In diesem Beitrag möchte ich euch zeigen, wie eine Migration von ADFS zur Cloud Authentifizierung in Microsoft 365 durchgeführt werden kann.
Vor einiger Zeit war ADFS die einzige Möglichkeit, ein Single Sign On (SSO) in Verbindung mit der Microsoft 365 Cloud zu realisieren. SSO vereinfacht für die Benutzer die Nutzung der Cloud ungemein. Deshalb entstanden so viele ADFS Installationen in Firmen, die ausschließlich für Microsoft 365 genutzt werden (Mit ADFS kann man natürlich noch einiges mehr machen, aber darum geht es in diesem Artikel nicht). ADFS hat die Nachteile, dass eine eigene Infrastruktur dafür betrieben und gewartet werden muss und immer eine Abhängigkeit zur Verfügbarkeit dieser Infrastruktur besteht. Ist die ADFS Infrastruktur nicht verfügbar (z.B. Ausfall der Internetleitung, Windows Update der Server), können sich die Benutzer auch nicht in Microsoft 365 anmelden. Somit muss man das ADFS Konstrukt möglichst redundant auslegen und eine entsprechend sichere Veröffentlichung nach extern gewährleisten.
Mittlerweile wird für ein SSO aber kein ADFS mehr zwingend benötigt. Eine Synchronisation der Passwort Hashes (PHS) nach Microsoft 365 und die Aktivierung von SSO reicht nun aus. Möglich ist natürlich auch eine Pass Through Authentifizierung, die wir in dem Beispiel nicht berücksichtigen, aber genauso funktioniert. Deshalb wird der Wunsch bei Firmen von einem Wechsel von ADFS zur Cloud Authentifizierung immer größer. Man spart sich einiges an lokaler Infrastruktur, die Geld kostet.
Eine Umstellung von ADFS zur Cloud Authentifizierung sollte bei größeren Umgebungen gut geplant und getestet sein. Aber wie teste ich die Cloud Authentifizierung mit konkreten Benutzern? Eine komplette Umstellung ist zwar möglich (durch Azure AD Connect), aber dies betrifft dann alle Benutzer. Dadurch ist kein sinnvolles Testen möglich, was eine reibungslose Umstellung schwieriger macht. Deshalb besteht auch die Möglichkeit, die Cloud Authentifizierung nur für bestimmte Benutzer zu aktivieren. Somit ist eine Testphase möglich, in der alle relevanten Szenarien ausgiebig getestet werden können und die Umstellung der Benutzer nach und nach erfolgen kann. Diese Umstellung erfolgt im Azure Active Directory Portal.
Unter dem Punkt Azure AD Connect
befindet sich unsere momentane Konfiguration. Dort sehen wir, dass wir momentan eine Domäne mit ADFS verbunden haben und dass die Synchronisation vom Passwort-Hash bereits aktiv ist. Die Synchronisation vom Passwort-Hash ist extrem wichtig zum Testen, weil wir sonst diese logischerweise nicht testen können. Also muss ggf. die Synchronisation vom Passwort-Hash noch vorher aktiviert werden. Dies funktioniert auch wieder über die lokale Azure AD Connect Installation.
Nun können wir die Cloud Authentifizierung für bestimmte Benutzer aktivieren.
Nun können wir die Art der Cloud Authentifizierung aktivieren und eine entsprechende Benutzergruppe hinterlegen.
Die Aktivierung der Cloud Authentifizierung erfolgt immer über entsprechende Gruppen (keine dynamischen oder verschachtelten Gruppen) und nicht einzelnen Benutzern. Wenn also noch keine entsprechende Gruppe existiert, muss diese vorher angelegt werden.
Ab diesem Punkt nutzen die hinterlegten Benutzer die Cloud Authentifizierung und können mit dem Testen beginnen. So können nacheinander alle Benutzer umgestellt werden. Sollte es zu Problemen kommen, kann die Cloud Authentifizierung für betroffene Benutzer auch wieder durch das Entfernen aus der hinterlegten Gruppe(n) rückgängig gemacht werden. Natürlich kann die Umstellung ein Stück dauern, erfahrungsgemäß funktioniert dies aber recht schnell.
Wenn bei allen Benutzern die ADFS zur Cloud Authentifizierung erfolgreich durchgeführt wurde, muss das ADFS komplett aus dem Azure AD Connect entfernt werden. Dies erfolgt über die lokale Azure AD Connect Installation.
Dort können wir die Art der Benutzerauthentifizierung anpassen.
Zuerst müssen wir uns mit einem globalen Administrator am Azure AD anmelden.
Dort wählen wir dann die ADFS Authentifizierung ab und ersetzen diese durch die Password Hash Synchronization als Cloud Authentifizierung. Weiterhin aktivieren wir das Single Sign On.
Dann müssen wir noch die notwendige Konfiguration für die lokale Domäne vornehmen. Dafür wird ein Domänen-Administrator benötigt. Warum und wieso, könnt ihr hier nachlesen: https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-sso-how-it-works
Danach kann die Konfiguration durchgeführt werden.
Nach der Anpassung kann die Änderung auch im Azure AD Portal nachvollzogen werden. Dort ist Federation (ADFS) deaktiviert und für das SSO ist nun eine Domäne hinterlegt.
Ich hoffe, ich konnte euch zeigen, wie man eine reibungslose Umstellung von ADFS zur Cloud Authentifizierung vornehmen kann. 🙂