Tổng quan về mô hình triển khai Office 365 – Office 365 Identity Model

I) Gii thiu các mô hình trin khai h thng Office 365 cho doanh nghip

Bài viết này ch yếu tp trung gii thiu tng quát mô hình trin khai Office 365 cho doanh nghip. Phân tích nhng li đim, khuyết đim ca tng mô hình đ giúp doanh nghip la chn mô hình phù hp cho mình, bao gm các hng mc như:

  • Gii thiu mô hình trin khai Office 365
  • Tng quan v Azure Active Directory
  • Tng quan v mô hình Cloud Identity
  • Tng quan v mô hình Synchronize Identity (Microsoft khuyến ngh nên s dng mô hình này)
  • Tng quan v mô hình Federated Identity
  • Nhng li đim gia các mô hình trin khai
  • Gii thiu v Windows Azure Active Directory Powershell

II) Gii thiu mô hình trin khai Office 365 (Office 365 Identity Program)

V cơ bn, doanh nghip s có 3 mô hình trin khai Office 365. Và đi vi tng doanh nghip, da trên đc thù kinh doanh s có nhng mô hình trin khai phù hp, bao gm:

1) Cloud Identity: mô hình này người qun tr s khi to người dùng và qun lý h trc tiếp trên Office 365 Admin Portal. Không cn kết ni ti các dch v đnh danh (Directory) nào. Người dùng s đăng nhp và chng thc trc tiếp trên Office 365 đ s dng dch v.

2) Synchronize Identity (Directory & Password Synchronize – Hybrid Identity
with Password Sync): mô hình này cho phép ng
ười qun tr tích hp h tng đnh danh sn có bên dưới (Active Directory On-Premise) lên Office 365. H tr đng b users, groups, contact t bên dưới lên Office 365 đ cho người dùng s dng dch v Office 365. Người dùng s đăng nhp và chng thc trc tiếp trên Office 365 bng tài khon bên dưới ca mình.

3) Federated Identity (Hybrid Identity with SSO): mô hình này là nâng cp ca mô hình Synchronize Identity, ngoài vic cho phép người qun tr đng b người dùng lên Office 365. Federated Identity còn cung cp nhng chính sách bo mt (Security Policies) và tri nghim đăng nhp mt ln cho tt c các dch v (Single Sign On – SSO). Lúc này, người dùng s đăng nhp và chng thc đ
bên dưới h tng (On-premise) thông qua tính năng Active Directory Federation Services (ADFS).

Bên trên tôi ch gii thiu sơ lược các mô hình trin khai, các hng mc tiếp theo s mô t chi tiết hơn tng mô hình. Nhưng trước hết hãy cùng tìm hiu v Azure Active Directory là gì thông qua phn “Tng quan v Azure Active Directory”

II) Tng quan v Windows Azure Active Directory

Windows Azure Active Directory (Azure AD) là mt gii pháp qun lý đnh danh cho các dch v Cloud Services ca Microsoft, và đa phn là các dch v SaaS (Software as a Services) như Office 365, Microsoft Intune. Hiu đơn gin Azure AD ch là mt database cha các thông tin cho vic chng thc (Authentication) s dng cách dch v Cloud Services ca Microsoft. Trong quá trình trin khai cho các khách hàng, h thường hi tôi các câu hi bên dưới:

1) So sánh gia Azure Active Directory và Active Directory (On-Premise) truyn thng – Comparision between Azure AD and Active Directory:

Active Directory On-Premise

Azure Active Directory

Là b gii pháp đnh danh hoàn chnh ca Microsoft. Active Directory này đi din cho các Role dch v như:

  • Active Directory Certicates Services (ADCS)
  • Active Directory Directory Services (ADDS)
  • Active Directory Federation Services (ADFS)
  • Active Directory Rights Management Services (AD RMS)
  • Group Policy Infrastructure (GPOs)
Là b gii pháp đnh danh dành cho vic chng thc (Authentication) các dch v Microsoft Online Services (Office 365 là tiêu biu).
 
Nhiu hơn na là các dch v Public Application mà Microsoft h tr như Facebook, Twitter, LinkedIn, SlideShare và dch v theo dng Proxy Application
Phân hoch cu trúc theo OU, Groups, Users, Contact, Group Policy (GPOs) Ch đơn gin cha thông tin users, group, contact. Không có chia theo OU hoc qun lý chính sách GPO
Các máy trm tham gia vào domain và qun lý bi các chính sách ca h thng (Join Domain) Các máy trm không th tham gia domain (Non Join-Domain)
Các máy trm chng thc bng Kerberos và giao tiếp vi nhau trong mt min Domain Chng thc bng giao thc SAML, WS-Federation, and Oauth thông qua HTTP (80), HTTPS (443), h tr tt c thiết b như PC, Laptops, Tablet, Mobile devices

2) Có bao nhiêu phiên bn Windows Azure Active Directory (Azure AD) và các phiên bn này khác nhau như thế nào?

Azure AD có 3 phiên bn là Free, Basic, Premium. Tùy vào nhng phiên bn mà có nhng tính năng khác nhau, có th tham kho ti đường dn sau (https://msdn.microsoft.com/en-us/library/azure/dn532272.aspx)

  • Free Edition: Mc đnh s có sn khi bn s dng các dch Microsoft Cloud Services (Azure) thông qua Subcriptions (tài khon mà bn thuê). Không cn license hay cài đt gì thêm. Cho phép qun lý, đng b người dùng t bên dưới lên theo mô hình Synchronize Identity hoc trin khai gii pháp Federated Identity đ đt được tri nghim SSO, tích hp vi các Publish Application bên ngoài như Facebook, LinkedIn, Twitter, Slideshare
  • Basic Edition: ngoài vic có sn tt c các tính năng ca bn Free Edition, phiên bn Basic còn có thêm tính năng như qun lý Group (Group-based access management), người dùng t reset mt khu cho mình (Self-service password reset), cu hình Azure AD làm proxy chng thc cho các dch v bên dưới (Azure AD Application Proxy for Publish On-premise Web Application)
  • Premium Edition: tích hp tt c các tính năng ca bn Free và Basic, ngoài ra còn có các tính năng cao cp dành cho doanh nghip

Bên dưới là bng so sánh tính năng gia các phiên bn:

Tính năng

Free Edition

Basic Edititon

Premium Edition

Dung lượng lưu tr cho h thng Azure Active Directory – đnh danh (Directory as a Service)

Trên 500,000 đi tượng

Không gii hn

Không gii hn

Qun lý user và group thông qua Windows Azure Powershell

ü

ü

ü

Trang qun lý ng dng tp trung cho tng user (Access Panel Portal)

ü

ü

ü

Người dùng khi to trc tiếp trên Office 365 Portal có th t đng khôi phc password cho mình (Self-Service Password Reset for Cloud Users)

ü

ü

ü

Cam kết dch v sn sàng và đáp ng SLA 99,9%  

ü

ü

H tr trin khai các mô hình đnh danh (Cloud Identity, Synchronize Identity, Federated Identity)

ü

ü

ü

H tr Reporting cơ bn

ü

ü

ü

Tùy biến nn, logo thương hiu cho trang đăng nhp theo doanh nghip  

ü

ü

Tích hp chng thc thông qua Azure AD cho các ng dng bên dưới thông qua tính năng Application Proxy  

ü

ü

H tr Reporting nâng cao da trên tng ng dng ca Office 365    

ü

Người dùng t qun lý group (Self-service group management – Cloud User)    

ü

H tr tính năng t đng đng b password xung h thng AD On-premise bên dưới khi người dùng reset (Password Write-back On-premise)    

ü

H tr chng thc 2 lp (Multi-Factor Authentication) cho các người dùng khi to trên Cloud (mô hình Cloud Identity)    

ü

H tr chng thc 2 lp (Multi-Factor Authentication) cho các người dùng đng b t dưới lên (mô hình Synchornize Identity và Federated Identity)    

ü

H tr tính năng Azure Active Directory Connect Health đ giám sát, phân tích sc khe ca h tng Active Directory bên dưới    

ü

2) Đi vi sn phm Office 365 thì Windows Azure Active Directory s chng thc các dch v nào?

Hình bên trên mô t v Azure AD s chng thc cho các dch v ca Office 365, ngoài ra còn có OneDrive for Business, Power BI, Office Proplus

III) Tng quan v mô hình Cloud Identity

Mô hình Cloud Identity là mô hình đơn gin nht ca Microsoft, cho phép người qun tr có th khi to trc tiếp User, Group, Contact trên Office 365. Các thông tin khi to này s được lưu vào Azure Active Directory database. Nhân viên, người s dng lúc này s đăng nhp, chng thc bng Username và Password trc tiếp trên Office 365.

Mô hình Cloud Identity có nhng li đim (Advantages):

  • Mô hình thích hp cho các doanh nghip khong 10 – 50 user hoc không có trin khai Active Directory On-Premise bên dưới h tng
  • Đơn gin hóa vic trin khai (Simplified Management)
  • Ch khi to, kích hot bn quyn cho người dùng và s dng.
  • Khi to, phân quyn group Email, group SharePoint trc tiếp trên Office 365 mt cách đơn gin.
  • Không cn lo lng nhiu v vic chng thc vì người dùng đăng nhp, chng thc trên Office 365.
  • Người dùng có th t đng khôi phc mt khu mà không cn ti người qun tr (Self-Service Reset Password for Cloud users)

Mô hình Cloud Identity có nhng nhược đim (Disadvantages):

  • Nếu t chc/doanh nghip có h thng Active Directory On-Premise mà không tích hp lên Office 365 thì s phát sinh 2 tài khon s dng cho người dùng đu cui (1 tài khon bên dưới đ đăng nhp vào máy tính tham gia vào min Domain và 1 tài khon s dng dch v Office 365)
  • Do 2 tài khon không hp nht vi nhau mô hình này, vic qun lý chính sách mt khu (Password Policy) s khác nhau

IV) Tng quan v mô hình Synchronize Identity – Hybrid Identity with Password Sync (Microsoft khuyến ngh nên s dng mô hình này)

Mô hình Synchronize Identity là mô hình được Microsoft khuyên dùng, cho phép người qun tr có th tích hp h thng Active Directory bên dưới đ đng User và Password, Group, Contact lên Office 365. Vic đng b này được thc hin thông qua vic s dng mt trong 2 công c đó là:

Các tính năng tiêu biu ca Azure AD Synchronize Services – AD Sync Tool:

  • Vic cài đt đơn gin, không cn reboot li máy tính, không tn thêm chi phí
  • Có th cài riêng mt máy ch
    o hoc tích hp cài trên Domain Controller
  • Đng b tt c các thuc tính ca người dùng (Users) như Title, Department, Mobile Phone, Managed by, Full Name lên Office 365
  • Qun lý chính sách mt khu bên dưới (Password Policy with Group Policy)

Mô hình Synchronize Identity có nhng li đim (Advantages):

  • Mô hình thích hp cho các doanh nghip khong 100 user tr lên hoc có trin khai Active Directory On-Premise bên dưới h tng ca mình
  • Lúc này t chc/doanh nghip có h thng Active Directory On-Premise mà tích hp lên Office 365 thì s dùng chung 1 tài khon s dng cho người dùng đu cui (tài khon bên dưới va s dng đ đăng nhp vào máy tính tham gia vào min Domain và va s dng dch v Office 365)
  • Qun lý chính sách mt khu Group Policy được áp dng cho các người dùng đng b t dưới lên, người dùng thay đi mt khu thì h thng s t đng đng b lên Office 365 (đng nht v username, password)
  • Username và Password đng b lên trên Windows Azure Active Directory. Password lúc này không phi plaintext mà là chui Password Hash. Toàn b d liu đng b lên đu đi bng giao thc HTTPS (443) và mã hóa d liu trước khi truyn.
  • Không cn lo lng nhiu v vic chng thc vì người dùng đăng nhp, chng thc trên Office 365 đi vi mô hình này
  • Người dùng có th t đng khôi phc mt khu trên Office 365 Portal mà không cn ti người qun tr nhưng bt buc phi s dng bn quyn Azure AD Premium Version đ có tính năng Write-back Password Reset.

Mô hình Synchronize Identity có nhng nhược đim (Disadvantages):

  • Phi duy trì liên tc máy ch chy công c AD Sync Tool
  • Người dùng vn phi chng thc 2 ln: 1 ln đăng nhp máy tính, 1 ln đăng nhp s dng dch v
  • Không đt được các tính năng nâng cao v bo mt và chng thc mt ln cho tt c các dch v (SSO Experience) như mô hình Federated Identity

V) Tng quan v mô hình Federated Identity – Hybrid Identity with SSO


Mô hình Federated Identity là mô hình được Microsoft cung cp nhm đáp ng các yêu cu kht khe v tri nghim cũng như qun lý chính sách truy cp dch v Office 365 đi vi tng người dùng. Vi mô hình Federated Identity, đ trin khai mô hình này, doanh nghip có th la chn mt trong 2 cách sau:

1) S dng role Active Directory Federation Services (ADFS) làm Identity Provider trong h tng Active Directory ca mình

2) S dng các Third-Party Identity Provider như: PingFederate® 7.2, Centrify, OneLogin, SecureAuth IdP 7.2.0

Thường thy doanh nghip s dng luôn tính năng ADFS trong Active Directory làm đi din Office 365 Identity Provider cho vic chng thc, lúc này yêu cu doanh nghip phi trin khai 4 máy ch (2 máy ch ADFS cho chng thc Internal Access, 2 máy ch ADFS Proxy cho External Access). Hoc là trin khai 2 máy ch ADFS, ADFS Proxy nhưng da trên nn tng o hóa Virtualization (Hyper-V Clustering, VMware High Availability).

Khi t chc doanh nghip s dng mô hình ADFS, s có các tính năng như:

  • Tri nghim chng thc mt ln (Single Sign On – SSO Experience)
  • H tr tt cho OneDrive for Business Client, t đng tích hp tài khon vào Microsoft Office Proplus bên dưới đ lưu tài liu lên OneDrive for Business ca cá nhân
  • Block all extranet client access to Office 365 – Chính sách khóa tt c nhng truy cp bên ngoài s dng Office 365
  • Block all extranet client access to Office 365, except for devices accessing Exchange Online for Exchange Active Sync – Chính sách khóa tt c nhng truy cp bên ngoài s dng Office 365 ngoi tr giao thc ExchangeActive Sync
  • Block all external access to Office 365 except for browser-based applications such as Outlook Web Access or SharePoint Online – Chính sách khóa tt c nhng truy cp bên ngoài s dng Office 365 ngoi tr truy cp bng Web như Outlook Web App hoc SharePoint Online
  • Block all external access to Office 365 for members of designated Active Directory groups – Chính sách khóa tt c nhng truy cp bên ngoài s dng Office 365 ngoi tr mt s người dùng trong Group c th mà người qun tr đnh nghĩa
  • Block only external Outlook clients – Chính sách khóa tt c nhng truy cp Outlook Client t bên ngoài vào

Mô hình Federated Identity có nhng li đim (Advantages):

  • Mô hình thích hp cho các doanh nghip có các chính sách kht khe v qun lý vic truy cp Office 365. Đt được các tính năng nâng cao v bo mt và chng thc mt ln cho tt c các dch v
  • Lúc này t chc/doanh nghip có h thng Active Directory On-Premise vn phi tích hp lên Office 365 thông qua Azure AD Sync Tool
  • Qun lý chính sách mt khu Group Policy được áp dng cho các người dùng đng b t dưới lên, người dùng thay đi mt khu thì h thng s t đng đng b lên Office 365 (đng nht v username, password)
  • Password đng b lúc này không phi plaintext mà là chui Password Hash. Toàn b d liu đng b lên đu đi bng giao thc HTTPS (443) và mã hóa d liu trước khi truyn.
  • Người dùng có th t đng khôi phc mt khu trên Office 365 Portal mà không cn ti người qun tr nhưng bt buc phi s dng bn quyn Azure AD Premium Version đ có tính năng Write-back Password Reset.

Mô hình Federated Identity có nhng nhược đim (Disadvantages):

  • Tăng ti vn hành cho người qun tr (Increase workload – OPEX). Người qun tr phi đm bo các máy ch AD Sync Tool, ADFS, ADFS Proxy phi hot đng liên tc
  • Tn chi phí đu tư license Windows cho các máy ch chy ADFS, ADFS Proxy (Software Licensing)
  • Yêu cu phi hoch đnh phn cng và h tng mng cho phù hp vi t chc đó (Sizing Hardware & Network Bandwidth)
  • Vic chng thc ca người dùng lúc này là chng thc bên dưới thông qua máy ch ADFS, ADFS Proxy
  • Username, contact, group s được đng b lên. Nhưng password s không đng b lên, do đó khi xy ra s c người qun tr phi gõ thêm lnh đ đng b password lên và chuyn domain ca t chc mình đang s dng sang cơ chế Synchronized Identity

VI) Đánh giá gia các mô hình trin khai

Sau khi mô t các mô hình trin khai Office 365 bên trên, doanh nghip và bn đc có th la chn mô hình phù hp cho t chc ca mình khi có nhu cu trin khai Office 365. Theo chia s cá nhân ca tôi, thì mô hình:

  • Cloud Identity: dành cho các công t nh l t 50 người dùng tr xung và không có h thng Active Directory. Vì lúc này chúng ta s gim được thi gian cho các vn đ Help Desk như Reset li mt khu khi nhân viên yêu cu, nhân viên có th t reset thông qua Email (Alternative Email), mã code đin thoi (Mobile Number), các câu hi (Question). Nht là các nhân viên thường xuyên ra ngoài như Sale
  • Synchronize Identity: dành cho các công t trung bình (SMB – Small Business) hoc là có h thng Active Directory. Vì lúc này chúng ta s tn dng được tài khon AD ca người dùng bên dưới và tích hp lên Office 365. Tránh được vic phát sinh 2 tài khon mô hình Cloud Identity, ngoài ra vn qun lý chính sách mt khu theo tuân th ca t chc. Đi vi các nhân viên thường xuyên ra ngoài như Sale thì lúc này chúng ta nên to các người dùng đó trên Office 365 Portal (User In Cloud)
  • Federated Identity: đa phn theo nhu cu khách hàng mi trin khai mô hình này, thường thì đ xut cho khách hàng s dng mô hình Synchronize Identity đ tránh ri ro qun tr các máy ch ADFS, ADFS Proxy.

Các bài viết sp ti s đi chi tiết hơn v cách cu hình cho tng mô hình.


Comments

comments

Leave a Reply

Your email address will not be published. Required fields are marked *

− 2 = 4

LinkedIn Auto Publish Powered By : XYZScripts.com