Hoje em dia é muito comum a utilização de uma credencial única (Login e senha) para acessar vários sistemas dentro de uma organização, pois essa prática facilita o dia a dia dos usuários, que não precisam ficar lembrando de várias senhas, que podem exigir requisitos de complexibilidade e tempo de expiração diferentes. Outra vantagem é para a equipe de suporte técnico com a redução de eventos de redefinição de senha.
Pass-through Authentication – Office 365
Para as organizações que desejam utilizar uma credencial única, entre o Office 365 e seu Active Directory, existem até o momento dois cenários de infraestrutura. Um dos cenários requer um servidor com o Azure AD Connect e outro necessita de uma infraestrutura de ADFS.
E quais são as características do Office 365 com esses cenários?
Sincronização de senhas, recurso do Azure AD Connect, onde o hash da senha no Active Directory é sincronizado com a conta do usuário no Office 365.
Federação, necessita de uma infraestrutura de ADFS com Azure AD Connect e a contratação de um certificado digital SSL. Com esse cenário os usuários realizam a autenticação do Office 365 em um servidor ADFS local, e dessa forma podem utilizar uma única credencial além de se beneficiarem do logon único (SSO). E os administradores também podem restringir horários de Logon aos usuários do Office 365.
NOVIDADE: Pass-through Authentication ou autenticação de passagem, é um serviço que foi recentemente incorporado ao Azure AD Connect. Esse novo recurso fornece a validação de senha do Office 365 dentro do Active Directory local. Com a possibilidade de usar o logon único, onde os usuários não precisam digitar suas senhas para acessar o Office 365 enquanto já estão autenticados no domínio local.
Em um ambiente com autenticação de passagem, você pode usufruir de benefícios antes só disponíveis com uma infraestrutura de ADFS, como:
- SSO (logon único)
- Restrição de logon por horário
- Restrição de logon por computador
E qual é a vantagem do Pass-through em relação ao ADFS?
- Infraestrutura on-premises simplificada*
- Não é necessário certificado SSL**
- Não é necessário publicar um servidor de Proxy em uma DMZ
*A quantidade mínima de servidores recomendados para uma infraestrutura de ADFS 3.0, é de 4 servidores.
**Pode existir custo de contratação e renovação para certificados SSL.
Segue um diagrama de autenticação do Pass-through:
Tiago Lima
Cloud Solution Specialist