Office365 & SURFconext.

Slides:



Advertisements
Verwante presentaties
Inleiding instructie MijnSmile
Advertisements

Haalbaarheidsstudie dienst virtuele applicaties 19 januari Workshop saMBO-ICT ConferentieBregtje Visser, projectleidster Remco Rutten, account adviseur.
27/7/2011 SURFfederatie Een overzicht. (C) 2008 SURFnet B.V.1 Overzicht 1.SURFnet 2.Authenticatie, Autorisatie 3.Federaties 4.SURFfederatie 5.Diensten.
Toegang en identiteitsmanagement
Windows Phone 8 Highlights & Mobile ERP. Live Tiles Alle informatie, direct weergegeven op het startscherm Volledig personaliseerbaar Altijd up-to-date.
Mailoplossingen voor het onderwijs
Windows Server 2012 Optimaliseer uw IT. Ready for the Future.
Kennis Sessie PSO 2013.
Website maken met WordPress
Dé complete online werkplek met de kracht van Office 365
G- MAIL EN A GENDA Fred Timmermans 12 december 2012 PTCC Afd.Oss-Den Bosch.
SURFconext, Showcasing a New Collaboration Paradigm Paul van Dijk Product Manager SURFnet.
State-of-the-Art beveiliging met Windows Identity Foundation
Presentatie Clubmiddag 21 mei 2014 door Henk Kesting soorten en instellingen.
Installeren, configureren en onderhouden
Lezingenreeks : weefsels Introductie wiki. Wat is een wiki? Wiki From Wikipedia, the free encyclopedia A wiki is computer software that allows users to.
The vision at work Batteries included Ervaringen van een ISV op hosting avontuur Sven Middelkoop Corporate ICT Manager Exact Holding N.V.
De kracht van GAC Business Solutions GAC is meer dan een leverancier van softwareoplossingen. Als business partner zorgen we samen met u voor optimalisatie.
SURFnet introductie, 1 juni 2005
Universele toegang: over federaties
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
CLOUD COMPUTING Wat is het? Wie zijn de aanbieders? Is het veilig? Wat kun je er mee? Robert K Bol PVGE Best.
Technische Architectuur
Hoe wordt de verbinding thuis gemaakt
Student Advantage SLBdiensten & APS IT-diensten Charles Stork
PADS4 maakt het eenvoudig om informatie te verspreiden naar een specifiek publiek op de juiste plaats en het juiste moment PADS4 is een professionele oplossing.
Instructie eBook Pack via ELO.
STERKE AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Business model SuaaS Eefje van der Harst – Productmanager SURFconext.
Postbeheer woensdag 11 maart 2015
Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.
Wat te kiezen.  POP3  Kopieert alle mail op de pc van de cliënt  Outlook (express) / Windows Live / Outlook  Verwijdert standaard alle mails van.
Sterke authenticatie via SURFconext Eefje van der Harst 24 maart 2015.
SURFconext & autorisatie
Resultaten en Roadmap SURFconext
Deltion College Engels B2 Schrijven [Edu/005] thema: Writing a hand-out can-do: kan een begrijpelijke samenvatting schrijven © Anne Beeker Alle rechten.
APP Platform Rivium, 5 maart 2013 Rik Vietsch.
Sales Tips.
Het zoek van onderdelen verbeteren?
voor leerlingen en leerkrachten van het SGi.
Flip de Proef Hoofdstuk 4 maar dan anders…. Wat is dat? Hoofdstuk 4 gaat over handig tellen. Dat gaan we proberen 's op een andere manier te doen. Ik.
©2016 Avanade Inc. All Rights Reserved. RAI Community Technische Implementatie Rob Bakkers
Informatiseringscentrum Marijke Vandecappelle Tormo van Schuppen 5 december 2012 UvA IDM in 15 minuten.
RDA Toelichting op Remote Document Authentication
In het hoger onderwijs Identity Management. partner in IGI Group Peter Jurg.
Abstract I&I-conferentie Wat maakt een LeerlingVolgSysteem (LVS) tot een succes binnen de organisatie? Natuurlijk moet er worden voldaan aan tal van randvoorwaarden,
Stappenplan Toegang tot eBook Pack via ELO/schoolportaal.
Netwerken 1 Enigma Netwerken paragraaf 1, 2 en 3.
Digital Data Conservation Joeri Both BMI dag 31 mei 2016 NKI.
WINDOWS 10 MAIL instellen. STAP 1. Klik op Mail.
Office365 & SURFconext.
Wat is het Hoe stel ik het in Hoe kan ik het gebruiken
‘Business at the speed of change’
PILOT TOETSING PERIODE 2 LES 1: BEOORDELEN VAN GROEPSWERK
Je stroopt je mouwen nog eens en kijkt om je heen, je collega’s zitten allemaal geconcentreerd naar hun computerscherm te kijken. Je voelt de spanning.
Microsoft SharePoint Server 2013
Microsoft vs de rest “Wat biedt het Microsoft Cloudplatform en hoe kan dit bijdragen aan veilig, snel en schaalbaar werken binnen elke organisatie.” Thomas.
The Hybrid Workspace Gino van Essen Technical Consultant.
GEU – PO - ENTREE Edu-K H-P Köhler, domeinmanager.
Windowsapparaat en Cloud
Office 365 Cloud Computing SaaS
OGH APEX dag 2012 Toeters en bellen met APEX
Michaël Hompus Principal developer,
ClupApp van HTV Berg & Dal
Internet bankieren met Android smartphone en tablet.
M5 Datacommunicatie Transportlaag
VIMTAG Keuzehulp voor het vinden van de juiste IP camera.
Sandra: introductie van ons / de master / aanwezigen
Internet bankieren met Android smartphone en tablet.
Flow Approvals op verschillende manieren
Transcript van de presentatie:

Office365 & SURFconext

Choosing a sign-in model for Office 365 Microsoft biedt momenteel 3 manieren om identiteiten te beheren en mensen te laten authenticeren voor diensten. Links: “alles in de cloud” (dus geen lokale AD meer), in het midden een synchronisatie van gebruikers-accounts en hashes van gebruikerswachtwoorden en rechts echt federatief (alleen gebruikersaccounts worden dan gesynchroniseerd ivm provisioning) Lager “Effort to implement” Hoger Lager “Capability” Hoger Bron: https://blogs.office.com/2014/05/13/choosing-a-sign-in-model-for-office-365/

Passwords & “alles moet werken” Bij het “Synchronized Identity”-scenario van Microsoft heeft Microsoft oplossingen proberen te vinden voor zoveel mogelijk situaties waarbij er gebruik wordt gemaakt van protocollen die niet goed werken met federatief inloggen. Een voorbeeld is het IMAP-protocol voor email. Het voordeel van de manier waarop Microsoft dat probeert op te lossen is dat er daardoor veel werkt (niet altijd alles). Het nadeel is dat gebruikers hun wachtwoord soms in schermpjes intikken waarbij dat wachtwoord voor Microsoft en soms ook app-bouwers etc zichtbaar zijn. Microsoft maakt op enig moment een hash van dat wachtwoord zodat die vergeleken kan worden met de hash die ze hebben van de lokale user-store. Het is belangrijk dat je je beseft dat het wachtwoord via minimaal 1 en mogelijk meer partijen gaat, waarbij het een keuze is of je vindt dat dat acceptabel is.

Inloggen op Office 365 “MS Modern Authentication” Is het acceptabel dat wachtwoorden naar Microsoft gaan? Ja Nee Koppel met Microsoft (Active) Werkt met MS apps en browser Werkt met MS SA Werkt soms met apps van derden (bv Thunderbird via IMAP Maak gebruik van een federatieve koppeling (Passive) Werkt met browser en veel MS apps Werkt vaak niet met apps van anderen Free/busy (wellicht meer) werkt niet Mogelijk in de toekomst SURFconext Sterke Authenticatie Dit plaatje probeert de vraag “hoe wil ik met O365 koppelen” zo simpel mogelijk te maken. Als je ”zoveel mogelijk wil laten werken” is wat Microsoft de “synchronized identity”-oplossing noemt (de linker tak van bovenstaand plaatje) het best. Nadeel is zoals eerder gezegd dat er mogelijk wachtwoorden via 1 of meer derden (waaronder Microsoft) gaan. Wil je die wachtwoorden niet via andere partijen laten lopen, dan is de rechtertak het best. Daarbij kan dan zowel voor een directe koppeling via ADFS worden gekozen als koppelen via SURFconext. Op https://wiki.surfnet.nl/pages/viewpage.action?pageId=54703743 zetten we op een rij wat de voor- en nadelen zijn. Active connection - this describes a WS-Trust non-browser-based connection to Office 365 Passive connection - this describes a SAML2P or WS-Federation browser-based connection to Office 365 SAML vs WS-Federation Office 365 supports both SAML2 and WS-Federation protocols. While SAML2 provides more profiles, WS-Federation is more widely used in Office 365 and works with more clients. The configurations are much the same, but the attribute contracts are slightly different. Office 365 expects the SAML2 Subject to be unique (usually the objectGUID) and the attribute IDPEmail to be the user's userPrincipalName whereas Office 365 expects WS-Federation to provide a UPN attribute containing the userPrincipalName and the ImmutableID to be unique (also usually the objectGUID). https://ping.force.com/Support/PingIdentityArticle?id=kA340000000PMraCAG Wilt u graag werken via SURFconext “MS Modern Authentication” Nee Ja Koppel direct met MS via een Passive connection (ADFS) Koppel via SURFconext

Toelichting Als je bij het configureren van een rechtstreekse koppeling tussen instelling en Microsoft de beveiliging op het niveau wil hebben zoals het via SURFconext loopt, loop je tegen dezelfde dingen aan als wanneer je het via SURFconext laat lopen. Microsoft ondersteunt federatieve authenticatie (nog) niet volledig. Of Office365 voor ‘een’ instelling op ‘een’ moment werkt hangt af van de configuratie bij de instelling, het scenario (wat wil men gebruiken van Office365, via welke clients gaan er gebruik worden gemaakt) en het bij vragen/problemen vinden van de mensen met de juiste kennis. Wat wel en niet werkt met federatieve sign-in is aan verandering onderhevig. De kennis van SAML binnen Microsoft lijkt beperkt. Support op routes waar ook SAML gebruikt wordt, hebben kunnen uitdagingen hebben indien support nodig is In andere landen werkt koppelen via de nationale federatie soms wel. Deze federaties (oa. VS) werken met Shibboleth (SAML-software) en dit ondersteunt het SAML-ECP protocol. Microsoft ondersteunt deze SAML variant ook. Deze variant wordt niet ondersteund door SURFconext, omdat ook hier wachtwoordinformatie naar Microsoft gaat.

Status of client support of fed.authN Zie voor actuele stand: https://blogs.office.com/2015/11/19/updated-office-365-modern- authentication-public-preview/ Status 3 feb 2017:

Nuttige links Wiki over Office 365 en SURFconext: https://wiki.surfnet.nl/display/services/Microsoft+Office+365 Microsoft pagina over wat wel en (nog) niet werkt: https://blogs.office.com/2015/11/19/updated-office-365-modern-authentication-public-preview/ Wat staat mbt ‘Modern Authentication’ standaard aan/uit in Office365: http://social.technet.microsoft.com/wiki/contents/articles/32711.exchange-online-how-to- enable-your-tenant-for-modern-authentication.aspx Toets Office365 tegen normenkader: https://www.surf.nl/nieuws/2015/08/microsoft-getoetst- aan-juridisch-normenkader-cloudservices.html SURFconext: www.surfconext.nl Sterke Authenticatie: https://www.surf.nl/diensten-en-producten/surfconext/wat-is- surfconext/surfconext-sterke-authenticatie/index.html SURFmarket: https://www.surf.nl/nieuws/2014/01/contractmogelijkheden-microsoft-office-365- uitgebreid.html SURFspot: https://www.surfspot.nl/microsoft-office-365-proplus-nl-uk.html Discussie over veiligheid van de Outlook app: https://4sysops.com/archives/is-microsofts- outlook-app-for-ios-and-android-insecure/

Vragen?

raoul.teeuwen@surfnet.nl @raoulteeuwen raoul_teeuwen www.linkedin.com/in/raoulteeuwen https://www.surf.nl 0887873000