Single Sign On op Office 365 zonder ADFS (preview)

Sinds kort zijn er 2 heel interessante nieuwe features bijgekomen op Azure AD Connect.  Dit maakt het mogelijk om Single Sign On (SSO) te doen op Office 365. Daarnaast kan je ook de authenticatie laten gebeuren door de eigen domain controllers in plaats van Office 365 en dit zonder de complexe federation set-up (4 extra servers).

Deze features zijn momenteel nog in preview maar we hebben deze wel al uitgetest.  Hieronder kan je het resultaat terugvinden:

SSO is mogelijk in 2 scenario's:

  • Password hash sync
  • Azure AD pass-through authentication (PTA)

Het verschil tussen beide is wie de authenticatie doet.  In het eerst geval is dit Office 365, met PTA zijn het de eigen domain controllers.  Om van deze features gebruik te kunnen maken, moet je eerst de update van Azure AD connect installeren: Klik hier voor download.  Dit is een in-place upgrade van de bestaande tool:

Daarna kan je de configuratie starten:

Om Single Sign On te activeren, zet je gewoon het vinkje bij "Enable single sign on". Daarna moet je enkel nog de domain admin credentials ingeven en de wizard voltooien. Op de client (Internet Explorer) moet je wel nog 2 URL's toevoegen aan de "Trusted sites":

Dit kan je eventueel via een GPO doen: User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page
Daarna selecteer je: Site to Zone Assignment List

Nu kan je dit beginnen testen. De gebruikerservaring is al volgt:

  • Start Internet Explorer en ga bijvoorbeeld naar https://portal.office.com
  • Geef jouw e-mailadres in en druk op Tab (of enter)
  • Daarna zal je automatisch inloggen (zonder dat je jouw paswoord moet ingeven)
  • Het is dus wel nog steeds nodig om jouw e-mailadres in te geven.

In een volgende blogpost zal ik uitleggen hoe je PTA kan activeren en uittesten.

Bronnen:

 *Cliquez ici pour la version française.*

 Kris Deleu, Cloud Expert | www.itcare.be

Add comment