Ressourcen Lösungsleitfäden

Identitätssicherung für Office 365

Überblick

Microsoft Office 365 ist eine beliebte Wahl, wenn Sie die Verwaltungs- und Infrastrukturkosten für den Betrieb von Applications wie E-Mail und anderen Produktivitätstools auslagern möchten. Office 365 ermöglicht die Verwendung eines föderierten Identitätsmodells, das Ihnen die vollständige Kontrolle über die Identität eines Benutzers, einschließlich seiner Kennwort-Hashes, gibt.

Durch die Verwendung von BIG-IP Access Policy Manager (APM) können Sie eine sichere, föderierte Identitätsverwaltung von Ihrem vorhandenen Active Directory zu Office 365 bereitstellen, ohne die Komplexität zusätzlicher Schichten von Active Directory Federation Services (ADFS)-Servern und Proxyservern. Sie können viele der erweiterten APM-Sicherheitsfunktionen, wie etwa geografische Beschränkungen und Multi-Faktor-Authentifizierung, nutzen, um den Zugriff auf Office 365 zusätzlich zu schützen.

Überlegungen

Wenn Sie sich entschieden haben, Benutzer zu Office 365 zu migrieren, müssen Sie sich für ein Anmeldemodell entscheiden. Viele große Organisationen entscheiden sich für ein föderiertes Identitätsmodell, damit sie die vollständige interne Kontrolle über Kennwort-Hashes behalten können.

Im föderierten Identitätsmodell verwendet Office 365 Security Access Markup Language (SAML), um Benutzer mithilfe Ihres vorhandenen Active Directory-Dienstes (dem Identitätsanbieter oder IdP) zu authentifizieren. Wenn Sie die Verbundanmeldung wählen, müssen Sie Office 365 den Zugriff auf Ihre Active Directory-Server und die Übersetzung von SAML-Authentifizierungsanforderungen gestatten.

Eine Möglichkeit hierzu besteht in der Verwendung von Microsoft Active Directory Federation Services (ADFS)-Servern und ADFS-Proxyservern, um den sicheren Zugriff zu verwalten und als SAML-IdP zu fungieren.

Aber es gibt einen einfacheren Weg.

Mit BIG-IP Local Traffic Manager (LTM) und Access Policy Manager (APM) können Sie entweder nur die ADFS-Proxyserver oder die ADFS-Proxyserver und die ADFS-Server selbst eliminieren. In beiden Fällen können Sie die erweiterten Sicherheitsrichtlinien von BIG-IP (Firewall-Funktionen, geografische Einschränkungen, Reputationsbeschränkungen, Vorauthentifizierung usw.) zum Schutz Ihrer wichtigen Verzeichnisinfrastruktur verwenden.

Durch das Ersetzen der ADFS-Proxyserver erhalten Sie hohe Verfügbarkeit sowie Vorauthentifizierungsdienste für die ADFS-Server, die von einer sicheren, Firewall-zertifizierten Plattform bereitgestellt werden.

Das Ersetzen sowohl der ADFS-Proxyserver als auch der ADFS-Server selbst bietet dieselben Sicherheits- und Vorauthentifizierungsvorteile und vereinfacht darüber hinaus die Infrastruktur.

Clients können mit erweiterten Prüfungen wie Zwei-Faktor-Authentifizierung, Client-Zertifikaten usw. vorab authentifiziert werden. Sie können auch Endpunktprüfungen durchführen, beispielsweise hinsichtlich Standort und Reputation.

Die Bereitstellung von BIG-IP zum Schutz oder Ersatz von ADFS-Servern kann durch die Verwendung der F5 ADFS iApp-Vorlage erheblich vereinfacht werden. iApp-Vorlagen verwandeln die Erstellung erweiterter Konfigurationen in einen einfachen, assistentengesteuerten Prozess, der zu einer getesteten und überprüften Konfiguration führt.

Sobald Sie über einen funktionierenden SAML-IdP verfügen, können Sie diese Identitätsföderation auf viele andere SAML-fähige Applications und Dienste ausweiten und so Single Sign-On für viele andere webbasierte SaaS- Applications nutzen.

Schritte

Entscheiden Sie zunächst, welches Bereitstellungsmodell Sie wählen. Ihre Optionen werden in der F5-Artikelserie zu ADFS vollständig dargelegt.

1. Wenn Sie sich für ein Bereitstellungsmodell entschieden haben, das Ihren Anforderungen entspricht, lesen Sie das ADFS- Bereitstellungshandbuch und laden Sie die iApp-Vorlage herunter.

2. Stellen Sie sicher, dass Sie über die Anmeldeinformationen und Berechtigungen verfügen, um Konfigurationsänderungen an Ihren Active Directory-Servern vorzunehmen.

3. Stellen Sie Ihre BIG-IP-Systeme bereit und testen Sie Hochverfügbarkeit, Netzwerkkonnektivität usw.

4. Führen Sie die iApp-Vorlage aus und geben Sie die erforderlichen Informationen ein. Jetzt haben Sie eine funktionierende Basisinstallation.

Diagramm von BIG-IP-Systemen
Ergebnis

Optimierter, sicherer und verwalteter Zugriff für Benutzer auf Office 365.

Wenn Sie sich über die erweiterte Authentifizierung informieren möchten, lesen Sie BIG-IP Access Policy Manager Policy Manager: Authentifizierung und Single Sign-On .