Ist die Kennwortsynchronisierung besser als AD FS für die Office 365-Identitätsverwaltung?

Exchange-Administratoren haben bei der Verwaltung der Office 365-Identität mehrere Möglichkeiten. In der Passwortsynchronisation …

Welches Tool wird im Vergleich zum AD FS-Kampf für Ihre Anforderungen die Nase vorn haben?
Im vergangenen Jahr hat Microsoft das Windows Azure Active Directory-Synchronisierungstool DirSync aktualisiert, das eine Funktion namens Kennwortsynchronisierung enthält, mit der Unternehmen die Kennwörter von Endbenutzern synchronisieren können. Vor dem Update waren Active Directory-Verbunddienste jedoch die einzige Option für Office 365-Endbenutzer, um auf Dienste mit lokalen Kennwörtern zuzugreifen.
Um zu entscheiden, welche Kennwortsynchronisierungsfunktion am besten geeignet ist, schauen wir uns die einzelnen Optionen genauer an und vergleichen die Kennwortsynchronisierungsfunktion in DirSync mit AD FS.

Die Unterschiede zwischen Password Sync und AD FS

Bevor Sie sich mit den Besonderheiten der Kennwortsynchronisierung befassen, ist es wichtig, die wichtigsten Unterschiede zu verstehen AD FS. Das Vergleichen der Kennwortsynchronisierungsfunktion mit AD FS auf technischer Ebene wäre wie das Vergleichen von Äpfeln und Orangen. Beide Tools bieten ähnliche Endbenutzererlebnisse. Beispielsweise können Endbenutzer darauf zugreifen Büro 365 Dienstleistungen mit ihrem lokalen Passwort.
AD FS funktioniert jedoch ganz anders als die Kennwortsynchronisierung. Der beste Weg, um diesen Unterschied zu veranschaulichen, besteht darin, den Anmeldevorgang für jede Option zu durchlaufen.
Stellen Sie sich ein Szenario vor, in dem sich ein Endbenutzer beim Office 365-Portal anmeldet (portal.microsoftonline.com). Wenn ein Konto zusammengeschlossen ist und AD FS verwendet, geschieht Folgendes:

  1. Der Benutzer gibt seinen Benutzernamen ein (Name des Benutzerprinzips) in das Feld Benutzername.
  2. Sobald der Benutzername eingegeben wurde, prüft Office 365, ob der vom Benutzerprinzipalname abgeleitete Domänenname eine reguläre oder eine Verbunddomäne ist.
  3. Die Authentifizierungsplattform Windows Azure stellt fest, dass die Domäne zusammengeschlossen ist, und leitet den Browser des Benutzers zu seinem AD FS-Endpunkt um, um ein AD FS-Token abzurufen.
  4. Der Benutzer authentifiziert sich beim AD FS-Server, der anhand von Active Directory überprüft wird, und erhält von AD FS ein Anmeldetoken, wenn die Anmeldeinformationen gültig sind. Der Endbenutzer wird zur Office 365-Authentifizierungsplattform umgeleitet.
  5. Die Windows Azure-Authentifizierungsplattform akzeptiert jetzt das AD FS-Token und verwendet dieses zur Authentifizierung des Endbenutzers.
  6. Der Endbenutzer wird authentifiziert und zum Portal umgeleitet.

Der Vorgang ist für die Kennwortsynchronisierungsfunktion anders. Der Hauptunterschied in diesen Szenarien besteht darin, dass bei Verwendung von AD FS das lokale Active Directory der Identitätsanbieter ist und die Anmeldeinformationen überprüft. Im Gegensatz zu AD FS ist Windows Azure der Identitätsanbieter bei der Kennwortsynchronisierung, da die Anmeldeinformationen des Benutzers anhand der in seiner Datenbank bekannten Werte überprüft werden.

  1. Der Benutzer gibt seinen Benutzernamen (User Principal Name) in das Feld Benutzername ein.
  2. Sobald der Benutzername eingegeben wurde, prüft Office 365, ob der vom Benutzerprinzipalname abgeleitete Domänenname eine reguläre oder eine Verbunddomäne ist.
  3. Die Authentifizierungsplattform, Windows Azurestellt fest, dass die Domain eine Domain ohne Verbund ist und keine Maßnahmen ergreift.
  4. Der Endbenutzer gibt sein Passwort in das Passwortfeld ein und klickt auf Einloggen Taste. Die Authentifizierungsplattform empfängt die Anmeldeinformationen des Benutzers und überprüft sie anhand des Benutzernamens / Kennworts in seiner Datenbank. Da das Kennwort lokal synchronisiert wurde, entspricht es dem Active Directory-Kennwort des Benutzers.

Abgesehen von einigen Konfigurationsunterschieden ist die Endbenutzererfahrung in jedem Szenario nahezu identisch. Ein synchronisiertes Kennwort überschreibt die Anforderungen an die Cloud-basierte Kennwortkomplexität sowie die Anforderungen an das Kennwortalter, genau wie AD FS. Wenn die Erfahrung fast ähnlich ist, warum sollten Sie AD FS, für das ein oder mehrere lokale Server erforderlich sind, anstelle der in das DirSync-Tool integrierten Funktion zur Kennwortsynchronisierung auswählen?

Password Sync vs. AD FS: Vor- und Nachteile

Mit AD FS können Sie mithilfe von Clientzugriffsrichtlinien genau steuern, wer sich authentifizieren darf. Dies ist mit Password Sync nicht möglich.
Die Kennwortsynchronisierungsfunktion kann auch zu verwirrenden Situationen führen, in denen sich das in Windows Azure gespeicherte Kennwort trotz seiner Synchronisierung vom lokalen Kennwort unterscheidet, z. B. wenn ein Administrator das Kennwort eines Endbenutzers in Office 365 zurücksetzt Das Kennwort des Benutzers in Windows Azure ändert sich und DirSync löst keine neue Kennwortsynchronisierung aus, bis der Endbenutzer sein lokales Kennwort ändert.
Es gibt auch die Frage der Skalierbarkeit. Die Kennwortsynchronisierungsfunktion ist für kleinere Umgebungen sinnvoll, da Kennwortänderungen relativ schnell erfasst werden. In meinen persönlichen Tests konnte ich die Kennwortsynchronisierung nicht umgehen. Jedes Mal, wenn ich mein Kennwort vor Ort änderte, wurde es in Office 365 geändert, als ich mich beim Portal anmeldete. Trotz dieser Beobachtung ist es gut zu hinterfragen, ob die Erfahrung in größeren Umgebungen ähnlich ist. Bis mehr Unternehmen es implementieren und mehr Informationen öffentlich verfügbar sind, ist AD FS eine sichere Wahl, da ein einzelner AD FS-Server problemlos Tausende von Endbenutzern bedienen kann.

Ist die Sicherheit der Kennwortsynchronisierung ein Problem?

Der Begriff “Passwortsynchronisation” lässt viele Sicherheitsmanager unnötig vor Angst zittern. Zu keinem Zeitpunkt wird das tatsächliche Kennwort zwischen Ihrer lokalen Umgebung und der Cloud synchronisiert. Es ist ein sicherer Schlüssel, der aus einem Hash eines Hash des zu synchronisierenden Passworts abgeleitet wird. Alle Kommunikationen werden auch verschlüsselt, da die Kommunikation über SSL erfolgt. Selbst wenn ein Hacker den SSL-Kanal unterbrechen könnte, würde er einen Hash-Wert des Passworts erhalten, was völlig nutzlos ist.
Abgesehen von offensichtlichen technischen Unterschieden zwischen AD FS und der Kennwortsynchronisierungsfunktion gibt es viele Nuancen, die jede Option je nach Ihren Anforderungen hervorheben. Wir haben nur die Oberfläche jeder Option zerkratzt, und es gibt viele Faktoren, die bei der Auswahl einer der beiden Optionen berücksichtigt werden müssen. Ich empfehle Unternehmen, sich mit der Kennwortsynchronisierung zu befassen. Ich glaube, dass viele Unternehmen von Password Sync über AD FS profitieren könnten.
Über den Autor:
Michael Van Horenbeeck ist ein Technologieberater, Microsoft Certified Trainer und Exchange MVP aus Belgien, der hauptsächlich mit Exchange Server, Office 365, Active Directory und etwas Lync arbeitet. Er ist seit 12 Jahren in der Branche tätig und ein häufiger Blogger, Mitglied der belgischen Unified Communications-Benutzergruppe Pro-Exchange und regelmäßiger Mitarbeiter von The UC Architects
Podcast.

Similar Posts

Leave a Reply