Um ein Single Sign On mit Office 365 zu ermöglichen werden zu einem Active Directory (AD DS), die Active Directory Federation Services (AD FS) 2.0 und das Office 365 Directory Synchronisation Tool (DirSync) benötigt. In einer Produktionsumgebung sollte dabei der AD FS Teil entsprechend als Farm ausgelegt werden um die Anforderungen an die Diente Verfügbarkeit abzudecken.
Active Directory Domain Services (AD DS)
Ist der zentrale Verzeichnisdienst in dem die Benutzer und Gruppen gepflegt werden. Trotz der Synchronisierung der Benutzer zu Office 365 bleibt das AD DS der führende Verzeichnisdienst und alle Änderungen müssen an dieser Stelle erfolgen eine Änderung im Office 365 ist nicht möglich!
Die Domain die in Verbindung mit dem Office 365 genutzt werden soll, muss sich im Besitz des Kunden befinden und die DNS Einträge müssen erstellt werden können. Alle Benutzer die das SSO mit Office 365 benutzen sollen müssen einen Universal Pricipal Name (UPN) Suffix mit dieser Domäne haben. Mit Domäne ist im Bezug auf Office 365 in diesem Fall immer die Internetdomäne und nicht die Active Directory Domäne gemeint.
Active Directory Federation Services (AD FS) 2.0
Das AD FS wird als SSO Dienst für die Office 365 Infrastruktur benutzt. Im Gegensatz zu herkömmlichen SSO Lösungen verbleiben die Benutzerdaten und Kennwörter im AD DS, es erfolgt eine rein Clams-basierte Authentifizierung. Das Token das der lokale AD FS ausstellt wird an die Office 365 Dienste weiter gereicht und aufgrund dieses Tokens erfolgt die Authentifizierung und Autorisierung für die Office 365 Anwendungen durch den Benutzer.
Directory Synchronisation
Da der AD FS nur zur Authentifizierung und Autorisierung genutzt wird, übernimmt ein speziell angepasstes Tool die Synchronisierung. Dies ist der Directory Syncronisation Dienst (DirSync). Das Tool basiert auf dem Microsoft Identity Lifecyle Manger (ILM) und wurde speziell angepasst. Im 3 stündigen Rhythmus werden die entsprechenden Benutzer, Gruppen und Kontakte und die dazugehörigen Attribute an die Office 365 Infrastruktur übertragen. Es werden jedoch keine Kennwörter in die Cloud übertragen. Diese übertragenen Benutzer sind die Grundlage um die entsprechenden Benutzer für Office 365 zu aktivieren und die Lizenzen zuweisen zu können. Aufgrund dieser Daten werden die Adresslisten für Exchange oder die MySites erstellt. Es handelt sich wie eingangs erwähnt um eine reine einseitige Synchronisierung vom AD DS zum Office 365.
