Protegendo a identidade para o Office 365
O Microsoft Office 365 é uma escolha popular quando você procura terceirizar os custos de gerenciamento e infraestrutura de execução de aplicativos básicos, como e-mail e outras ferramentas de produtividade. O Office 365 permite o uso de um modelo de identidade federada que lhe dá controle total da identidade de um usuário, incluindo seus hashes de senha.
O uso do BIG-IP Access Policy Manager (APM) permite que você forneça gerenciamento de identidade federado e seguro do seu Active Directory existente para o Office 365, sem a complexidade de camadas adicionais de servidores do Active Directory Federation Services (ADFS) e servidores proxy. Você pode usar muitos dos recursos de segurança aprimorados do APM, como restrições geográficas e autenticação multifator, para proteger ainda mais o acesso ao Office 365.
Depois de decidir migrar usuários para o Office 365, você precisará decidir sobre um modelo de login. Muitas grandes organizações escolhem um modelo de identidade federada para que possam manter o controle interno completo dos hashes de senha.
No modelo de identidade federada, o Office 365 usa a Linguagem de Marcação de Acesso de Segurança (SAML) para autenticar usuários usando seu serviço existente do Active Directory (o Provedor de Identidade ou IdP). A escolha do logon federado exige que você permita que o Office 365 acesse seus servidores do Active Directory e traduza solicitações de autenticação SAML.
Uma maneira de fazer isso é usar servidores do Microsoft Active Directory Federation Services (ADFS) e servidores proxy ADFS para gerenciar o acesso seguro e atuar como o IdP SAML.
Mas há uma maneira mais fácil.
Com o BIG-IP Local Traffic Manager (LTM) e o Access Policy Manager (APM), você pode eliminar apenas os servidores proxy ADFS ou os servidores proxy ADFS e os próprios servidores ADFS. Em ambos os casos, as políticas avançadas de proteção de segurança que o BIG-IP oferece (recursos de firewall, restrições geográficas, de reputação, pré-autenticação e outras) podem ser usadas para proteger sua infraestrutura de diretório principal.
A substituição dos servidores proxy ADFS oferece alta disponibilidade, bem como serviços de pré-autenticação para os servidores ADFS, fornecidos por uma plataforma segura e certificada por firewall .
Substituir os servidores proxy do ADFS e os próprios servidores ADFS oferece os mesmos benefícios de segurança e pré-autenticação, além de simplificar a infraestrutura.
Os clientes podem ser pré-autenticados com verificações avançadas, como autenticação de dois fatores, certificados de cliente etc. Você também pode implantar verificações de endpoint, como localização e reputação.
A implantação do BIG-IP para proteger ou substituir servidores ADFS pode ser bastante simplificada usando o modelo F5 ADFS iApp . Os modelos iApp transformam a criação de configurações avançadas em um processo simples, orientado por assistente, que resulta em uma configuração testada e verificada.
Depois de ter um IdP SAML funcional, você pode estender essa federação de identidade para muitos outros aplicativos e serviços habilitados para SAML, oferecendo logon único em muitos outros aplicativos SaaS baseados na Web.
Primeiro, você decidirá qual modelo de implantação escolher. Suas opções estão totalmente descritas na série de artigos do F5 sobre ADFS.
1. Depois de decidir sobre um modelo de implantação que atenda às suas necessidades, leia o Guia de Implantação do ADFS e baixe o Modelo do iApp .
2. Certifique-se de ter as credenciais e permissões para fazer alterações de configuração nos seus servidores do Active Directory.
3. Implante seus sistemas BIG-IP e teste alta disponibilidade, conectividade de rede e assim por diante.
4. Execute o modelo do iApp e insira as informações necessárias. Agora você tem uma instalação básica funcional.
Acesso simplificado, seguro e gerenciado para usuários do Office 365.
Se você quiser explorar a autenticação avançada, leia o BIG-IP Access Policy Manager Policy Manager: Autenticação e logon único .