Conheça os métodos de autenticação no Office 365

novembro 7, 2016

Quando começamos a planejar uma infraestrutura de Office 365, temos uma importante decisão a tomar: Qual será a experiência de autenticação dos serviços do Office 365 para os usuários?

Claro que isso depende de vários fatores, por exemplo:

  • Qual sistema de autenticação temos como padrão na organização (Active Directory ou um sistema em Linux baseado no protocolo Ldap? etc.).
  • Onde iremos gerenciar esses usuários?
  • Qual será a estratégia de migração ou até mesmo se queremos usar políticas complexas de controle de acesso interno e externo?

Confira um overview dos principais tipos de autenticação do Office 365:

Microsoft Online Identity

O Cloud Identity (Microsoft Online Identity) usa somente os serviços de identidade da Microsoft que ultiliza o Azure Active Directory. Ou seja, não temos nenhum tipo de vínculo com nosso ambiente local.

Neste modelo, todos usuários são criados diretamente no portal do Office 365, onde será gerada uma senha que não terá nenhum vínculo com sua atual credencial corporativa. Todas as modificações de atributos, senhas ou qualquer outra informação relacionada ao usuário serão feitas no portal da Microsoft. Neste método, o serviço de autenticação dos usuários é de toda resposabilidade da Microsoft.

Esta é a identidade padrão que a Microsoft recomenda para minimizar a complexidade da implantação em clientes de pequeno a médio porte.

Sincronização de Diretório

Na sincronização de diretórios, precisamos ter o Active Directory como responsável pelos serviços de identidade na organização. Com isso podemos instalar o Active Directory Connect (disponibilizado pela Microsoft) para fazer o sincronismo dos objetos com o Office 365. Ou seja, todos os objetos do seu Active Directory serão sincronizados para o Office 365, inclusive senhas.

Todas as alterações relacionadas ao usuário, devem ser feitas no Ambiente Local proporcionando um gerenciamento simplificado na organização. Porém, o serviço de autenticação ainda é de responsabilidade da Microsoft. Por exemplo: ao sincronizar os objetos do seu Active Directory e caso o servidor do Ad Connect ficar indisponível ou sem internet, os usuários poderão fazer login no Office 365 normalmente.

O Ad Connect (Active Directory Connect), possui vários serviços para melhorar a experiência de autenticação dos usuários, e em muitos tipos de migração temos que adotá-lo como um pré-requisito. Abaixo destacamos os principais recursos do AD Connect.

  • Sincronizar usuários, senhas, grupos, contatos e devices
  • Sincronização de atributos para migração: hibrida com Exchange
  • Personalização de regras de sincronismos com atributos
  • Filtro de usuarios baseado em unidade organizacionais
  • Sincronização de varias florestas do Active Directory
  • Sincronizações de senhas do office 365 para o Active directory (necessário usar o Azure AD Premium)

Obs.: No Office 365, quando usamos o AD Connect não é possível alterar a senha a partir do webmail como fazemos em um ambiente local. Para realizar essa tarefa temos que usar um recuso do Azure chamado Azure AD Premium.

O AD Connect possui vários outros recursos que são muito úteis. Para mais informações acesse o artigo oficial da Microsoft.

Active Directory Federation Services

O ADFS (Active Directory Federation Services) é um recurso que vem por padrão no Windows Server 2012 ou posterior.

Neste metodo de autenticação, o Active Directory é responsavel pelos serviços de identidade na organização. O método de sincronismo de diretório é um pré-requisitos para usar o ADFS no office 365.

Ao contrário dos outros tipos de autenticação citados acima, a responsabilidade da autenticação é de sua organização local. Por esses motivos, sempre instalamos os servidores de federação em alta disponibilidade, pois caso esses servidores fiquem indisponíveis ou até mesmo sem internet, nenhum usuario irá conseguir fazer logon no Office 365. Mas entao porque não ultilizar somente o AD Connect?

Simples, o ADFS traz uma experiencia quase perfeita na autenticação e integração com o Active Directory do seu ambiente local. Qualquer política que você configurar, como horário de logon ou politicas de complexidade de senha, terão as mesmas regras para o Office 365. Além de poder criar regras personalizadas de logon, para dizer se o usuário pode poderá acessar o Office 365 externamente ou só internamente, bloquear serviços e etc.

O ADFS também nos proporciona a experiência de login único, com esse recurso você irá logar em sua maquina e não precisará digitar a senha no browser para abrir o webmail ou até mesmo em seu Outlook.

O ADFS é recomendado para empresa de médio a grande porte, já que existe uma complexidade maior na implantação e no gerenciamento dos servidores.

Para saber mais sobre requisitos e benefícios de ADFS acesse o artigo oficial da Microsoft.

Powershell e API

Para sistema de identidade não Microsoft como um sistema de LDAP em Linux, não temos nenhuma ferramenta Microsoft para fazer integração. Então, nestes casos, é necessário ter uma integração maior com o ambiente local, desenvolvemos scripts em Powershell ou uma ferramenta usando a API do Office 365 para realizar essa integração. Neste cenário, precisamos de um programador e as possibilidades são infinitas nesta integração.

Com as perguntas acima respondidas, provavelmente você terá uma idéia de qual experiência quer que seus usuários tenham. Deixe seu comentário abaixo para discutirmos mais.

Quer saber mais sobre o Office 365? 

soluções do Office 365

Powered by Rock Convert

Autor

David Ferreira

Graduado em redes de Computadores, Trabalhando a 7 anos na area de TI , fazendo implementações de produtos Microsoft (Active Direcotry, Exchange ,Lync e Office 365), nos ultimos 5 anos estou atuando como especialista em Office 365 realizando implementações e migrações de grandes cliente para Nuvem Microsoft . Linkedin

Deixa uma resposta