SSO in office365 only omgeving

maandag 13 maart 2017 19:50

Acties:

Topicstarter

Opstelling:

Office 365 omgeving, 5 clients Win10 Pro, 0 on premisse servers

Vraag:
Hoe kan ik/wat heb ik nodig een SSO te bereiken voor alle office 365 applicaties op mijn clients.
Ik wil eigenlijk dat men inlogt als user met de Office365 credentials en dat deze worden overgenomen door Outlook/Skype/Onedrive 4 business/etc

Het is niet de bedoeling externe systemen te koppelen aan deze SSO

Poging 1:
Client toegevoegd op Azure AD, een join niet een Office365 user link => iedereen kan inloggen met hun office365 credentials als gebruiker, geen local account dus echter alle office applicaties blijven wachtwoorden vragen als ze opstarten.

Bij de vraagstelling naar de dienstverlener van waar we dit afnemen kwam het antwoord, dan heb je ADFS nodig.
Echter dit zou gaan om externe systemen te koppelen, dit heb ik niet nodig.

Voor zover ik het begrepen heb zou ik een on premise AD server moeten hebben, deze koppelen aan mijn Azure AD met de Azure AD connect & Pass-Through Authentication activeren.

Kan iemand dit bevestigen? En dienen mijn clients dan op de klassieke manier in het domein te zitten of werkt dit ook nog als het een Azure AD join is?

maandag 13 maart 2017 20:54

Acties:

Razwer

sprankel schreef op maandag 13 maart 2017 @ 19:50:
Voor zover ik het begrepen heb zou ik een on premise AD server moeten hebben, deze koppelen aan mijn Azure AD met de Azure AD connect & Pass-Through Authentication activeren.

Kan iemand dit bevestigen?

Bij dezen

En dienen mijn clients dan op de klassieke manier in het domein te zitten of werkt dit ook nog als het een Azure AD join is?

nee, alleen on-prem. Azure AD werkt alleen SSO als dit gekoppeld is aan on-prem.
https://docs.microsoft.co...ctory-appssoaccess-whatis

Je kan het wel achter een enkele portaal proppen en na een enkele inlog poging van jouw gebruikers kunnen ze daarna SSO naar de rest via https://myapps.microsoft.com

[ Voor 11% gewijzigd door Razwer op 13-03-2017 20:58 ]

Newton's 3rd law of motion. Amateur moraalridder.

dinsdag 14 maart 2017 10:45

Acties:

Razwer

Een toevoeging, om SSO te bewerkstellingen (nadat je on-prem AD en ADFS hebt neergezet) moet je ook nog zorgen dat je Modern Authentiation gaat gebruiken.
Default doet office 365 namelijk basic authentication.
https://support.office.co...1a-462e-a81b-2a13191cf517

Newton's 3rd law of motion. Amateur moraalridder.

dinsdag 14 maart 2017 13:41

Acties:

Neal

Overigens is het geen SSO wat jij wil, maar auto logon....

Single Sign On betekend dat je voor alle applicaties (ook niet MS) met dezelfde crdentials kunt inloggen....

Is een veel gemaakte fout

Aanvulling:
Volgens mij heb je niet eens een on premises AD nodig, maar ben er niet heel erg van op de hoogte...
Zou het raar vinden als dat echt nodig zou moeten zijn, want dan kun je nooit Cloud only hebben, en met mobiele apparaten (laptops bv)....

[ Voor 39% gewijzigd door Neal op 15-03-2017 08:48 ]

woensdag 15 maart 2017 14:37

Acties:

Razwer

Neal schreef op dinsdag 14 maart 2017 @ 13:41:
Overigens is het geen SSO wat jij wil, maar auto logon....

Single Sign On betekend dat je voor alle applicaties (ook niet MS) met dezelfde crdentials kunt inloggen....

Is een veel gemaakte fout

https://www.techopedia.co...n/4106/single-sign-on-sso

Definition - What does Single Sign-On (SSO) mean?

Single sign-on (SSO) is an authentication process that allows a user to access multiple applications with one set of login credentials. SSO is a common procedure in enterprises, where a client accesses multiple resources connected to a local area network (LAN).

SSO advantages include:
Eliminates credential reauthentication and help desk requests; thus, improving productivity.
Streamlines local and remote application and desktop workflow.
Minimizes phishing.
Improves compliance through a centralized database.
Provides detailed user access reporting.

en

With SSO, a user logs in once and gains access to different applications, without the need to re-enter log-in credentials at each application

Wie maakt er nu de fout?

Newton's 3rd law of motion. Amateur moraalridder.

donderdag 16 maart 2017 13:52

Acties:

Neal

Nou ja, dit zinnetje bevestigd wel wat ik zeg: allows a user to access multiple applications with one set of login credentials

donderdag 16 maart 2017 14:29

Acties:

Razwer

without the need to re-enter log-in credentials at each application
Maargoed, lekker constructief allemaal

Newton's 3rd law of motion. Amateur moraalridder.

zaterdag 18 maart 2017 10:05

Acties:

mufana

sprankel schreef op maandag 13 maart 2017 @ 19:50:
Opstelling:

Office 365 omgeving, 5 clients Win10 Pro, 0 on premisse servers

Vraag:
Hoe kan ik/wat heb ik nodig een SSO te bereiken voor alle office 365 applicaties op mijn clients.
Ik wil eigenlijk dat men inlogt als user met de Office365 credentials en dat deze worden overgenomen door Outlook/Skype/Onedrive 4 business/etc

Het is niet de bedoeling externe systemen te koppelen aan deze SSO

Poging 1:
Client toegevoegd op Azure AD, een join niet een Office365 user link => iedereen kan inloggen met hun office365 credentials als gebruiker, geen local account dus echter alle office applicaties blijven wachtwoorden vragen als ze opstarten.

Bij de vraagstelling naar de dienstverlener van waar we dit afnemen kwam het antwoord, dan heb je ADFS nodig.
Echter dit zou gaan om externe systemen te koppelen, dit heb ik niet nodig.

Voor zover ik het begrepen heb zou ik een on premise AD server moeten hebben, deze koppelen aan mijn Azure AD met de Azure AD connect & Pass-Through Authentication activeren.

Kan iemand dit bevestigen? En dienen mijn clients dan op de klassieke manier in het domein te zitten of werkt dit ook nog als het een Azure AD join is?

Ga je ook nog iets met MFA doen?

maandag 20 maart 2017 17:21

Acties:

sprankel

Topicstarter

MFA heb ik al getest maar geeft nog teveel problemen, bovendien is het incompatibel met lokale office apps, heb je een secundair wachtwoord nodig, niets iets waar mijn gebruikers op zitten te wachten. Als ik SSO op gang krijg wil ik het wel nog herbekijken.

Momenteel is het plan een virtuele server op te zetten, DC en de link met Azure AD opzetten en een test uitvoeren.
Afhankelijk of die testcase lukt het kostenplaatje berekenen en kijken of ik daar dan nog een go voor krijg. Overigens geraak ik er niet helemaal aan uit of ik dan client acces licenses nodig heb. Niemand zal een connectie naar die server maken echter onrechtstreeks maken ze er wel gebruik van.

maandag 20 maart 2017 18:58

Acties:

akimosan

DC=Domain Controller of DataCenter (als in lokatie waar je apparatuur hangt?)

In geval van Domain Controller heb je dus een server en zul je de benodigde licenties moeten aanschaffen.
En 1 domain controller is net zoiets als geen domain controller, je zult er eigenlijk altijd 2 nodig hebben

Ben je nu niet extra overhead aan het creëren in de vorm van servers en AD+managed clients terwijl je eigenlijk wilt versimpelen (geen managed clients) en een beetje BYOD introduceren?

MFA+office toepasingen kan prima met appwachtwoorden:
https://support.office.co...1a-4d9c-bcde-2c48e41621c6

Ik zou me dus eens verdiepen in wat je kunt bereiken, daar goede documentatie bij maken en die paar users (veel kunnen het er niet zijn als ik je info tot dusver een beetje lees) van de juiste instructies voorziet.

Vraag

Alle reacties