Stanislas Quastana's blog on TechNet

DirectAccess, ISA Server, Forefront TMG, la famille Forefront, sécurité des systèmes d informations et aussi du Windows:-)
Search Blogs
  • Advanced search options...
Options
Tags
Archive
Archives

Montage plateforme Office 365 - partie 1 - introduction et présentation de la plateforme

TechNet Blogs > Stanislas Quastana's blog on TechNet > Montage plateforme Office 365 - partie 1 - introduction et présentation de la plateforme

Montage plateforme Office 365 - partie 1 - introduction et présentation de la plateforme

20 Apr 2011 9:36 AM
  • Comments 2

ça y est j’ai reçu mon accès à la beta d’Office 365 !-)

Du coup, je me suis dit qu’il était temps de monter une plateforme pour mettre en oeuvre et tester la fédération d’identité (avec ADFS) entre un SI et la plateforme Office 365.

L’objectif de cette série de billets est de monter une plateforme où un utilisateur à l’extérieur de l’entreprise va se connecter à des ressources (OWA, SharePoint…) hébérgées dans le Cloud Office 365 mais avec son identité authentifiée par l’Active Directory.

Informations complémentaires sur Office 365 :

Ma plateforme est la suivante :

Mon nom de domaine externe est stan-demo.info et mon domaine Active Directory est stan-demo.net

Explication simplifiée du processus d’authentification fédérée :

  1. Le poste client veut accéder à une ressource sur Office 365. Le service Office 365 lui indique qu’il doit présenté un jeton de sécurité validé par la fédération gateway d’Office 365
  2. Le client se connecte à la Federation Gateway pour obtenir son jeton de sécurité. Celle-ci lui dit qu’il faut qu’il le demande auprès de son serveur STS (Security Token Service) hébergé dans l’entreprise (c’est le serveur ADFSv2)
  3. Le client se connecte au STS de l’entreprise (ici l’URL est STS.stan-demo.info…) et demande un jeton.
  4. Le Serveur STS demande contacte l’Active Directory et envoie les crédentiels fournis par l’utilisateur. Il reçoit en retour un ticket Kerberos ou une authentification NTLM.
  5. Le Serveur STS transforme le tout en jeton SAML qui est signé et retourné au client
  6. Le client présente son Jeton à la Federation Gateway qui le valide et qui émet un nouveau jeton incluant l’identifiant NetID unique d’Office 365
  7. La Federation Gateway envoie au client le nouveau Jeton
  8. Le client présente le jeton à la ressource hébergée (ex: SharePoint, Exchange..) sur le Cloud Office 365

Plus d’explications détaillées sur le blog de Damien Caro (qui a monté le premier cette plateforme et m’a du coup donné quelques coups de main). Vous retrouverez sur son blog sa procédure d’installation de la plateforme un peu différente de la mienne (car Damien est plus focalisé sur l’intégration riche, Exchange…)

Voilà la plateforme est présentée, il ne reste plus qu’à tout configurer.

Suite dans la seconde partie ;-)

Stanislas Quastana

Tags: , , ,
, , , , ,
Comments
Comments
  • Yannick
    6 May 2011 5:59 AM

    Le flux de l'étape 4 ne devrait-il pas pointer vers le domain controller (DC01R2)?

  • 3 Jun 2011 5:22 AM

    Oui très bonne remarque, j'ai fait rapidement le schéma avant de partir en congés et j'ai inversé les schémas des 2 serveurs (DirSync et DC01R2)

    Merci pour la correction

    (Maintenant il faut que je prenne le temps de reprendre le schéma :-))

Page 1 of 1 (2 items)
Leave a Comment
  • Please add 7 and 5 and type the answer here:
  • Post