Office365 via SURFconext
Download
Report
Transcript Office365 via SURFconext
Office 365
en SURFconext
Joost van Dijk
3 februari 2016 - Seminar Office 365
Ontwikkelingen
• Azure:
– ondersteuning SAML IdP proxies
– invoering Modern authentication
• Microsoft Office 365
– toetsing HO normenkader
– SAML: Works with Office 365
• SURFconext
– toelaten Office365 als nieuwe dienst
2
SAML & SSO
Problem: Password fatigue
user
store
user
store
web-
cal
webmail
4
Solution: Centralize Identities
user
store
web-
cal
webmail
5
Problem: Password Antipattern
user
store
SP
(webmail)
6
Problem: Password Antipattern
university.edu
example.com
user
store
SP
(webmail)
us
am
ern
e
ord
w
s
as
+p
7
Solution: Indirect Authentication
university.edu
example.com
user
store
IDP
Trust
username +
password
8
SP
Web SSO
university.edu
example.com
user
store
SP
IDP
(webmail)
HTTP
HTTP
9
Problem: non-web SSO desktop
university.edu
example.com
user
store
SP
IDP
(mail)
????
IMAP
10
Exchange Online: legacy authentication
university.edu
outlook.office365.com
user
store
IDP
SAML
ECP
SP
(u/p)
(Exchange
Online)
(u/p)
IMAP
11
Office 365 en rich client authentication
• Legacy authentication:
– password relay
• Modern authentication:
– OAuth2 met embedded web browser
12
15
Office 365 & SURFconext
Getting Started
SURFconext, Azure AD, Office 365
university.edu
IDP
SURFconext
SP
Microsoft Azure
IDP
SP
(AAD)
IDP
17
SP
SP
SP
SP
Provisioning
• Office 365 gebruikt Azure AD als “IDP”
• Gebruikers kunnen pas gebruik maken
van diensten als ze zijn aangemaakt
(provisioning)
• Azure AD accounts vereisen een
unieke identifier (ImmutableID)
• Zie Microsoft documentatie voor opties
18
Attributen
• ImmutableID:
unieke identifier voor de user zoals gebruikt
tijdens provisioning
• IDPEmail:
UserPrincipalName (UPN) in Azure AD/Office 365
• NB:
– Dit zijn geen standaard attributen!
– Indien IDPEmail ontbreekt wordt het
standaard mail attribuut gebruikt.
19
Configuratie: powershell
connect-msolservice
$dom = "example.edu"
$slo = "https://engine.surfconext.nl/logout"
$idp = "https://idp.example.edu"
$crt = "MIID3zC...ctJ3M="
$sso = “https://engine.surfconext.nl/authentication/idp/single-sign-on/123…”
Set-MsolDomainAuthentication
-DomainName $dom
-FederationBrandName $dom
-Authentication Federated
-PassiveLogOnUri $sso
-SigningCertificate $crt
-IssuerUri $idp
-LogOffUri $slo
-PreferredAuthenticationProtocol SAMLP
22
Samenvatting
• Provisioning Azure AD:
– Zie MS docs
• Zorg voor voldoende voorlichting aan
eindgebruikers:
– Phishing!?
– 3rd party clients (bv Thunderbird)
23
Meer info
• wiki.surfnet.nl:
Connect an Office 365 domain to
SURFconext
http://bit.ly/1VIBxKr
24
Questions?
Remarks?
[email protected]
http://nl.linkedin.com/in/joostd
www.creativecommons.org/licenses/by/3.0/nl/deed.en