Upload
mario-cortes-flores
View
354
Download
3
Embed Size (px)
DESCRIPTION
Presentación para el TechDay en la que mostramos como sincrinizar con Office 365 a través de Windows Azure Active Directory Sync Tool. Breve repaso al login de Office365 y Windows Azure Active Directory.
Citation preview
TechDay – Madrid
Alberto Pascual – MVP en [email protected] | @guruxp
Mario Cortés – MVP en [email protected] | @mariocortesf
Sincronizándonos con Office 365, integración con nuestro AD existente
Agenda Cómo funciona DirSync Demo Requisitos y consideraciones
Cómo funciona el login de Office365?
El login de Office365
WAAD
• Desde cloud• Sincronizada• Federada
Local AD
Cómo funciona DirSync
DirSync Sincroniza objetos de un directorio on-premise con WAAD. Usuarios, grupos, contactos.
Facilita el mantenimiento de identidades.
Pensado para escenarios híbridos. No esta pensado como herramienta de migración.
Sincronización Sincronización es on-premise -
> cloud Excepto si se activa “write-back”.
Se sincroniza cada 3h Cada 2 minutos para contraseñas* Se puede forzar con el cmdlet Start-OnlineCoexistenceSync
La primera sincronización es completa y el resto delta.
Nuevos objetos y modificaciones se envían a Office365. No se envían todos los atributos La asignación de licencias no es automático
Windows Azure Active Directory
User
On-Premises IdentityEx: Domain\Alice
Cloud IdentityEx: [email protected]
Directory Synchronization
Scope Define los elementos a excluir durante la sincronización.
Niveles: Por dominio de AD. Basado en Unidad Organizativa. Basado en atributo de usuario.
Escenarios Simple Con contraseñas* Single Sign-on Multiforest con single Sign-on
Contraseñas El usuario hace login con la
misma contraseña en on-premise y en cloud.
Se sincroniza un hash de la contraseña.
Aplica dos políticas: Password Complexity PolicyPassword Expiration Policy
Se aplican las políticas locales El botón de “Cambiar contraseña”
desaparece en el portal de Office365 del usuario
Windows Azure Active Directory
User
On-Premises IdentityEx: Domain\Alice
Cloud IdentityEx: [email protected]
Directory Synchronization with one way Password Hash
Eliminación de usuarios Usuarios, grupos y contacto borrados desde on-premise serán borrados en WAAD.
Usuarios deshabilitados on-premise serán deshabilitados en WAAD. No se quitarán las licencias automáticamente.
Los objetos son recuperables dependiendo desde donde se eliminen.
DirSync+Password vs ADFS
Solo se necesita un servidor.
Arquitectura más sencilla.
ADFS 2.1/3 ofrece un verdadero SSO.
No permite control de acceso por IP.
Ventajas Desventajas
Demo
Requisitos de DirSync
Requisitos Windows Server 2008R2+ (noDC*) Windows Installer 4.5 or later Windows PowerShell version 2.0 .NET FW 3.5 o 4.0 SQL Server 2008R2+**
Requisitos II Microsoft Online Services Sign-In Assistant
Administrador: Enterprise en local* para crear la cuenta MSOL_AD_Sync Global en cloud
Nivel funcional de dominio 2003+
Requisitos: PuertosService Protocol Port
LDAP TCP/UDP 389Kerberos TCP/UDP 88
DNS TCP/UDP 53Kerberos Change
Password TCP/UDP 464RPC TCP 135
RPC randomly allocated high TCP
portsTCP 1024 - 65535
49152 - 655351
SMB TCP 445SSL TCP 443SQL TCP 1433
Consideraciones
Consideraciones Sufijos UPN .local, .loc, .internal, etc no están soportados
Cuentas de sistema (p.ej, Administrador) no se sincronizan.
Limite 300.000 objetos. Si son mas podemos ampliarlo llamando a soporte.
Las licencias hay que asignarlas manualmente.
Referencias
Referencias DirSync
http://technet.microsoft.com/en-us/library/jj151800.aspx Gestión de usuarios con WAAD
http://technet.microsoft.com/en-us/library/hh852415.aspx Atributos de AD que se sincronizan
http://support.microsoft.com/kb/2256198
Gracias!!!
Alberto Pascual – MVP en [email protected] | @guruxp
Mario Cortés – MVP en [email protected]