Active Directory Syncronization ADFS vs. Password Synch Abstract Η ενοποίηση του Active Directory της επιχείρησης με το Windows Azure Active Directory, περιγράφεται και αναλύεται στο κείμενο που ακολουθεί Vaggelis Kappas MCITP : Office 365 Administrator, MCTS
Table of Contents ADFS vs. Password Synch... 2 Εισαγωγή... 2 Είδη ταυτότητας χρήστη... 2 Ανάγκη ενοποίησης... 3 Active Directory Federation Services και DirSync... 3 Υλοποίηση ADFS... 4 Windows Azure Active Directory Password Sync... 10 Τι είναι... 10 Πως λειτουργεί το Password Synchronization... 11 Ασφάλεια κωδικών πρόσβασης... 11 Υλοποίηση Windows Azure Active Directory Password Sync... 11 ADFS vs. Password Synch... 22 Πλεονεκτήματα ADFS... 22 Μειονεκτήματα ADFS... 23 Πλεονεκτήματα Password Synch... 23 Μειονεκτήματα Password Synch... 23 Επίλογος... 23 Σελ. 1/24
ADFS vs. Password Synch Εισαγωγή Είναι πλέον φανερό πως οι υπηρεσίες υπολογιστικού νέφους, δηλαδή εκείνες που προσφέρονται στο Cloud, κερδίζουν διαρκώς έδαφος και υιοθετούνται όλο και περισσότερο από τις σύγχρονες επιχειρήσεις. Οι εταιρείες χρησιμοποιούν το Public Cloud, όπως για παράδειγμα το Windows Azure, σαν πλατφόρμα φιλοξενίας των εφαρμογών τους αλλά και της υποδομής τους αφού βρίσκουν σε αυτό, την αξιοπιστία και την υψηλή διαθεσιμότητα που τους είναι απαραίτητες. Εκτός όμως από το Public Cloud σαν πλατφόρμα φιλοξενίας, περισσότερο δημοφιλείς είναι οι υπηρεσίες και το software που παρέχονται με την μορφή της συνδρομητικής υπηρεσίας, το λεγόμενο Software as a Service. Τέτοιου είδους υπηρεσίες είναι, ενδεικτικά, οι εξής : Microsoft Office 365 o SharePoint Online o Exchange Online o Lync Online Microsoft CRM Online Windows Intune Salesforce Για την πρόσβαση στις επιχειρηματικές εφαρμογές που φιλοξενούνται στο Cloud αλλά και στις υπηρεσίες που παρέχονται με την μορφή του SaaS, όπως και για τις αντίστοιχες εφαρμογές και τα συστήματα στο εσωτερικό δίκτυο της επιχείρησης, αναγκαία είναι η έκδοση και η χρήση της «ταυτότητας χρήστη» του λεγόμενου User Identity. Είδη ταυτότητας χρήστη Ο μηχανισμός έκδοσης «ταυτότητας χρήστη» στο εσωτερικό δίκτυο μιας επιχείρησης είναι το Active Directory, που εκτός των άλλων θεσπίζει και επιβάλλει την πολιτική ασφάλειας στην πρόσβαση της πληροφορίας, σύμφωνα με τις ανάγκες. Στην περίπτωση των εφαρμογών που φιλοξενούνται στο Windows Azure, αλλά και για όλες τις Microsoft Online υπηρεσίες όπως το Office 365, Windows Intune, CRM online κ.λ.π., τις απαραίτητες «ταυτότητες χρήστη» τις εκδίδει το Windows Azure Active Directory. Επομένως γίνεται φανερό ότι οι ταυτότητες χρήστη είναι δύο ειδών, εκείνες που εκδίδονται και ισχύουν στο εσωτερικό δίκτυο της επιχείρησης, On-Premises Identities, και εκείνες που εκδίδονται και ισχύουν για την πρόσβαση στις Online εφαρμογές του Cloud, Cloud Identities. Σελ. 2/24
Ανάγκη ενοποίησης Οι σύγχρονες επιχειρήσεις, θέλουν να εκμεταλλευτούν την δυναμική που τους παρέχουν οι Software as a Service υπηρεσίες αλλά και οι υβριδικού τύπου υποδομές, που στην ουσία είναι η φιλοξενία τμήματος της υποδομής της επιχείρησης στο Public Cloud, χωρίς όμως να κάνουν παραχωρήσεις στην ασφάλεια των δεδομένων και της πρόσβασης στην πληροφορία. Υπάρχει δηλαδή η ανάγκη ενοποίησης του μηχανισμού έκδοσης ταυτότητας χρήστη της On- Premises υποδομής, του Active Directory, με εκείνης του Cloud, με το Windows Azure Active Directory. Σε αυτήν την ενοποιημένη, υβριδική υποδομή οι ταυτότητες χρήστη που έχουν οι χειριστές, εκδίδονται και ισχύουν τόσο για την πρόσβαση στις υπηρεσίες στο εσωτερικό της επιχείρησης όσο και σε εκείνες του Cloud. Οι ταυτότητες χρήστη στην περίπτωση αυτή λέγονται Federated Identities, ενώ ο μηχανισμός που επιτρέπει την πρόσβαση σε όλες τις υπηρεσίες με μία ταυτότητα χρήστη, λέγεται Single Sign On. Για την υλοποίηση ενός τέτοιου μηχανισμού, Single Sign On, την έκδοση και κυρίως την διαχείριση των Federated Identities, θα εξετάσουμε δύο εναλλακτικές λύσεις. Η μία περιλαμβάνει την λειτουργία υποδομής ενοποίησης και συγχρονισμού, Active Directory Federation Services και DirSync, ενώ η άλλη βασίζεται στο συγχρονισμό των κωδικών πρόσβασης των χειριστών και είναι η μέθοδος του Password synch. Active Directory Federation Services και DirSync Η υλοποίηση του Single Sign On, επιτρέπει την πρόσβαση στις εφαρμογές και τις υπηρεσίες μιας υβριδικής υποδομής (Hybrid), όπως είναι το email (Exchange) ή το intranet/extranet (SharePoint), μέσω μιας ταυτότητας χρήστη. Σελ. 3/24
Προϋποθέτει όμως, την λειτουργία μηχανισμού ενοποίησης και συγχρονισμού μέσω των υπηρεσιών Active Directory Federation Services (ADFS) και του Windows Azure Active Directory Sync. Επειδή η πρόσβαση των χειριστών στις απαραίτητες επιχειρηματικές υπηρεσίες, γίνεται μέσω των μοναδικών ταυτοτήτων χρήστη, είναι επόμενο πως η υποδομή που προσφέρει την ταυτοποίηση (SSO), η υποδομή δηλαδή του ADFS, θα πρέπει να φιλοξενείται σε συστήματα υψηλής διαθεσιμότητας και συνεχούς λειτουργίας. Έτσι, η ανάπτυξη των υπηρεσιών ταυτοποίησης και συγχρονισμού πρέπει να γίνεται σε συστοιχίες συστημάτων (Servers) που προσφέρουν υψηλή διαθεσιμότητα (Clusters), ενώ θα πρέπει να εξασφαλίζεται και η πρόσβαση των συστοιχιών αυτών στο Internet με αξιόπιστα κυκλώματα. Οι υπηρεσίες ταυτοποίησης που είναι απαραίτητες είναι οι εξής : Active Directory Domain Services (AD DS) Active Directory Federation Services (AD FS) και Active Directory Federation Services Proxy Directory synchronization services Η λειτουργία αυτών των υπηρεσιών και μάλιστα σε «υψηλή διαθεσιμότητα» προσθέτει μία εκτεταμένη υποδομή με Servers, συνδέσεις και υποστήριξη στην υποδομή μιας επιχείρησης πράγμα που οι σημερινές επιχειρήσεις θα ήθελαν να μετριάσουν, γι αυτό όλο και συχνότερα επιλέγουν το Windows Azure και τις υπηρεσίες Infrastructure as a Service που αυτό προσφέρει για να φιλοξενήσουν τέτοιου είδους υποδομές. Υλοποίηση ADFS Περιγραφή Η εταιρεία που θα εξετάσουμε στο παρόν άρθρο, ονομάζεται Support 22 ΕΠΕ και διαθέτει το Domain Name, support22.com. Σελ. 4/24
Στα γραφεία αυτής, έχει αναπτυχθεί υποδομή Active Directory καθώς και διακίνησης ηλεκτρονικής αλληλογραφίας. Η Support 22 ΕΠΕ, εντάσσοντας όλο και περισσότερους απομακρυσμένους εργαζόμενους στο δυναμικό της, θέλει να χρησιμοποιήσει τις υπηρεσίες του Microsoft Office 365 για να προσφέρει υπηρεσίες ηλεκτρονικού ταχυδρομείου, πλατφόρμα συνεργασίας και αποθήκευσης εγγράφων καθώς και σύστημα ανταλλαγής άμεσων μηνυμάτων και τηλεδιασκέψεων, τόσο για τους απομακρυσμένους εργαζόμενους όσο και για εκείνους που εργάζονται στα γραφεία της. Οι παραπάνω υπηρεσίες, πρέπει να λειτουργούν σε πλήρη αρμονία και ενοποίηση με την ήδη υπάρχουσα υποδομή της, ενώ για την πρόσβαση στην ενοποιημένη υποδομή θα είναι απαραίτητη μία ταυτότητα χρήστη που θα εκδίδεται, θα συντηρείται και θα ανακαλείται μέσω του Active Directory στο εσωτερικό της δίκτυο. Σχέδιο Ο σχεδιασμός μιας τέτοιας υποδομής εξαρτάται από τον συνολικό αριθμό των χρηστών και είναι αντικείμενο μελέτης με πολλούς παράγοντες που πρέπει να συνυπολογιστούν όπως ο αριθμός των Servers που θα εξυπηρετήσουν την κάθε υπηρεσία (ADFS, ADFS Proxy, WAAD Sync) η τοποθέτηση τους στο δίκτυο, τα δικαιώματα πρόσβασης κ.λ.π. και δεν αποτελεί αντικείμενο που θα αναπτυχθεί με το παρόν άρθρο. Λεπτομέρειες και πληροφορίες σχετικά με τον σχεδιασμό μιάς τέτοιας υποδομής θα βρείτε εδώ Plan for and deploy AD FS for use with single sign-on Στο παρόν άρθρο θα προσεγγίσουμε το Single Sign On, υλοποιώντας μια απλούστερη υποδομή όπως φαίνεται στο παρακάτω σχέδιο Σελ. 5/24
Διάταξη Η υποδομή αναπτύσσεται, με βάση το υβριδικό μοντέλο (Hybrid) και εκμεταλλεύεται την αξιοπιστία και την υψηλή διαθεσιμότητα του Windows Azure IaaS για την φιλοξενία όλων των απαραίτητων υπηρεσιών για την ταυτοποίηση των χρηστών. Το τμήμα της υποδομής που φιλοξενείται στο Windows Azure IaaS, συνδέεται με ασφάλεια και κρυπτογράφηση με την υπάρχουσα υποδομή στα γραφεία, μέσω καναλιού Site-to-Site VPN Για την υλοποίηση της υβριδικής υποδομής χρησιμοποιήσαμε τον αναλυτικό οδηγό που θα βρείτε εδώ Quick Start Guide for Integrating a Single Forest On-Premises Active Directory with Windows Azure AD Ο οδηγός συμπεριλαμβάνει και το ανάλογο PowerShell script που βοηθάει εξαιρετικά στην ολοκλήρωση όλων των απαραίτητων βημάτων για την υλοποίηση. Έτσι τρέχοντας το script στον ADFS Server, έχουμε την παρακάτω εικόνα Σελ. 6/24
Ακολουθώντας τα προτεινόμενα βήματα, ολοκληρώνεται η εγκατάσταση με επιτυχία. Οι μοναδικές ταυτότητες που χρειάζονται οι χρήστες για την πρόσβαση στις επιχειρηματικές υπηρεσίες εκδίδονται μέσω του Active Directory και συγχρονίζονται στο Microsoft Office 365, όπως φαίνεται στην παρακάτω εικόνα Σελ. 7/24
Για την πρόσβαση τους οι χρήστες, χρησιμοποιούν τις ταυτότητες τους, που είναι της μορφής χρήστης@support22.com Πηγαίνοντας λοιπόν στο portal.microsoftonline.com και βάζοντας την ταυτότητα που είπαμε παραπάνω Σελ. 8/24
Το σύστημα αναγνωρίζει ότι η ταυτότητα που δόθηκε ανήκει σε εταιρικό λογαριασμό και προωθεί το αίτημα για πιστοποίηση στην ADFS υποδομή Σελ. 9/24
Η υποδομή πιστοποιεί την ταυτότητα του χρήστη και έτσι αυτό αποκτά πρόσβαση στις απαραίτητες υπηρεσίες Πρέπει να τονίσουμε, ότι εκτός από την έκδοση της ταυτότητας χρήστη, το Active Directory στο εσωτερικό δίκτυο αναλαμβάνει και την διαχείριση της όπως αλλαγή password κ.λ.π. καθώς και την ανάκληση της. Έτσι στην περίπτωση που ένας χρήστης αποχωρήσει από την εταιρεία, ο διαχειριστής θα απενεργοποιήσει την ταυτότητα του και η πρόσβαση που είχε στις υπηρεσίες της εταιρείας θα ανακληθεί. Windows Azure Active Directory Password Sync Για την ενοποίηση του μηχανισμού έκδοσης ταυτότητας χρήστη της On-Premises υποδομής, του Active Directory, με εκείνης του Cloud, με το Windows Azure Active Directory, εκτός της ανάπτυξης της υποδομής ενοποίησης και συγχρονισμού (ADFS) που αναλύσαμε παραπάνω υπάρχει και μία ακόμη εναλλακτική λύση που δεν είναι άλλη από την λειτουργία του Windows Azure Active Directory Sync Tool αυτή την φορά όμως με ενεργοποιημένη την υποστήριξη Password Synchronization, τον συγχρονισμό δηλαδή των κωδικών πρόσβασης. Τι είναι Το Windows Azure Active Directory Sync Tool είναι το εργαλείο εκείνο που επιτρέπει τον συγχρονισμό των ταυτοτήτων χρήστη του Active Directory (on-premises identities) με τις Σελ. 10/24
ταυτότητες χρήστη του Windows Azure Active Directory (cloud identities) για την πρόσβαση στις υπηρεσίες του Cloud. Έτσι αφού ενεργοποιήσουμε τον μηχανισμό συγχρονισμού, εγκαταστήσουμε και εκτελέσουμε το Windows Azure Active Directory Sync Tool στο εσωτερικό δίκτυο της επιχείρησης, σύμφωνα με τις προτεινόμενες βέλτιστες πρακτικές, αυτό θα μας δημιουργήσει τις απαραίτητες ταυτότητες χρήστη στο Windows Azure Active Directory για την πρόσβαση στις υπηρεσίες του Cloud. Σε αυτό το εργαλείο, η λειτουργία του οποίου είναι απαραίτητη και στην περίπτωση του ADFS, ήρθε πρόσφατα να προστεθεί και η δυνατότητα του συγχρονισμού των κωδικών πρόσβασης, Password Synchronization. Πως λειτουργεί το Password Synchronization Ο συγχρονισμός των κωδικών πρόσβασης είναι μία επιπλέον δυνατότητα του Windows Azure Active Directory Sync Tool και λειτουργεί ως εξής: Για την κάθε ταυτότητα χρήστη, εξάγεται μία κωδικοποιημένη ακολουθία χαρακτήρων, ένα κρυπτογράφημα (hash), που αντιστοιχεί στον κωδικό πρόσβασης. Αυτό το κρυπτογράφημα «ανεβαίνει» και αποθηκεύεται στο Windows Azure Active Directory σαν κωδικός πρόσβασης της ταυτότητας χρήστη που συγχρονίζεται. Ασφάλεια κωδικών πρόσβασης Από την περιγραφή του τρόπου λειτουργίας της δυνατότητας Password Synchronization, έγινε φανερό ότι στο Windows Azure Active Directory δεν αποθηκεύεται απ ευθείας ο κωδικός πρόσβασης (plain text) αλλά ένα κρυπτογράφημα του. Είναι σημαντικό να τονίσουμε ότι με αυτό το κρυπτογράφημα (hash) δεν γίνεται να αποκτήσουμε πρόσβαση στις υπηρεσίες της On-Premises υποδομής. Υλοποίηση Windows Azure Active Directory Password Sync Περιγραφή Η εταιρεία που θα εξετάσουμε στην περίπτωση του Password Synchronization, ονομάζεται MyHome PC ΕΠΕ και διαθέτει το Domain Name, myhomepc.gr. Η εταιρεία διαθέτει Server στον οποίο είναι εγκατεστημένη υποδομή Active Directory στην οποία συντηρούνται και φυλάσσονται οι ταυτότητες των χρηστών. Η MyHome PC ΕΠΕ θέλει να χρησιμοποιήσει τι υπηρεσίες του Microsoft Office 365 για να καλύψει τις ανάγκες της σχετικά με το ηλεκτρονικό της ταχυδρομείο, την πλατφόρμα συνεργασίας και αποθήκευσης εγγράφων, την ανταλλαγή άμεσων μηνυμάτων και την διενέργεια τηλεδιασκέψεων. Σε αυτές τις υπηρεσίες η πρόσβαση πρέπει να γίνεται με τις ταυτότητες χρήστη που υπάρχουν ήδη για την πρόσβαση στο εσωτερικό δίκτυο της επιχείρησης και είναι γνωστές στους χειριστές της, ενώ δεν υπάρχει απαίτηση ανάπτυξης υβριδικής υποδομής τώρα ή στο μέλλον. Σελ. 11/24
Σχέδιο Η εγκατάσταση της MyHome PC ΕΠΕ, αναπτύσσεται σύμφωνα με το σχέδιο Διάταξη H υπάρχουσα υποδομή της MyHome PC ΕΠΕ, επεκτείνεται με την προσθήκη ενός νέου server,o οποίος θα λειτουργεί με την φιλοσοφία της ολοκληρωμένης συσκευής (appliance) και θα φιλοξενεί το Windows Azure Active Directory Sync Tool με ενεργοποιημένη την υποστήριξη Password Synchronization. Λεπτομέρειες σχετικά με τις προδιαγραφές αυτού του Server μπορείτε να βρείτε εδώ Prepare for directory synchronization Η προετοιμασία του νέου server που θα φιλοξενήσει το Windows Azure Active Directory Sync Tool, περιλαμβάνει την εγκατάσταση του λειτουργικού και το join στο domain. Όταν ολοκληρωθεί η προετοιμασία του server, ενεργοποιούμε τον μηχανισμό συγχρονισμού, που από αρχικά είναι απενεργοποιημένος, μέσα από το management portal Σελ. 12/24
Η διαδικασία ενεργοποίησης του συγχρονισμού είναι χρονοβόρα και όταν ολοκληρωθεί έχουμε την παρακάτω εικόνα Το επόμενο βήμα που πρέπει να κάνουμε ακολουθώντας την διαδικασία είναι να κατεβάσουμε και να εγκαταστήσουμε το Windows Azure Active Directory Sync Tool, μέσα από το portal. Σελ. 13/24
Η εγκατάσταση του εργαλείου είναι απλή και ξεκινάει με διπλό κλικ Ενώ ολοκληρώνεται αφού εγκατασταθούν όλα τα απαραίτητα προγράμματα και οι εφαρμογές Σελ. 14/24
Το επόμενο βήμα μετά την εγκατάσταση της εφαρμογής, είναι να τρέξουμε τον οδηγό που θα μας βοηθήσει στην ρύθμιση της Σελ. 15/24
Βάζουμε τα στοιχεία του διαχειριστή της συνδρομής Μετά τα στοιχεία ενός από τους διαχειριστές του δικτύου Σελ. 16/24
Εάν θέλουμε να υλοποιήσουμε υβριδική (hybrid) υποδομή κάνουμε την σχετική επιλογή Σελ. 17/24
Στην συγκεκριμένη περίπτωση δεν επιλέξαμε την υβριδική εγκατάσταση αφού δεν ήταν στις απαιτήσεις τις επιχείρησης. Επιλέξαμε όμως την ενεργοποίηση της δυνατότητας συγχρονισμού των κωδικών πρόσβασης Αφού γίνουν όλες οι απαραίτητες επιλογές, ο οδηγός κάνει τις απαραίτητες ρυθμίσεις και στο τέλος επιλέγουμε να γίνει o συγχρονισμός με το Windows Azure Active Directory Σελ. 18/24
Αφού ολοκληρωθεί ο συγχρονισμός μπορούμε να δούμε τις συγχρονισμένες ταυτότητες χρήστη μέσα από το management portal Σελ. 19/24
Για να έχουν την δυνατότητα πρόσβασης οι νέοι χρήστες στις υπηρεσίες του Microsoft Office 365, θα πρέπει να τους εκχωρήσουμε τις σχετικές άδειες χρήστη Σελ. 20/24
Μετά την εκχώρηση των αδειών χρήσης, οι χειριστές μπορούν να συνδεθούν στις υπηρεσίες του Microsoft Office 365 με την ταυτότητα χρήστη που έχουν στην On-Premises υποδομή της επιχείρησης Και να αρχίσουν να χρησιμοποιούν τις παρεχόμενες υπηρεσίες του Cloud Σελ. 21/24
ADFS vs. Password Synch Περιγράψαμε αναλυτικά τις δύο εναλλακτικές λύσεις με τις οποίες γίνεται εφικτή η πρόσβαση τόσο στις υπηρεσίες που φιλοξενούνται στο εσωτερικό δίκτυο της επιχείρησης (On-Premises) όσο και σε εκείνες που παρέχονται από το υπολογιστικό νέφος (Cloud) με μία ταυτότητα χρήστη, η οποία είναι στις περισσότερες περιπτώσεις ένας συνδυασμός ονόματος χρήστη (username) και κωδικού πρόσβασης (password). Οι δύο αυτές εναλλακτικές λύσεις ενώ παρέχουν την ίδια λειτουργικότητα, έχουν σημαντικές διαφορές τις οποίες θα εξετάσουμε στις παραγράφους που ακολουθούν Πλεονεκτήματα ADFS Single Sign On. Το σημαντικότερο ίσως πλεονέκτημα που έχει η υλοποίησης μιάς υποδομής Active Directory Federation Services, είναι ότι προσφέρει πραγματικά την δυνατότητα Single Sign On. Ο κάθε χειριστής συνδέεται στο υπολογιστή του χρησιμοποιώντας την ταυτότητα χρήστη που διαθέτει και στον υπολογιστή αποθηκεύεται ένα SSO token, δηλαδή ένα αποδεικτικό που πιστοποιεί την επιτυχή ταυτοποίηση. Αυτό το αποδεικτικό θα το «δείξει» ο υπολογιστής του χειριστή σε κάθε υπηρεσία στην οποία αυτός θα έχει πρόσβαση είτε αυτή βρίσκεται στο εσωτερικό δίκτυο είτε στο Cloud. Οπότε ο χειριστής θα βάλει μόνο μία φορά τα στοιχεία του. Σελ. 22/24
Μεγαλύτερος έλεγχος στην πρόσβαση. Η ταυτοποίηση των χειριστών γίνεται στους Servers της επιχείρησης που υλοποιούν τις υπηρεσίες ADFS. Αυτό επιτρέπει στους διαχειριστές της υποδομής, μεγαλύτερο έλεγχο της πρόσβασης αφού μπορούν να απενεργοποιήσουν ταυτότητες χρήστη, μπορούν να περιορίσουν διευθύνσεις IPs από τις οποίες δέχονται αιτήματα πρόσβασης κ.λ.π. Μειονεκτήματα ADFS Προσθήκη εκτεταμένης υποδομής. Για την απρόσκοπτη λειτουργία των υπηρεσιών Active Directory Federation Services, απαραίτητη είναι η προσθήκη κατάλληλου αριθμού από Servers και συνδέσεων με το Internet έτσι ώστε η υποδομή να είναι συνεχούς λειτουργίας και υψηλής διαθεσιμότητας. Η προσθήκη αυτής της εκτεταμένης υποδομής στην υπάρχουσα υποδομή μιας επιχείρησης αποτελεί το μεγαλύτερο μειονέκτημα της ADFS υλοποίησης. Προμήθεια SSL Certificates. Για την λειτουργία των ADFS υπηρεσιών απαραίτητη είναι η προμήθεια SSL πιστοποιητικών από δημόσιες αρχές έκδοσης πιστοποιητικών όπως είναι GeoTrust, η VeriSign κ.λ.π. δεν μπορούν δηλαδή να χρησιμοποιηθούν Self-Signed πιστοποιητικά. Απαραίτητη είναι και η τακτική ανανέωση αυτών των πιστοποιητικών ώστε να είναι πάντοτε εν ισχύ. Διαχείριση και συντήρηση. Η εκτεταμένη υποδομή που προστίθεται αυξάνει το κόστος διαχείρισης και συντήρησης. Πλεονεκτήματα Password Synch Χρήση ενός μόνο Server. Για την λειτουργία του Windows Azure Active Directory tool με ενεργοποιημένη την υποστήριξη Password Synchronization χρειάζεται ένας μόνο Server, που θα λειτουργεί με την φιλοσοφία της ολοκληρωμένης συσκευής (appliance). Μειονεκτήματα Password Synch Simplified Sign On. O συγχρονισμός των κωδικών πρόσβασης προσφέρει την δυνατότητα σύνδεσης στις υπηρεσίες του Cloud με την ίδια ταυτότητα χρήστη, όμως η ταυτοποίηση θα γίνει από το Windows Azure Active Directory και θα απαιτήσει από τον χρήστη να ξαναδώσει τα στοιχεία του. Επίλογος Στην σειρά των άρθρων ADFS vs. Password Synch παρουσιάστηκαν αναλυτικά οι δύο εναλλακτικές λύσεις με τις οποίες μπορεί να γίνει εφικτή η σύνδεση με μία ταυτότητα χρήστη, στις υπηρεσίες που παρέχει η επιχείρηση είτε αυτές βρίσκονται στο εσωτερικό της δίκτυο είτε φιλοξενούνται στο Cloud και αναπτύχθηκαν τα πλεονεκτήματα και τα μειονεκτήματα της κάθε μιας. Σελ. 23/24
Η κάθε επιχείρηση ανάλογα με τις ανάγκες και τις απαιτήσεις της μπορεί να χρησιμοποιήσει την μία ή την άλλη προσέγγιση και να έχει το επιθυμητό αποτέλεσμα. Σε κάθε περίπτωση υλοποίησης πρέπει να προηγείται αναλυτικός και λεπτομερής σχεδιασμός. Σελ. 24/24