Wie in meinen Vorträgen auf der ESPC (European SharePoint Conference) in Stockholm und SharePoint Days in München schon erwähnt habe, ist eines meiner Lieblingsbeispiele zur Nutzung von Azure AD B2B die Einrichtung eines Extranet Zugriffs, insbesondere für SharePoint basierte Teamsites.

Dies liegt auch in meiner Projekthistorie, wo ich schon sehr oft in dem Szenario zu tun hatte. Zugern hätte ich eine so einfache Lösung damals einsetzen wollen.

Aber gehen wir nun in das Szenario etwas tiefer….

Die Ausgangssituation ist folgende:

Ein Unternehmen möchte für sogenannte “extern-extern” Mitarbeiter den Zugriff auf interne Ressourcen stark einschränken, aber trotzdem Projektergebnisse in möglichst durch das Unternehmen kontrollierte Umgebungen bereit stellen bzw. bereit stellen lassen.
Der Begriff “extern-extern” definiert sich im Übrigen dadurch, das diese Projektmitarbeiter externe sind, aber auch keine internen Ressourcen erhalten, wie z.B. Firmeneigene Arbeitsgeräte oder Benutzerkonten. Sie sind zeitlich befristet in internen Projekten beteiligt.
Der Ursprung der Azure B2B Anforderungen beruht auf eine international tätige Firma mit mehreren tausend Partnern. Von daher wäre die Bezeichnung “extern-extern” hier ebenfalls gut zutreffend, denn den Partnern gibt man ja auch keine Firmeneigenen Notebooks oder Benutzerkonten aus.

In diesen Fällen wurden häufig gesonderte Netzwerke implementiert und bis zur “Unmöglichkeit” mit Sicherheitsmerkmalen versehen, so das eigentlich an eine einfache Zusammenarbeit bald nicht mehr zu denken war. Nennen wir hier die typischsten Merkmale so einer Umgebung wie “Citrix Gateways”, dedizierte Terminalserverfarmen und RSA Token mit manchmal doppeltem PIN. Für SharePoint basierte Zusammenarbeit war dann auch sehr häufig noch eine zusätzliche dedizierte SharePoint Farm notwendig, die dann zusätzlich in einem eigenem Active Directory gehostet wurde.
Sicher war auf jeden Fall, das die Sicherheitsstufe oft sehr hoch gesetzt wurde, so hoch, das die Projektmitarbeiter kaum untereinander Dokumente austauschen konnten und sich oft andere Verkehrswege gesucht haben.

Aber alles hatten die Lösungen gemeinsam:

  • Extrem hohe Projektkosten zur Implementation
  • Extrem lange Implementierungs- und Bereitstellungszeiten
  • Hohe Kosten der Instandhaltung und Pflege der Umgebungen
  • Garantiert genervte Projektpartner, unabhängig ob intern oder extern (denn die Performance war selten ausreichend)

Nun wollen wir in die Umsetzung gehen.

Zuerst benötigen wir eine Plattform, die folgende Anforderungen unterstützt:

  • geringe Kosten in der Wartung
  • ausreichend Ressourcen für derzeit eine unbekannte Menge an externer Projektmitarbeiter / Partner
  • Absicherung (Security im allgemeinen, Netzwerksicherheit) nach heutigen technischen Standards und einer Aktualisierung dessen
  • verschlüsselte Inhaltsdatenbank (Content Speicher)
  • verschlüsselter Transportweg zwischen einem Client und dem Server (Front End)
  • Möglichst Unterstützung von Inhaltsdatenverschlüsselung mit meinem eigenen Zertifikatsschlüssel
  • Unterstützung beliebiger Zugangskonten
  • dedizierte Verwaltung von Zugangskonten
  • Multi Faktor Authentifizierung bei Bedarf
    • MFA Unterstützung über verschiedene Medien
    • MFA Unterstützung in mehreren Sprachen
  • Self Service Portal für Passwortrücksetzung
  • Genehmigungsverfahren vor Schutz von unberechtigtem Zugriff
  • Berichte über die externen Benutzerkonten bei Zugriffen auf internen Ressourcen

Sicher fallen da dem einen oder anderen noch mehr Katalogeinträge ein, aber ich möchte hier mal den virtuellen Schlussstrich ziehen.

Als Ergebnis liefere ich natürlich die SharePoint Online Plattform in Zusammenarbeit mit den Microsoft Azure Diensten.

Diese sind nun folgenderweise einsetzbar:

Im Azure AD erstelle ich nun eine neue dedizierte Sicherheitsgruppe für diesen use case, also für dieses eine Projekt oder den Partner. In dieser Gruppe werden später alle Benutzerkonten gespeichert und eine Rollenbasierte Administration wesentlich vereinfacht.

Azure_B2B_06

Im SPO besitze ich schon eine Seitensammlung mit der Unterteilung sites/partners.
Unterhalb dieser Adresse erstelle ich nun einen Projektnamen oder Partnernamen.

Azure_B2B_01

Zum Erstellen nutze ich hier die Lösung eines Partners ( die PSC – Portal Systems Consulting GmbH – http://www.sp-prov.com/ – als Beispielhafte Lösung, es gibt hier noch andere Anbieter, welche ähnliche Arbeitsvorgänge durchführen bzw. vorhandene Governance Regeln umsetzen können)

Azure_B2B_07

In diesem Beispiel wird die Adventsseite erstellt und zugleich die RMS Konfiguration aktiviert, also so nebenbei gleich auch eine der oben genannten Anforderungen erfüllt.

Azure_B2B_08

 

Nun fehlt noch der gesteuerte Import in das Azure AD.
Da dies ja ebenfalls eine Voraussetzung ist (Genehmigungsworkflow) nutzen wir in diesem Falle den Umstand, das es in der derzeitigen Preview nur die Möglichkeit des manuellen CSV Imports gibt. Diese Daten kann man selbst zusammen bauen oder aus seinem CRM System extrahieren.
Meine Beispieldatei sieht so aus:

Azure_B2B_03

Eine Referenz zu den Feldern ist am besten auf der Microsoft Seite zu finden:
https://azure.microsoft.com/de-de/documentation/articles/active-directory-b2b-references-csv-file-format/

Wobei die drei wichtigsten Felder folgende sind:

  • eMail
  • DisplayName
  • InviteContactUsUrl

Alle anderen sind optional (derzeit in der Preview)

Diese Benutzerdaten werden in der oben gezeigten AD Sicherheitsgruppe nach einem erfolgreichen Import hinzugefügt (siehe Referenz InviteGroupResources), weshalb ich persönlich dieses Element ebenfalls als unbedingt erforderlich ansehe!

Azure_B2B_02

 

Und das war es auch Sicht des Partners / der Projektleitung auch schon…
Denn nun muss der eingeladene auf die ihm zugesandte eMail reagieren und sich ggf. registrieren.
Zugriff auf die in der Application ID hinterlegte Ressource besitzt der Benutzer auf Basis seiner Gruppenmitgliedschaft.

Hier aber nun die restlichen Bilder, auch vom Client aus:

Azure_B2B_09

Azure_B2B_10

Azure_B2B_12

 

 

Zusammenfassend bleibt noch zum Schluss der Hinweis, auch wenn dies in “5 Minuten” einzurichten ist, eine gewisse Projektplanung, Prozeßbeschreibung und die notwendige Dokumentation sind trotz allem noch durchzuführen. Es ist mit dieser Lösung kein 9 Monatsprojekt in 6 stelligem Betrag. Doch je nach Unternehmensgröße und Anforderungen sind einige Tage für ein Projekt einzuplanen.

Die ANK Business Services GmbH (http://www.ankbs.de) unterstützt Sie hier sehr gerne dabei.

Frohe Festtage.

Einen herzlichen Dank noch der tecmasters GmbH und der PSC GmbH für die Bereitstellung der Produktivumgebungen.

 

The short URL of the present article is: http://wp.me/p1MQAv-173

Tagged with:

Filed under: AzureCloudOffice 365 GridOffice365SecuritySharePoint