A razão do Single Sign On no Office 365 não ser destinados a SMB´s
Um dos mais inovadores e úteis recursos relacionados ao Office 365 é a capacidade de federação entre o seu ambiente local e o ambiente da nuvem. Este recurso que já foi apresentando em um post anterior permite que o Active Diretory sincronize os usuários de um domínio com o Office 365.
Como funciona?
O Single sign-on funciona criando uma relação de confiança entre o Office 365 e a rede interna do cliente. Isso é conhecido como “Federação” (um termo também usado para denotar significados semelhantes nos produtos Exchange Server/Online e Lync Server/Online). Esta relação de Federação utiliza criptografia baseada em certificado, o que significa que qualquer troca de informações entre servidores do cliente e o Office 365 é segura.
Ao nível bem básico uma cópia contínua unidirecional de usuário do Active Directory do cliente (contas e grupos) é feita para o ambiente do Office 365. No nível superior o sistema de Federação conhecido como Active Directory Federation Services (ADFS) gerencia o controle de acesso real com o Office 365 com base nas informações contidas no seu Active Directory.
O que acontece por de trás?
Essencialmente uma sincronização do Active Directory é necessária para o Office 365. A ferramenta que a Microsoft fornece (DirSync) não pode ser executado em um controlador de domínio e só pode ser executada em um servidor membro. Se você estiver executando o Small Business Server 2003/2008 ou tem um único servidor Windows em sua rede, e este é o controlador de domínio, você não pode instalar o DirSync nele.
Então já qualquer organização intencionando a implementação do DirSync precisa de um segundo servidor (não necessariamente dedicado) para instalar o DirSync nele.
O ADFS requer mais dois servidores no mínimo para se comunicar com o Office 365. Um destes executado o papel de “servidor”, enquanto o outro atua como o “proxy” para o Office 365, minimizando o acesso externo necessário para o Active Directory.
Melhor prática dita que o ADFS deve ser configurado no modo de alta disponibilidade o que requer outros dois servidores. A razão para isto é devido ao fato de que se Office 365 não pode alcançar seu ambiente do Active Directory, os usuários não poderão obter suas caixas de correio ou acessar a intranet independentemente de eles estarem dentro ou fora da rede, é recomendável, portanto, a alta disponibilidade.
Por que não para Pequenas Empresas?
Uma das atrações principais para as organizações a migrarem para o Office 365 é minimizar a sua quantidade de servidores, em alguns casos até mesmo para nenhum. O Single sign-on soa bem, mas na realidade para pequenas e médias empresas pode ser mais problemas do que realmente uma solução útil. Outro aspecto importante é que a implementação de um ambiente com estas características pode envolver uma equipe de TI bem treinada e com bastante maturidade para isso, consultoria e serviços que podem sem bem caros em alguma situações, são necessários.
Existem alternativas?
Muitas organizações escolhem utilizar apenas o DirSync para que os usuários e grupos sejam enviados para Office 365. Em um cenário pequeno e médio é possível se você precisa que os usuários usem as mesma credenciais locais para logar no Office 365, para isso você deve desabilitar a politica de tempo de duração do password que por padrão é de 90 dias. Depois você pode alterar a politica de complexidade da maneira que quiser para que ela seja igual a politica local do seu AD. Em um período de tempo que sua organização determinar o password para logon no domínio é alterado.Existe um pouco de trabalho manual neste método que pode ser aplicável se houver uma boa comunicação com os usuários. Basicamente o método consiste:
1 – Resetar o password de todos os usuários do Office 365
2 – Resetar o password local do AD para os usuários que possuem contas na nuvem
3 – Instruir aos usuários que usem o mesmo password criado no Office 365 para o ambiente local
Existe uma grande expectativa que o método para SSO no Office 365 fique ainda mais simples na próxima versão do produto. O que podemos fazer por hora é esperar para ver.