Stanislas Quastana's blog on TechNet

Windows Server, Windows Client, Cloud Computing, DirectAccess, sécurité des Systèmes d Information

Montage plateforme Office 365 - partie 1 - introduction et présentation de la plateforme

Montage plateforme Office 365 - partie 1 - introduction et présentation de la plateforme

  • Comments 3
  • Likes

ça y est j’ai reçu mon accès à la beta d’Office 365 !-)

Du coup, je me suis dit qu’il était temps de monter une plateforme pour mettre en oeuvre et tester la fédération d’identité (avec ADFS) entre un SI et la plateforme Office 365.

L’objectif de cette série de billets est de monter une plateforme où un utilisateur à l’extérieur de l’entreprise va se connecter à des ressources (OWA, SharePoint…) hébérgées dans le Cloud Office 365 mais avec son identité authentifiée par l’Active Directory.

Informations complémentaires sur Office 365 :

Ma plateforme est la suivante :

Mon nom de domaine externe est stan-demo.info et mon domaine Active Directory est stan-demo.net

Explication simplifiée du processus d’authentification fédérée :

  1. Le poste client veut accéder à une ressource sur Office 365. Le service Office 365 lui indique qu’il doit présenté un jeton de sécurité validé par la fédération gateway d’Office 365
  2. Le client se connecte à la Federation Gateway pour obtenir son jeton de sécurité. Celle-ci lui dit qu’il faut qu’il le demande auprès de son serveur STS (Security Token Service) hébergé dans l’entreprise (c’est le serveur ADFSv2)
  3. Le client se connecte au STS de l’entreprise (ici l’URL est STS.stan-demo.info…) et demande un jeton.
  4. Le Serveur STS demande contacte l’Active Directory et envoie les crédentiels fournis par l’utilisateur. Il reçoit en retour un ticket Kerberos ou une authentification NTLM.
  5. Le Serveur STS transforme le tout en jeton SAML qui est signé et retourné au client
  6. Le client présente son Jeton à la Federation Gateway qui le valide et qui émet un nouveau jeton incluant l’identifiant NetID unique d’Office 365
  7. La Federation Gateway envoie au client le nouveau Jeton
  8. Le client présente le jeton à la ressource hébergée (ex: SharePoint, Exchange..) sur le Cloud Office 365

Plus d’explications détaillées sur le blog de Damien Caro (qui a monté le premier cette plateforme et m’a du coup donné quelques coups de main). Vous retrouverez sur son blog sa procédure d’installation de la plateforme un peu différente de la mienne (car Damien est plus focalisé sur l’intégration riche, Exchange…)

Voilà la plateforme est présentée, il ne reste plus qu’à tout configurer.

Suite dans la seconde partie ;-)

Stanislas Quastana

Comments
  • Le flux de l'étape 4 ne devrait-il pas pointer vers le domain controller (DC01R2)?

  • Oui très bonne remarque, j'ai fait rapidement le schéma avant de partir en congés et j'ai inversé les schémas des 2 serveurs (DirSync et DC01R2)

    Merci pour la correction

    (Maintenant il faut que je prenne le temps de reprendre le schéma :-))

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment