Office 365: SSO для Outlook


news_ssoОдна из концепций облака Office 365 – это “single sign-on” для пользователей, что весьма всех радует, и в интернетах часто можно прочитать заявления, что если вы внедрите у себя AD FS, то получите “единый вход” – SSO. Согласиться с этим утверждением можно лишь отчасти, поскольку AD FS действительно предоставляет SSO для большинства популярных приложений Office 365, но не для Outlook, который является, наверное самым популярным.

Давайте разберемся, почему так происходит.

Почему Outlook не поддерживает Single Sign-On

credПредставим среду гибридного развертывания. Есть Office 365 и AD FS, ящик пользователя передвинут в облако. На изображении мы видим запрос пароля при запуске Outlook, происходящий потому, что Outlook использует “basic authentication” over HTTPS для Exchange Online, и если посмотреть на трафик между клиентом и сервером, то можно увидеть, как EXO аутентифицируется на сервере AD FS от имени пользователя. После того, как пользователь введет учетные данные, он может воспользоваться опцией “сохранить” пароль, используя Диспетчер учетных данных Windows. (Именно это “решение” мне предложили использовать представители поддержки MSFT на форуме community.office365.com). В таком случае у пользователя действительно будет “подобие SSO”- при следующем запуске пароль не будет запрашиваться, поскольку учетные данные сохранились. Однако при следующей смене (сбросе) пароля проблемы вновь возникнут.

Понятно, что такое решение с моей точки зрения не есть SSO, поскольку ввод учетных данных делается более одного раза, что противоречит определению “единый”.

Еще одной сложностью является то, что текущий процесс аутентификации не позволяет воспользоваться многофакторной аутентификацией (MFA), и вместо легкого использования Azure Multi-Factor Authentication единственный выбор- это использование функционала “App Passwords”, который пока далек от совершенства.

Современная Аутентификация

В начале прошлого года мы услышали о “Modern Authentication”, и как она решит озвученные выше проблемы. Прошло больше года, и появились многочисленные обновления, исправлявшие всевозможные проблемы. Изначальный список был довольно длинный но все удалось допилить. В марте 2015, был анонсирован public preview программы и всем желающим предлагалось использовать обращение в поддержку.

Continue reading “Office 365: SSO для Outlook”

DMARC, DKIM и все-все-все


Сходил на встречу Московского MCP клуба и рассказал о том, как сейчас обстоят дела с DMARC и DKIM в современных почтовых системах.

Спасибо всем, кто дошёл и был на трансляции.

Update: Слайды презентации здесь: dmarc

Запись выступления ниже

itproug_151029_01_cover

Снимок

По теме ранее:

Создаем цифровую подпись Dkim в Exchange 2013

https://jl.ly/Email/threemyths.writeback

Exchange @ Ignite 2015


image_6167EDB3

Ignite закончился, и нашему вниманию предлагаются новые, вишневые записи докладов. Смотрим внимательно:

Exchange Server:

New Feature Scenarios:

Office 365:

Outlook:

Compliance:

Office Developer:

Конфигурируем статус клиентов Lync 2010 и Office 365


Для управляемой среды

Как включить статус “Невидимый” (Appear Offline) в Lync 2010?

Этот статус был по умолчанию доступен в OCS 2007, но в Lync 2010 по умолчанию он выключен.. Для on-premises сред статусом клиента можно легко управлять с помощью Lync Management Shell. Существует  параметр EnableAppearOffline, управляющий конфигурационными данными клиентов определенными  с помощью серверной политики,  который загружается для клиентов после входа  пользователя в систему. Вы можете включить появление сообщения статуса для всех своих клиентов путем изменения политики для клиентов Lync  одной строчой:

Get-CSClientPolicy | Set-CSClientPolicy -EnableAppearOffline $true

Несложно. Но придется перезагрузить клиента для применения изменений.

А как насчет Lync Online ? Continue reading “Конфигурируем статус клиентов Lync 2010 и Office 365”