch Office 365 Lizenzen zugewiesen werden. Das kann man im Office 365 Portal oder per PowerShell machen.

 

Wie bereits beschrieben, Benutzereigenschaften oder Gruppenmitgliedschaften dürfen nur in der On-Premise Active Directory geändert werden.

 

Der Client

Zum Schluss folgen die Einstellungen am Client. Am Client selbst werden die Internetoptionen angepasst und die Domain (in unserem fall office365-e3.de) als Vertrauenswürdige Site hinzugefügt. Diese Einstellungen kann entweder an jedem Client ausgeführt werden oder durch die Gruppenrichtlinien (GPO) verteilt werden. Des weiteren wird die Vorbereitungssoftware für Office 365 installiert, die auch manuell oder per GPO installiert werden kann.

 

Dazu klicken Sie auf Internetoptionen –> Sicherheit…

08-10-2011 14-07-41

 

… –> Lokales Intranet –> Sites

08-10-2011 14-07-49

…-> Erweitert

08-10-2011 14-07-53

Hier fügen Sie Ihren Domainnamen hinzu.

08-10-2011 14-07-56

 

Nachdem alle Einstellungen getroffen sind, funktioniert SSO.  Im nachfolgenden Video wird SSO noch einmal in der Praxis gezeigt. Viel Spaß.

image

Teilen:

Nils Kappen, Felix Leber

Nils Kappen ist ausgebildeter Fachinformatiker für Systemintegration. Seine Ausbildung hat er im Sommer 2010 abgeschlossen seitdem arbeitet er bei der Rachfahl IT-Solutions GmbH & Co. KG. Nils Kappen ist Microsoft Certified Windows Server 2008 Enterprise Administrator. Felix Leber ist auszubildender Fachinformatiker in der Richtung Systemintegration.

Ein Kommentar:

  1. Hallo,

    überall findet man Erklärungen zum Neu-Einrichten von Office 365 und SSO. Wier haben jedoch einen Kunden der nachträglich die AD-Sync einführen möchte. Laut der Anleitung werden beim Sync die User quasi im Portal neu angelegt. WIe kann ich nun bestehende User auf das „AD-Konto“ switchen? Was passiert mit den Usern beim Sync, wenn diese im Portal schon als „normale Konten“ vorhanden sind?

    Vielen Dank im Voraus!

    Matthias G.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *