Auf der diesjährigen CloudConf.de Konferenz habe ich einen Vortrag über die neuen Compliance Features in den neuen Office 2013 Produkten gehalten.

Nun werde ich hierfür einige Anleitungen zur Einrichtung und Nutzung beschreiben. Dazu habe ich mir folgende Kapitel überlegt.

  • Was ist Windows AZURE Active Directory
  • Einrichten von Windows AZURE Active Directory
  • Aktivieren der IRM Funktion
  • Bestellen eines IRM fähigen Office 365 Plans
  • Einrichten von SharePoint 2013 für Windows AZURE Active Directory IRM
  • Konfigurieren und Nutzen von SharePoint 2013 für Windows AZURE Active Directory IRM
  • Einrichten von Exchange 2013 für Windows AZURE Active Directory IRM
  • Konfigurieren und Nutzen von Exchange 2013 für Windows AZURE Active Directory IRM
  • tbd

 

Was ist Windows AZURE Active Directory?

Microsoft beschreibt den Dienst mit folgenden Worten:
“Windows Azure Active Directory (Windows Azure AD oder WAAD) ist ein moderner REST-basierter Dienst, mit dessen Hilfe Identitätsverwaltung und Zugriffssteuerung für Software-as-a-Service Anwendungen (SaaS) möglich sind. Windows Azure AD lässt sich problemlos in lokale AD-Bereitstellungen und Identitätsanbieter von Fremdherstellern integrieren.

Sie können Windows Azure AD-Anwendungen (Apps) für Ihre eigene Organisation und für andere entwickeln. Für andere Organisationen entwickelte Apps werden über das Microsoft Seller Dashboard registriert und veröffentlicht.” *1
Windows Azure Active Directory (Windows Azure AD) ist ein moderner REST-basierter Dienst, mit dessen Hilfe Identitätsverwaltung und Zugriffssteuerung für Software-as-a-Service Anwendungen (SaaS) möglich sind. Windows Azure AD lässt sich problemlos in lokale AD-Bereitstellungen und Identitätsanbieter von Fremdherstellern integrieren. Weitere Informationen

Sie können Windows Azure AD-Anwendungen (Apps) für Ihre eigene Organisation und für andere entwickeln. Für andere Organisationen entwickelte Apps werden über das Microsoft Seller Dashboard registriert und veröffentlicht.
Windows Azure Active Directory (Windows Azure AD) ist ein moderner REST-basierter Dienst, mit dessen Hilfe Identitätsverwaltung und Zugriffssteuerung für Software-as-a-Service Anwendungen (SaaS) möglich sind. Windows Azure AD lässt sich problemlos in lokale AD-Bereitstellungen und Identitätsanbieter von Fremdherstellern integrieren. Weitere Informationen

Sie können Windows Azure AD-Anwendungen (Apps) für Ihre eigene Organisation und für andere entwickeln. Für andere Organisationen entwickelte Apps werden über das Microsoft Seller Dashboard registriert und veröffentlicht.

Angefangen hat die Nutzung des WAAD relativ still mit der Einrichtung von unter anderem der Office 365 Benutzerkonten in der Domäne “onmicrosoft.com”. Schon hier wurde der Dienst WAAD genutzt. Microsoft-Clouddienste, wie z. B. Windows Intune, Dynamics CRM Online und Office 365, sind heute von den Funktionen abhängig, die von Windows Azure Active Directory bereitgestellt werden. Diese Funktionen umfassen einen cloudbasierten Speicher für Verzeichnisdaten sowie ein Basisset von Identitätsdiensten, wie Verfahren für die Benutzeranmeldung, Authentifizierungs- und Verbunddienste. Ebenfalls ist mit WAAD die Konfiguration für die einmalige Anmeldung (Single Sign On) mit verschiedenen Verzeichnisdiensten wie Facebook, Twitter oder auch andere Active Directory Umgebungen möglich.

Seit Anfang Dezember wird nun auch die Förderation mit Windows Server Active Directory möglich. Das Windows Azure Management Portal ist nun mit WAAD integriert und ermöglicht nun auch das Nutzen der Windows Azure Dienste mit lokalen Active Directory Benutzern. Je nach Konfiguration der eigenen Richtlinien, ist nun zum Beispiel auch die Möglichkeit einer SmartCard Anmeldung möglich. *2

Ohne die Möglichkeiten des Single-Sign-On oder der Active Directory Föderation haben bisher Entwickler und Administratoren häufig nur die Möglichkeiten einer verwalteten Authentifizierung über Multiple Authorisierungstechnologien gehabt. In der Webentwicklung kann man häufig auf zentrale Anbieter für oAuth Provider zurückgreifen, diese bieten aber keine Anbindung über WAAD an. Die einzige Möglichkeit ist hier mit einer LiveID zu arbeiten, welche im WAAD nicht nutzbar ist. Zudem ist auch die Verwaltung verschiedener zentraler oAuth Provider auch nicht optimal.

Das folgende Bild (Quelle:
*3) zeigt eine Beispielhafte Verkettung von Identitäten und Applikationen ohne zentrale Verwaltung der Identitäten und Authorisierungen im heutigen Web.

Doch gerade, wenn man sich innerhalb der EU oder in Deutschland sich den Datenschutzgesetzen (BDSG §9) verpflichtet fühlt, muss man die Zugriffe der Identitäten auf die Daten kontrollieren und eigentlich sogar dokumentieren. Sie als Leser und Betrachter dieses Schaubilds werden mir sicher zustimmen, dass diese verpflichtende Verwaltung so nicht mehr mit einfachen Mitteln möglich ist und aufgrund der Komplexität sich schnell Fehler einschleichen können.

Genau hier soll das WAAD als zentral bereitgestellter Dienst in der Cloud unterstützen, wie das folgende Bild (Quelle:
*3) darstellt.

Die Verwaltung verschiedener Identitäten kann weiterhin innerhalb der gewohnten Umgebung stattfinden. Doch durch die standardisierte Schnittstelle des Dienstes WAAD können die Identitäten fast grenzenlos auf die verschiedensten Applikationen und Datenquellen zugreifen. Auf der Webseite “Windows Azure AD Solutions For Developers” und “Integrate your apps with Windows Azure AD” werden Integrationsbeispiele und Weiterbildungsinhalte zur Umsetzung angeboten.

Man sollte auch die doch sehr beeindruckenden Zahlen nicht vergessen und diese dann mit der entsprechenden Infrastruktur vergleichen. Im November (*4)wurden folgende Zahlen der derzeitigen Nutzung innerhalb der im Jahre 2010 bereitgestellten Windows Azure Plattform Authentifzierung bekannt gegeben:

  • 200 Milliarden Authentifizierungen bei
  • 50 Millionen aktiven Benutzerkonten in
  • 420 Tausend Domänen

So kann zusammenfassend gesagt werden, Microsoft Windows AZURE Active Directory bietet folgende Optionen (siehe auch *5)an:

  • Integration in das eigene lokale Active Directory (keine “Herausgabe” von internen Benutzerkonten an andere Provider)
  • Bereitstellen von Zugriffssteuerung
    für eigene Anwendungen
  • Erstellen sozialer Verbindungen innerhalb des gesamten Unternehmens (hier wird die REST Schnittstelle angeboten)
  • Übergreifende Bereitstellung der einmaligen Anmeldung (SSO) für Cloud-Anwendungen (z.B. Facebook, Microsoft Online Services und andere)

 

Der nächste Teil “Einrichten von Windows AZURE Active Directory” folgt kurzfristig

Gruss
Michael

 

Quellenangabe:

*1
Integrieren mit Windows Azure Active Directory

*2
Windows Azure unterstützt jetzt Federation mit einem Windows Server Active Directory
Integrieren mit Windows Azure Active Directory

*3 Reimagining Active Directory for the Social Enterprise (Part 2)

*4
Windows Azure Active Directory Processes 200 Billion Authentications – Connecting People, Data and Devices Around The Globe

*5 Windows Azure Active Directory – Identität

 

Tagged with:

Filed under: InfrastructureOffice 365 GridOffice 365 Preview

Like this post? Subscribe to my RSS feed and get loads more!