Microsoft hat wieder mal eine sehr interessante und klassische Kundenanforderung in seiner Cloud Architektur veröffentlicht.

Zur Zeit ist die Funktion “Azure B2B” als Preview kostenfrei verfügbar. Doch was verbirgt sich dahinter?

Zum einen eine Verwaltungsmöglichkeit von externen Benutzern bzw. Benutzerkonten. Das Interessante hierbei ist die Tatsache, das man nicht wie bei eine Federation (ADFS bzw. AD Connect) die Quellen der Benutzerkonten kennen muss (denn diese müssen alle ein Microsoft Business Account besitzen), sondern das auch gar keine Konfiguration als solche notwendig ist. Nur die Rollenbasierte Berechtigung (RBAC) sollte unbedingt vorher erfolgt sein. Doch ist dies eigentlich eine Anforderung, welche unabhängig dieser Lösung besteht.

Zum anderen aber, kann mit Azure B2B sehr granular gesteuert werden, auf welche Ressourcen ein externer Besucher zugreifen kann und mit der korrekten RBAC Implementierung auch eingeschränkt bearbeiten kann.

Sehen wir uns mal ein typisches SharePoint Extranet Szenario an (welches ich selbst aufgrund interner Kundenanforderungen, wesentlich umfangreicher begleiten durfte):

  • Benutzer dürfen nicht die gleichen Berechtigungen wie interne Benutzer haben
  • Der Zugriff muss granular kontrollierbar sein
  • Die Benutzerzugriffe und Aktivitäten müssen aus Compliance Gründen kontrollierbar sein
  • Ein externer Benutzer muss im Bedarfsfall sofort alle gewährten Zugriffe unverzüglich verlieren können
  • Der externe Zugriff muss durch eine Zwei Faktor Authentifizierung mit One Time Password erfolgen können
  • Bei Bedarf müssen beliebig viele Benutzer eingerichtet werden können

Sicher erkennt der eine oder andere Leser diese Anforderungen wieder. Noch vor ein paar Jahren wurden solche Projekte teilweise in 7-stelligen Zahlen als Projektkosten veranschlagt. Dies brachte auch SharePoint damals in den Fokus, da es hier dank einiger Community Mitglieder wie die “ITACS” dann relativ einfache Formularbasierte Lösungen gab. Doch gerade die kostenfreien Lösungen hatten immer wieder an den Enterprise Anforderungen zu kämpfen und mussten oft umständlich angepasst werden oder wurden halbherzig durch andere Tools und Lösungen ausgetauscht, welche gar nicht für diese Szenarien vorgesehen waren. Zusätzlich sind da ja auch immer noch die diversen DMZ und anderen technischen Maßnahmen der Benutzerabgrenzung zu sehen.

Nun aber zurück zur heutigen Zeit. Azure B2B ist eine in der Preview Phase befindliche Möglichkeit, dieses Szenario äußerst kostengünstig aufzugreifen.

Hierzu bereiten wir folgendes vor:

  • Mindestens eine neue Benutzergruppe (Sicherheitsgruppe) im Azure AD, nennen wir diese mal “Extern-Demo-AD-B2B”
  • Innerhalb von SharePoint Online legen wir eine neue Teamsite an, “Externe Partnersite”
    • In dieser Teamsite müssen wir explizit den externen Zugriff aktivieren!
  • In der neuen Teamsite fügen wir die Azure AD Gruppe der SharePoint Gruppe “Besucher” hinzu. Damit verhindern wir Änderungen an vorhandenen Daten, erlauben aber das Lesen aller in dieser Teamsite vorhandenen Informationen

Nun kommen die neuen Azure AD B2B Funktionen zum Einsatz.
Um neue Benutzer im vorhandenen Azure AD anlegen zu können, benötigen wir zwei wichtige GUIDs aus der Office 365 / Azure Plattform.
Dies sind die IDs für die oben angelegte Gruppe sowie der SharePoint Umgebung.

Connect-MsolService

Get-MsolGroup | fl DisplayName, ObjectId

Get-MsolServicePrincipal | fl DisplayName, AppPrincipalId

Die Ergebnisse werden im PowerShell Fenster ausgegeben und müssen notiert werden (oder per Maus kopiert :-) )
Anschließend erstellen wir eine CSV Datei nach folgendem Muster:

Email,DisplayName,InviteAppID,InviteReplyUrl,InviteAppResources,InviteGroupResources,InviteContactUsUrl
mkn@DOMAIN.onmicrosoft.com,Michael Kirst-Neshva (ANKBSCLOUD),SHAREPOINT GUID,URL-DER-SHAREPOINT-SITE,,GRUPPEN GUID,URL

Wie man erkennen kann, benötigen wir derzeit nur die eMail Adresse und einen Display Namen des Benutzers, welchem die jeweiligen Berechtigungen erteilt werden sollen.

An dieser Stelle ein kleiner Tipp. Wenn dieses Vorgehen öfters durchgeführt wurde, wird man mit der Zeit sehr schnell. Dies birgt aber leider Fehler. Denn die Replikation bzw. Synchronisation zwischen Azure AD (wo die Gruppe angelegt wurde) und SharePoint (wo die Gruppe die Berechtigung erhalten soll) ist nicht so schnell. Wurde die Gruppe noch nicht der SharePoint Infrastruktur bekannt gegeben, kann diese auch nicht für die Berechtigungsvergabe genutzt werden.

Nun wird die CSV Datei innerhalb der Azure Verwaltungsoberfläche importiert, die Möglichkeit hierfür PowerShell oder sonstiges nutzen zu können, stehen laut der Produktgruppe auf der To-Do Liste, aber derzeit ohne Terminangabe.

Ebenfalls sind in der Oberfläche dann die Erfolgsmeldungen bzw. Fehlermeldungen lesbar. Bei einem Erfolg, erhält der Benutzer eine eMail mit einem Einladungslink. Nach akzeptieren des Benutzers durch klicken, erhält nun der Benutzer sofortigen Zugriff auf die Ressourcen, basierend seiner Gruppenmitgliedschaft.

Ach ja…. Es fehlen noch zwei Anforderungen bzw. Kostentreiber :-)

Zwei Faktor Authentifizierung = Azure MFA

Diese kann nach Anlage eines Benutzers direkt aktiviert werden und besitzt die gleichen Möglichkeiten wie bei der “Normalen” Lizenz etwa in der EMS Suite (Enterprise Mobility Suite), doch wesentlich günstiger.

“Hochgeschraubte” DMZ Anforderung = Microsoft Azure IaaS bzw. PaaS

Ich persönlich denke, das es keinerlei Diskussion bedarf, wie hochmodern die Microsoft Infrastruktur ist. Daher ist die Anforderung nach einer “sicheren DMZ” durch die Nutzung der Azure IaaS Dienste gewährleistet.

Weitere Informationen sind in der Microsoft Azure Dokumentation zu finden: https://azure.microsoft.com/en-us/documentation/articles/active-directory-b2b-collaboration-overview/

 

The short URL of the present article is: http://wp.me/p1MQAv-16s

Filed under: AzureCloudOffice365SecuritySharePoint