Tổng quan về Office 365 Identity và Azure Active Directory

Office 365 là dịch vụ sản phẩm Software-As-A-Service (SaaS) của Microsoft trong đó gồm nhiều sản phẩm khác như Exchange Online, Skype for Business Online, SharePoint Online, Office Online… Vì Office 365 được host trên hạ tầng Microsoft Azure, do đó Office 365 sử dụng authentication được cung cấp bởi Azure Active Directory để quản lý tài khoản user. Có 3 mô hình cơ bản trên Office 365 để quản lý identity.

  • Cloud identity: quản lý các tài khoản user trên Office 365. Bạn không cần phải chuẩn bị bất cứ máy ảo nào ở môi trường on-premises để quản lý. Tất cả việc quản lý đều trên cloud.
  • Synchronized identity: bạn sẽ đồng bộ các directory object (ở Active Directory) ở môi trường on-premises lên Office 365. Bạn có thể đồng bộ password để người dùng cuối có thể sử dụng chung password trên cả 2 môi trường on-premises và cloud, tuy nhiên người dùng cuối phải đăng nhập lại trên Office 365 mỗi khi sử dụng.
  • Federated identity: cũng tương tự mô hình synchronized identity ở trên, tuy nhiên với mô hình này người dùng cuối không cần phải đăng nhập ở Office 365 nếu họ đã đăng nhập ở máy client trong môi trường on-premises. Mô hình này thường được gọi là single sign-on (SSO)

Cloud Identity

Ở mô hình này, bạn sẽ tạo và quản lý tài khoản user từ Office 365 Admin Center. Các tài khoản này được lưu trong Azure Active Directory (AD). Azure AD sẽ kiểm tra và xác nhận password mỗi khi người dùng cuối đăng nhập vào Office 365. Ở đây bạn không cần phải quản lý về identity và authentication, Microsoft sẽ quản lý giúp bạn. Bạn chỉ cần quản lý tài khoản user (ví dụ tạo mới, gán quyền hoặc license) thông qua Office 365 Admin Center hoặc PowerShell cho Office 365.

Hình dưới mô tả về việc quản lý tài khoản user trên mô hình Cloud Identity

cloud-identity

Ở bước 1, quản trị viên sẽ đăng nhập vào Office 365 Admin Center và tạo các tài khoản user. Các request để tạo tài khoản sẽ được gửi đến Azure AD ở bước 2. Ở bước 3, trong trường hợp không phải tạo mới mà là thay đổi thông tin, request cũng sẽ được gửi về Azure AD. Bước 4, tài khoản mới hoặc thay đổi sẽ được thực thi thành công trên Office 365.

Một số điểm mạnh của mô hình này:

  • Bạn không có Active Directory ở môi trường on-premises.
  • Bạn có Active Directory ở môi trường on-premises nhưng rất phức tạp và bạn không muốn phải tích hợp.
  • Bạn chỉ muốn thử nghiệm Office 365 trước khi tích hợp giữa Active Directory ở môi trường on-premises và Office 365.

Synchronized Identity

Ở mô hình này, bạn sẽ quản lý tài khoản user ở môi trường on-premises và đồng bộ tài khoản lên Office 365, có thể đồng bộ cả password. Password sau khi được đồng bộ sẽ được kiểm tra và xác thực bởi Azure AD mỗi khi người dùng cuối đăng nhập vào Office 365.

Việc cấu hình đồng bộ phải thông qua tool của Microsoft có tên Directory Synchronization (DirSync).

sync_identity

Hình trên mô tả về mô hình Synchronized Tdentity trong đó password cũng được đồng bộ. Ở bước 1 bạn sẽ cài đặt Microsoft Azure Active Directory Connect. Azure AD Connect cho phép bạn triển khai hybrid giữa môi trường on-premises và cloud để đồng bộ identity giữa 2 Active Directory. Ở bài viết sau tôi sẽ hướng dẫn cài đặt và sử dụng Azure AD Connect.

Đến bước 2 và 3, sau khi bạn tạo một tài khoản mới trên Active Directory thuộc môi trường on-premises, công cụ DirSync sẽ kiểm tra và đồng bộ các thông tin cùng password lên Azure AD và hiển thị trên Office 365 Admin Center.

Ở bước 4, nếu bạn thay đổi thông tin, DirSync sẽ so sánh và kiểm tra sự thay đổi trước khi đồng bộ lên Azure AD.

Federated Identity

Ở mô hình Synchronized Identity, mặc dù bạn đồng bộ password, người dùng cuối vẫn phải gõ lại password mỗi khi họ đăng nhập vào Office 365. Điều này đôi khi hơi bất tiện và họ muốn chỉ cần đăng nhập ở máy tính cá nhân (đã join vào Active Directory domain controller) là không cần phải đăng nhập mỗi khi mở Office 365. Với yêu cầu này bạn cần phải triển khai Active Directory Federation Services (AD FS) hoặc bên thứ 3 ví dụ PingFederate, Okta, CA SiteMinder…

federated_iden

Mô hình thứ 3 phức tạp nhất trong các mô hình tuy nhiên mô hình này là một trong các mô hình phổ biến và yêu cầu nhất vì cung cấp sự tiện lợi cho người dùng cuối cũng như giúp bạn quản lý tập trung tốt hơn tại một nơi duy nhất. Ở mô hình này các cơ chế làm việc cũng như mô hình Synchronized Identity, chỉ một điểm khác biệt là password sẽ không đồng bộ lên Azure AD. Thay vào đó mỗi khi người dùng cuối mở Office 365, AD FS sẽ nhận nhiệm vụ authentication với Active Directory ở môi trường on-premises. Nếu authentiation được xử lý thành công, người dùng sẽ truy cập được vào Office 365 mà không cần gõ password.

Azure Active Directory management portal

Bạn có thể quản lý identity hay tài khoản user ở Office 365 hoặc trên Azure AD portal. Azure AD được tích hợp trong tài khoản Office 365 subscription của bạn.

azure_ad

Mặc dù bạn có thể sử dụng Azure AD để tạo và quản lý user tuy nhiên bạn nên sử dụng Office 365 Admin Center vì đây là công cụ mà bạn có thể sẽ quen thuộc hơn.

azure_ad_portal

Phạm Thanh Tùng

Anh Phạm Thanh Tùng với hơn 15 năm trong lĩnh vực CNTT, từng đóng góp rất nhiều cho cộng đồng CNTT trong và ngoài nước. Anh Tùng là chuyên gia trong các giải pháp triển khai hạ tầng CNTT cho các tập đoàn cũng như tổ chức chính phủ trong và ngoài nước. Anh Tùng hiện đang là chuyên gia về Office 365 được danh hiệu Most Valuable Professional (MVP) Của Microsoft. Đến với AzureVN.NET anh Tùng hi vọng được chia sẻ các bài viết liên quan Azure IaaS, cũng như tích hợp Azure và Office 365.

seatek has 1 posts and counting.See all posts by seatek

Leave a Reply

Your email address will not be published. Required fields are marked *