Enterprise-Funktionalitäten von Office 365

Kontrolliert in die Cloud

Einfache Authentifizierung - AD Federation Services

Bei der Authentifizierung der User verfügt der Administrator grundsätzlich über zwei Möglichkeiten. Zum einen kann er für Office 365 ein eigenes Passwort vergeben. In diesem Fall muss der Endanwender mit zwei Passwörtern hantieren - eines für die Authentifizierung im Windows-Umfeld am lokalen PC und eines für die Online-Services in der Cloud. Diese Lösung hat Vor- und Nachteile. Positiv ist beispielsweise, dass zusätzliche Software-Installationen entfallen und die unterschiedlichen Systeme eindeutig durch die Passwörter getrennt sind. Der Nachteil ist, dass der Nutzer sich immer neu anmelden muss, wenn er die Ebene wechselt.

Eine weitaus elegantere Möglichkeit bieten die AD Federation Services (AD FS). Sie fungieren bei Office 365 als Single Sign-On-Dienst, das heißt, sowohl für die lokale Anmeldung an den On Premises Systemen als auch für die Anmeldung bei den Cloud-Diensten genügt ein einziges Passwort. Dabei verbleiben die Benutzerdaten und Kennwörter komplett On Premise.

AD FS ist eine Sammlung von Services mit dem Token Service (STS) als wichtigstem Bestandteil.
AD FS ist eine Sammlung von Services mit dem Token Service (STS) als wichtigstem Bestandteil.
Foto: Microsoft

Technisch wird AD FS über einen so genannten User Principal Name realisiert, der formal einer E-Mail-Adresse ähnelt. Am DNS-Suffix - dem Teil der, hinter dem @Zeichen kommt - wird erkannt, ob der Cloud-Dienst für die Passwort-Verifikation zuständig ist oder der lokale Anwender. Sobald das DNS-Suffix @kunde.de in der Anmeldemaske erscheint, erledigt nicht Microsoft die Passwort-Verifikation, sondern der Server des Kunden. Der wird als DNS-Name im Hintergrund bei der Konfiguration hinterlegt.

Der Authentifizierungsprozess läuft wie folgt ab: Der Microsoft-Dienst fordert den User auf, sein Passwort beim Kundenserver zu authentifizieren. Im Hintergrund stellt der Webbroser ein XML-basiertes Authentifizierungstoken aus, das digital signiert ist. Dieses wird von dem Authentifizierungsserver mit an den Cloud-Service geschickt, und die digitale Signatur dort überprüft. Ist diese in Ordnung und hat gleichzeitig der Kundenserver den User korrekt authentifiziert, dann gibt Office 365 den Zugriff auf die Dienste frei.