Blog

  • Home
  • Blog
  • Single Sign-On naar Office 365

Single Sign-On naar Office 365

Category: Blog

Veel organisaties maken gebruik van Microsoft diensten waarbij de werkomgeving van de gebruiker wordt aangeboden via een website (bv. SharePoint Online). Daarnaast zijn ook steeds meer bedrijven aan het overwegen of iedere gebruiker nog een desktop applicatie van Office nodig heeft. Zij laten bijvoorbeeld een deel van gebruikers werken met Outlook Web App (OWA) en andere Office Web Apps. Wat hierbij vaak onbenut blijft, is de mogelijkheid om met Single Sign-On (SSO) in te loggen. Organisaties die over een on-premise Active Directory beschikken en  gebruikers laten inloggen met een domein account kunnen SSO gebruiken. Deze mogelijkheid zorgt ervoor dat gebruikers niet twee keer hoeven in te loggen om toegang te krijgen tot deze portalen of webapplicaties.

Onderstaand is de mogelijkheid beschreven van SSO bij het gebruik van ADConnect en ADFS met een federated Azure Active Directory domein. In het verleden was dit de enige manier om wachtwoordsynchronisatie te realiseren tussen het on-premise Active Directory domein en de Azure Active Directory. Nog steeds wordt deze methode veel ingezet echter is dit niet langer de enige mogelijkheid. Momenteel zijn ook Password Authentication en Pass-through authentication mogelijkheden (komen niet in deze blog naar voren).

Uitgangspunten

Om onderstaande beschreven single sign-on implementatie te laten werken zijn de volgende uitgangspunten van toepassing:

  • De organisatie heeft een on-premise domein dat bekend is in Azure Active Directory en van het type Federated is.
  • De benodigde user objecten in dit on-premise domein worden gesynchroniseerd met Azure Active Directory via ADSync.
  • Een ADFS server is on-premise aanwezig en gebruikers kunnen succesvol inloggen op het Office portal, OWA of SharePoint via deze ADFS server. De ADFS host staat geregistreerd in zowel de publieke als de interne DNS zones.
  • De gebruikers loggen in op een domain joined werkstation, RDS Session host of Citrix host met een domein account.

Single Sign-On implementeren

Onderstaand zijn de stappen weergegeven voor de implementatie van Single Sign-On.

  • Activeer Windows Authentication als de primaire authenticatie binnen ADFS.
    Ga hiervoor naar het ADFS Management Console en selectie de optie Authentication Methods. Activeer Windows Authentication onder het menu Intranet. Dit is meer een controleslag omdat blijkt dat niet bij alle implementaties dit op deze wijze is ingesteld.

  • Voeg de URL voor de ADFS server toe aan de Intranet Zone voor Internet Explorer.Er zijn verschillende methodes om dit te realiseren. Een van de mogelijkheden is het gebruik van Group Policies. De benodigde instelling in Group Policies staat onder:
    User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Site to Zone Assignment List.
    Voeg toe https://<Federation Service Name> en plaats deze in Zone 1, de Intranet Zone.
    De Federation Service Name is terug te vinden in de ADFS Management Console bij het opvragen van de Federation Service Properties .

  • Maak Single Sign-On ook mogelijk voor andere browsers dan Internet Explorer.
    Indien gebruikers Chrome of Firefox als Internet browser gebruiken (en niet Internet Explorer) dient nog een additionele aanpassing gemaakt te worden. Hiertoe moet de WIASupportedUserAgents optie binnen ADFS worden gewijzigd. Hiervoor dient het volgende commando uitgevoerd te worden op de ADFS server:
    Set-AdfsProperties –WIASupportedUserAgents @(“MSAuthHost/1.0/In-Domain”,”MSIE 6.0″,”MSIE 7.0″,”MSIE 8.0″,”MSIE 9.0″,”MSIE 10.0″,”Trident/7.0″, “MSIPC”,”Windows Rights Management Client”,”Mozilla/5.0″,”Edge/12″).
    Ondersteuning voor Chrome en Firefox werkt via de Mozilla/5.0 toevoeging. Edge/12 toevoeging is voor de Edge browser.
    Herstart hierna de ADFS service op een geschikt tijdstip.

Smart Links

Nadat bovenstaande zaken zijn uitgevoerd dient opgemerkt te worden dat Single Sign-On voor Office nog niet helemaal werkt aangezien nog steeds wordt gevraagd naar de Office 365 gebruikersnaam en UPN (vaak het emailadres). De ADFS pagina verschijnt daarna echter niet meer en ook een wachtwoord wordt niet meer gevraagd.

De reden hiervan is dat SSO nu in feite al wel werkt maar Office 365 niet weet tot welke organisatie de ingelogde gebruiker behoort (in theorie zit deze informatie besloten in de UPN van de ingelogde gebruiker maar het blijkt niet mogelijk om die informatie te gebruiken). Daarom moet een aangepaste URL worden gebruikt in de browser waarbij het domein van de ingelogde gebruikers direct wordt meegeven. Deze aangepaste URL’s worden Smart Links genoemd.

In feite kan elke locatie binnen Office 365 met een Smart Link worden bereikt. Hiervoor zijn Smart Link generators te vinden op het internet. De URL’s zijn redelijk complex waardoor het instellen voor de gebruikers het beste kan via bijvoorbeeld Group Policies Preferences (GPP).

Eindresultaat

Nu al deze stappen genomen zijn, kan een gebruiker die op het domein is ingelogd, met één snelkoppeling naar zijn favoriete locaties binnen Office 365 zonder verdere credentials te moeten opgeven.

Vincent Timmermans
System Engineer Compello

Laat een bericht achter