Change background image
LOVE quotion

Bắt đầu từ 4.53' thứ Hai ngày 17/10/2011


You are not connected. Please login or register

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down  Thông điệp [Trang 1 trong tổng số 1 trang]

Prosperity
Prosperity Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 463

Danh vọng : 817

Uy tín : 0

Bài viết này chủ yếu tập trung giới thiệu tổng quát mô hình triển khai Office 365 cho doanh nghiệp. Phân tích những lợi điểm, khuyết điểm của từng mô hình để giúp doanh nghiệp lựa chọn mô hình phù hợp cho mình.

I- Giới thiệu mô hình triển khai Office 365 (Office 365 Identity Program)

Về cơ bản, doanh nghiệp sẽ có 3 mô hình triển khai Office 365. Và đối với từng doanh nghiệp, dựa trên đặc thù kinh doanh sẽ có những mô hình triển khai phù hợp, bao gồm:

Triển khai Office 365 Indentity Model Te1bb910

  1. Cloud Identity: mô hình này người quản trị sẽ khởi tạo người dùng và quản lý họ trực tiếp trên Office 365 Admin Portal. Không cần kết nối tới các dịch vụ định danh (Directory) nào. Người dùng sẽ đăng nhập và chứng thực trực tiếp trên Office 365 để sử dụng dịch vụ.

  2. Synchronize Identity (Directory & Password Synchronize – Hybrid Identity with Password Sync): mô hình này cho phép người quản trị tích hợp hạ tầng định danh sẵn có bên dưới (Active Directory On-Premise) lên Office 365. Hỗ trợ đồng bộ users, groups, contact từ bên dưới lên Office 365 để cho người dùng sử dụng dịch vụ Office 365. Người dùng sẽ đăng nhập và chứng thực trực tiếp trên Office 365 bằng tài khoản bên dưới của mình.

  3. Federated Identity (Hybrid Identity with SSO): mô hình này là nâng cấp của mô hình Synchronize Identity, ngoài việc cho phép người quản trị đồng bộ người dùng lên Office 365. Federated Identity còn cung cấp những chính sách bảo mật (Security Policies) và trải nghiệm đăng nhập một lần cho tất cả các dịch vụ (Single Sign On – SSO). Lúc này, người dùng sẽ đăng nhập và chứng thực để ở bên dưới hạ tầng (On-premise) thông qua tính năng Active Directory Federation Services (ADFS).


Bên trên tôi chỉ giới thiệu sơ lược các mô hình triển khai, các hạng mục tiếp theo sẽ mô tả chi tiết hơn từng mô hình. Nhưng trước hết hãy cùng tìm hiểu về Azure Active Directory là gì thông qua phần “Tổng quan về Azure Active Directory”.

II- Tổng quan về Windows Azure Active Directory

Triển khai Office 365 Indentity Model Te1bb911

Windows Azure Active Directory (Azure AD) là một giải pháp quản lý định danh cho các dịch vụ Cloud Services của Microsoft, và đa phần là các dịch vụ SaaS (Software as a Services) như Office 365, Microsoft Intune. Hiểu đơn giản Azure AD chỉ là một database chứa các thông tin cho việc chứng thực (Authentication) sử dụng cách dịch vụ Cloud Services của Microsoft.

Trong quá trình triển khai cho các khách hàng, họ thường hỏi tôi các câu hỏi bên dưới:

  1. So sánh giữa Azure Active Directory và Active Directory (On-Premise) truyền thống

    Comparision between Azure AD and Active Directory:

    Triển khai Office 365 Indentity Model Te1bb912

    Triển khai Office 365 Indentity Model Te1bb913

  2. Có bao nhiêu phiên bản Azure AD và các phiên bản này khác nhau như thế nào?

    Azure AD có 3 phiên bản là Free, Basic, Premium. Tùy vào những phiên bản mà có những tính năng khác nhau, có thể tham khảo tại đây.

    Triển khai Office 365 Indentity Model Te1bb914

    - Free Edition: Mặc định sẽ có sẵn khi bạn sử dụng các dịch Microsoft Cloud Services (Azure) thông qua Subcriptions (tài khoản mà bạn thuê). Không cần license hay cài đặt gì thêm. Cho phép quản lý, đồng bộ người dùng từ bên dưới lên theo mô hình Synchronize Identity hoặc triển khai giải pháp Federated Identity để đạt được trải nghiệm SSO, tích hợp với các Publish Application bên ngoài như Facebook, LinkedIn, Twitter, Slideshare

    - Basic Edition: ngoài việc có sẵn tất cả các tính năng của bản Free Edition, phiên bản Basic còn có thêm tính năng như quản lý Group (Group-based access management), người dùng tự reset mật khẩu cho mình (Self-service password reset), cấu hình Azure AD làm proxy chứng thực cho các dịch vụ bên dưới (Azure AD Application Proxy for Publish On-premise Web Application).

    - Premium Edition: tích hợp tất cả các tính năng của bản Free và Basic, ngoài ra còn có các tính năng cao cấp dành cho doanh nghiệp.

    Bên dưới là bảng so sánh tính năng giữa các phiên bản:

    Triển khai Office 365 Indentity Model Te1bb915

    Triển khai Office 365 Indentity Model Te1bb916

    Triển khai Office 365 Indentity Model Te1bb917

  3. Đối với sản phẩm Office 365 thì Windows Azure Active Directory sẽ chứng thực các dịch vụ nào?

    Triển khai Office 365 Indentity Model Te1bb918

    Hình bên trên mô tả về Azure AD sẽ chứng thực cho các dịch vụ của Office 365, ngoài ra còn có OneDrive for Business, Power BI, Office ProPlus.


III- Chi tiết về các mô hình triển khai

  1. Mô hình Cloud Identity

    Triển khai Office 365 Indentity Model Te1bb919

    Mô hình Cloud Identity là mô hình đơn giản nhất của Microsoft, cho phép người quản trị có thể khởi tạo trực tiếp User, Group, Contact trên Office 365. Các thông tin khởi tạo này sẽ được lưu vào Azure Active Directory database. Nhân viên, người sử dụng lúc này sẽ đăng nhập, chứng thực bằng Username và Password trực tiếp trên Office 365.

    Ưu điểm (Advantages)

    - Mô hình thích hợp cho các doanh nghiệp khoảng 10 – 50 user hoặc không có triển khai Active Directory On-Premise bên dưới hạ tầng.
    - Đơn giản hóa việc triển khai (Simplified Management).
    - Chỉ khởi tạo, kích hoạt bản quyền cho người dùng và sử dụng.
    - Khởi tạo, phân quyền group Email, group SharePoint trực tiếp trên Office 365 một cách đơn giản.
    - Không cần lo lắng nhiều về việc chứng thực vì người dùng đăng nhập, chứng thực trên Office 365.
    - Người dùng có thể tự động khôi phục mật khẩu mà không cần tới người quản trị (Self-Service Reset Password for Cloud users).

    Nhược điểm (Disadvantages)

    - Nếu tổ chức/doanh nghiệp có hệ thống Active Directory On-Premise mà không tích hợp lên Office 365 thì sẽ phát sinh 2 tài khoản sử dụng cho người dùng đầu cuối (1 tài khoản bên dưới để đăng nhập vào máy tính tham gia vào miền Domain và 1 tài khoản sử dụng dịch vụ Office 365).
    - Do 2 tài khoản không hợp nhất với nhau ở mô hình này, việc quản lý chính sách mật khẩu (Password Policy) sẽ khác nhau.

  2. Mô hình Synchronize Identity (Hybrid Identity with Password Sync)

    Triển khai Office 365 Indentity Model Te1bb920

    Mô hình Synchronize Identity là mô hình được Microsoft khuyên dùng, cho phép người quản trị có thể tích hợp hệ thống Active Directory bên dưới để đồng User và Password, Group, Contact lên Office 365. Việc đồng bộ này được thực hiện thông qua việc sử dụng một trong 2 công cụ đó là:

    + Azure Active Directory Synchronize Services (AD Sync Tool, tên gọi của phiên bản trước là DirSync Tool).
    + Azure Active Directory Connector – new version (https://azure.microsoft.com/en-us/updates/general-availability-azure-active-directory-connect/).

    Các tính năng tiêu biểu của Azure AD Synchronize Services – AD Sync Tool:

    - Việc cài đặt đơn giản, không cần reboot lại máy tính, không tốn thêm chi phí.
    - Có thể cài riêng một máy chủ ảo hoặc tích hợp cài trên Domain Controller.
    - Đồng bộ tất cả các thuộc tính của người dùng (Users) như Title, Department, Mobile Phone, Managed by, Full Name lên Office 365.
    - Quản lý chính sách mật khẩu bên dưới (Password Policy with Group Policy).

    Ưu điểm (Advantages)

    - Mô hình thích hợp cho các doanh nghiệp khoảng 100 user trở lên hoặc có triển khai Active Directory On-Premise bên dưới hạ tầng của mình.
    - Lúc này tổ chức/doanh nghiệp có hệ thống Active Directory On-Premise mà tích hợp lên Office 365 thì sẽ dùng chung 1 tài khoản sử dụng cho người dùng đầu cuối (tài khoản bên dưới vừa sử dụng để đăng nhập vào máy tính tham gia vào miền Domain và vừa sử dụng dịch vụ Office 365).
    - Quản lý chính sách mật khẩu ở Group Policy được áp dụng cho các người dùng đồng bộ từ dưới lên, người dùng thay đổi mật khẩu thì hệ thống sẽ tự động đồng bộ lên Office 365 (đồng nhất về username, password).
    - Username và Password đồng bộ lên trên Windows Azure Active Directory. Password lúc này không phải plaintext mà là chuỗi Password Hash. Toàn bộ dữ liệu đồng bộ lên đều đi bằng giao thức HTTPS (443) và mã hóa dữ liệu trước khi truyền.
    - Không cần lo lắng nhiều về việc chứng thực vì người dùng đăng nhập, chứng thực trên Office 365 đối với mô hình này.
    - Người dùng có thể tự động khôi phục mật khẩu trên Office 365 Portal mà không cần tới người quản trị nhưng bắt buộc phải sử dụng bản quyền Azure AD Premium Version để có tính năng Write-back Password Reset.

    Nhược điểm (Disadvantages)

    - Phải duy trì liên tục máy chủ chạy công cụ AD Sync Tool.
    - Người dùng vẫn phải chứng thực 2 lần: 1 lần đăng nhập máy tính, 1 lần đăng nhập sử dụng dịch vụ.
    - Không đạt được các tính năng nâng cao về bảo mật và chứng thực một lần cho tất cả các dịch vụ (SSO Experience) như mô hình Federated Identity.

  3. Mô hình Federated Identity (Hybrid Identity with SSO)

    Triển khai Office 365 Indentity Model Te1bb921

    Mô hình Federated Identity là mô hình được Microsoft cung cấp nhằm đáp ứng các yêu cầu khắt khe về trải nghiệm cũng như quản lý chính sách truy cập dịch vụ Office 365 đối với từng người dùng. Với mô hình Federated Identity, để triển khai mô hình này, doanh nghiệp có thể lựa chọn một trong 2 cách sau:

    a) Sử dụng role Active Directory Federation Services (ADFS) làm Identity Provider trong hạ tầng Active Directory của mình

    b) Sử dụng các Third-Party Identity Provider như: PingFederate 7.2, Centrify, OneLogin, SecureAuth IdP 7.2.0

    Thường thấy doanh nghiệp sử dụng luôn tính năng ADFS trong Active Directory làm đại diện Office 365 Identity Provider cho việc chứng thực, lúc này yêu cầu doanh nghiệp phải triển khai 4 máy chủ (2 máy chủ ADFS cho chứng thực Internal Access, 2 máy chủ ADFS Proxy cho External Access). Hoặc là triển khai 2 máy chủ ADFS, ADFS Proxy nhưng dựa trên nền tảng ảo hóa Virtualization (Hyper-V Clustering, VMware High Availability).

    Triển khai Office 365 Indentity Model Te1bb922

    Khi tổ chức doanh nghiệp sử dụng mô hình ADFS, sẽ có các tính năng như:

    - Trải nghiệm chứng thực một lần (Single Sign On – SSO Experience).

    - Hỗ trợ tốt cho OneDrive for Business client, tự động tích hợp tài khoản vào Microsoft Office ProPlus bên dưới để lưu tài liệu lên OneDrive for Business của cá nhân.

    - Block all extranet client access to Office 365 – chính sách khóa tất cả những truy cập bên ngoài sử dụng Office 365.

    - Block all extranet client access to Office 365, except for devices accessing Exchange Online for Exchange Active Sync – chính sách khóa tất cả những truy cập bên ngoài sử dụng Office 365 ngoại trừ giao thức ExchangeActive Sync.

    - Block all external access to Office 365 except for browser-based applications such as Outlook Web Access or SharePoint Online – chính sách khóa tất cả những truy cập bên ngoài sử dụng Office 365 ngoại trừ truy cập bằng Web như Outlook Web App hoặc SharePoint Online.

    - Block all external access to Office 365 for members of designated Active Directory groups – chính sách khóa tất cả những truy cập bên ngoài sử dụng Office 365 ngoại trừ một số người dùng trong Group cụ thể mà người quản trị định nghĩa.

    - Block only external Outlook clients – chính sách khóa tất cả những truy cập Outlook Client từ bên ngoài vào.

    Ưu điểm (Advantages)

    - Mô hình thích hợp cho các doanh nghiệp có các chính sách khắt khe về quản lý việc truy cập Office 365. Đạt được các tính năng nâng cao về bảo mật và chứng thực một lần cho tất cả các dịch vụ.
    - Lúc này tổ chức/doanh nghiệp có hệ thống Active Directory On-Premise vẫn phải tích hợp lên Office 365 thông qua Azure AD Sync Tool.
    - Quản lý chính sách mật khẩu ở Group Policy được áp dụng cho các người dùng đồng bộ từ dưới lên, người dùng thay đổi mật khẩu thì hệ thống sẽ tự động đồng bộ lên Office 365 (đồng nhất về username, password).
    - Password đồng bộ lúc này không phải plaintext mà là chuỗi Password Hash. Toàn bộ dữ liệu đồng bộ lên đều đi bằng giao thức HTTPS (443) và mã hóa dữ liệu trước khi truyền.
    - Người dùng có thể tự động khôi phục mật khẩu trên Office 365 Portal mà không cần tới người quản trị nhưng bắt buộc phải sử dụng bản quyền Azure AD Premium Version để có tính năng Write-back Password Reset.

    Nhược điểm (Disadvantages)

    - Tăng tải vận hành cho người quản trị (Increase workload – OPEX). Người quản trị phải đảm bảo các máy chủ AD Sync Tool, ADFS, ADFS Proxy phải hoạt động liên tục.
    - Tốn chi phí đầu tư license Windows cho các máy chủ chạy ADFS, ADFS Proxy (Software Licensing).
    - Yêu cầu phải hoạch định phần cứng và hạ tầng mạng cho phù hợp với tổ chức đó (Sizing Hardware & Network Bandwidth).
    - Việc chứng thực của người dùng lúc này là chứng thực bên dưới thông qua máy chủ ADFS, ADFS Proxy.
    - Username, contact, group sẽ được đồng bộ lên. Nhưng password sẽ không đồng bộ lên, do đó khi xảy ra sự cố người quản trị phải gõ thêm lệnh để đồng bộ password lên và chuyển domain của tổ chức mình đang sử dụng sang cơ chế Synchronized Identity.


IV- Đánh giá giữa các mô hình triển khai

Sau khi mô tả các mô hình triển khai Office 365 bên trên, doanh nghiệp và bạn đọc có thể lựa chọn mô hình phù hợp cho tổ chức của mình khi có nhu cầu triển khai Office 365.

- Cloud Identity: dành cho các công tỷ nhỏ lẻ từ 50 người dùng trở xuống và không có hệ thống Active Directory. Vì lúc này chúng ta sẽ giảm được thời gian cho các vấn đề Help Desk như Reset lại mật khẩu khi nhân viên yêu cầu, nhân viên có thể tự reset thông qua Email (Alternative Email), mã code điện thoại (Mobile Number), các câu hỏi (Question). Nhất là các nhân viên thường xuyên ra ngoài như Sale.

- Synchronize Identity: dành cho các công ty trung bình (SMB – Small Business) hoặc là có hệ thống Active Directory. Vì lúc này chúng ta sẽ tận dụng được tài khoản AD của người dùng bên dưới và tích hợp lên Office 365. Tránh được việc phát sinh 2 tài khoản ở mô hình Cloud Identity, ngoài ra vẫn quản lý chính sách mật khẩu theo tuân thủ của tổ chức. Đối với các nhân viên thường xuyên ra ngoài như Sale thì lúc này chúng ta nên tạo các người dùng đó trên Office 365 Portal (User In Cloud).

- Federated Identity: đa phần theo nhu cầu khách hàng mới triển khai mô hình này, thường thì đề xuất cho khách hàng sử dụng mô hình Synchronize Identity để tránh rủi ro quản trị các máy chủ ADFS, ADFS Proxy.

      

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang  Thông điệp [Trang 1 trong tổng số 1 trang]

Quyền hạn của bạn

Bạn không có quyền trả lời bài viết
free counters



  • Đoàn Ngọc Khánh

    mobile phone 098 376 5575


    Đỗ Quang Thảo

    mobile phone 090 301 9666


    Nguyễn Văn Của

    mobile phone 090 372 1401


    IP address signature
    Free forum | © PunBB | Free forum support | Liên hệ | Báo cáo lạm dụng | Thảo luận mới nhất