15. ročník konference TechEd-DevCon

S příchodem aktuální verze Office 365 na trh pro nás Microsoft v rámci rozsáhlého balíku cloudových služeb připravil celou řadu změn, které nabízejí nové možnosti a scénáře jejich začlenění do portfolia služeb, které zákazníci již provozují on-premise. V čím dál větší míře se uplatňují různé verze spolupráce, kdy spojením výhod on-premise a cloudového řešení využijeme toho nejlepšího, co je v obou světech aktuálně dostupné. Co je k tomu potřeba?

externí autořiexterní autoři
Cloud ServicesCloud Services
25.6.2013 16:17:0025.6.2013 16:17:00

externí autoři

externí přispěvatelé magazínu softwarový QUAS

DAQUAS
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Office 365 – Hybridní scénáře

S příchodem aktuální verze Office 365 na trh pro nás Microsoft v rámci rozsáhlého balíku cloudových služeb připravil celou řadu změn, které nabízejí nové možnosti a scénáře jejich začlenění do portfolia služeb, které zákazníci již provozují on-premise. V čím dál větší míře se uplatňují různé verze spolupráce, kdy spojením výhod on-premise a cloudového řešení využijeme toho nejlepšího, co je v obou světech aktuálně dostupné. Co je k tomu potřeba?

Identity, hesla, DirSync a ADFS

Hybridní scénáře implementace Office 365 se skládají z on-premise řešení, neboli lokální instalace dané technologie provozované na serverech společnosti, a z online řešení Office 365, provozovaného v cloudu. Aby vaši uživatelé mohli přistupovat k jednotlivým službám Office 365, budou se muset při přístupu autentizovat. V rámci cloudových služeb tedy musí vzniknout účet/identita, která je následně navázána na jednotlivé služby Office 365. Tato identita může vzniknout několika způsoby a každý z nich má své výhody i nevýhody. Pro výběr té nejvhodnější varianty se rozhodnete na základě informací o konkrétním prostředí, či požadavcích dané služby.

Identita v Microsoft Online

Při této variantě zakládáte uživatelské účty pomocí správcovských nástrojů přímo v rámci Office 365, tedy v rámci Windows Azure Directory. Účty můžete založit jednotlivě, nebo je lze importovat hromadně a založit tak větší množství uživatelů najednou. Takto založené účty jsou zcela nové, není zde žádné propojení s čímkoli jiným než s Office 365, a proto se jedná o optimální řešení pro malé firmy bez vlastního IT prostředí. Tento scénář je také vhodný pro ty, kdo chtějí cloudové identity striktně oddělit od všeho ostatního. Nespornou výhodou je, že pro něj nepotřebujete žádné on-premise servery, naopak za nevýhodu by mohlo být považováno to, že uživatel bude při přístupu k jakékoli službě vždy dotazován na uživatelské jméno a heslo, které pro něj bude navíc zcela nové a nikde jinde je nebude používat.

Důležité: Pokud se rozhodnete pro toto řešení identit, není možné nasazení většiny hybridních scénářů.

Identita v Microsoft Online replikovaná z Active Directory

Díky synchronizaci účtů on-premise Active Directory pomocí nástroje DirSync s identitami v cloudu lze zajistit, aby nově vzniklé účty ve vašem prostředí byly téměř ihned synchronizovány do cloudové Windows Azure Directory. V takovém případě ale není možné identity v cloudu jakkoli editovat, změny je nutné provádět vždy na straně on-premise Active Directory a tyto změny jsou následně přeneseny do cloudu při další synchronizaci. Je ale potřeba upozornit na to, že takto vytvořeným účtům se z důvodu bezpečnosti nemohou z on-premise Active Directory replikovat hesla. Synchronizovaný účet je následně vždy nutné ze strany správce v Office 365 aktivovat, což v praxi znamená přiřazení cloudové licence a nastavení dočasného hesla, které si při prvním přihlášení uživatel změní na své vlastní, čímž fakticky dojde k zajištění přístupu k dané službě. Situace, ve které se uživatel přihlašuje sice jednou identitou, nicméně se dvěma hesly podle toho, ke kterému prostředí přistupuje, může být pro mnohé uživatele velmi matoucí. Tyto přihlašovací chyby mohou vést až k momentu, kdy si z důvodu této schizofrenní situace uživatel zamkne svůj účet. Je proto potřeba počítat se zvýšenými nároky na straně uživatelské podpory.

Důležité: Replikace účtů z on-premise Active Directory do cloudové Windows Azure Directory v Office 365 je základní podmínkou pro většinu hybridních scénářů.

PS: V průběhu první poloviny roku 2013 bude ze strany Office 365 nabídnuta nová služba Password Sync, která umožní i synchronizaci hesel.

Federované identity pomocí DirSync a ADFS

Toto propojení dvou prostředí dává hlubší smysl při využití single-sign-on (SSO), neboli jednotného přihlášení pro oba světy. Z technického hlediska jde o propojení dvou adresářových služeb pomocí technologie ADFS. Výsledkem je, že uživatel používá jediné přihlášení do lokální Active Directory a v případě potřeby autentizovat uživatele proti službám v cloudu dochází k předávání autorizačních požadavků mezi on-premise a cloudovými ADFS servery. Tímto způsobem dokáže cloud transparentně autentizovat uživatele, resp. identity vytvořené v lokální Active Directory. Dochází tedy k federování identit, a to pomocí dvou služeb. Samotná služba ADFS je instalována do interního prostředí vaší Active Directory (např. přímo na doménovém řadiči). K ní je potřeba připojit službu ADFS Proxy, která je naopak provozována mimo toto prostředí (ideálně např. v DMZ síti), je publikována do internetu jako webová služba (HTTPS) a přijímá autentizační požadavky, které následně předává na interní ADFS server. Ten je finálně zodpovědný za předání informace o tom, zdali autentizace proběhla korektně, či nikoli. Díky tomuto scénáři tak zůstává autentizace stále na straně on-premise Active Directory. Uživatel má stále jen jedno jediné heslo, které se navíc řídí politikami hesel používanými ve společnosti. Pokud chcete, je možné vynutit si i vícefázovou autentizaci (např. pomocí čipové karty). Výraznou výhodou je jistě to, že tato prostředí plně podporují SSO, takže uživatel po přihlášení do osobního profilu na svém PC už dále při přístupu k jednotlivým službám není dotazován na heslo.

Bohužel, každá mince má dvě strany. Je potřeba si uvědomit, že v případě nedostupnosti služeb ADFS (výpadek serveru, internetové konektivity atd.) přestanou být služby na straně Office 365 pro uživatele dosažitelné. Proto je zcela nezbytné provozovat ADFS servery jako vysoce dostupné, což samozřejmě zvyšuje náklady na zřízení a následný provoz této služby. V případě prostředí se stovkami a tisíci uživateli se však jedná o akceptovatelné náklady, které jsou vyváženy celkovým přínosem.

Důležité: Přenesení autentizace ze strany Office 365 na on-premise Active Directory pomocí služby ADFS je sice doporučované a velmi praktické řešení, nicméně není pro hybridní scénáře povinné.

Identity, hesla, DirSync a ADFS

Změny v aktuální verzi služby Office365

Exchange

Hybridní scénář, ve kterém se propojí Exchange on-premise se službou Exchange Online, vám z pohledu správce nabídne přístup k oběma prostředím jako k jedné jediné organizaci. Z pohledu koncového uživatele je tato změna zcela transparentní a platí tedy, že i poté, co jsou jednotlivé schránky distribuovány z on-premise prostředí do cloudu, jsou možnosti spolupráce mezi těmito uživateli víceméně stejné, jako kdyby k žádnému propojení nikdy nedošlo. Pokud je současně s nasazením hybridního scénáře také zprovozněna služba ADFS, kdy uživatel fakticky v obou prostředích používá stále tu samou identitu a její heslo, můžete přesouvat uživatelské schránky zcela dle vašich potřeb, aniž by si toho koncový uživatel vůbec všiml.

Hybridní scénář Exchange tedy nabízí zejména následující:

  • Možnost přesunu schránek z jednoho prostředí do druhého zcela bez vědomí uživatele. Po dokončení přesunu je klient pouze vyzván k restartování Outlook klienta, kdy jeho rekonfiguraci zajišťuje služba Autodiscover
  • Po přesunu schránky z jednoho prostředí do druhého zůstává na straně klienta zachován soubor s offline kopií jeho schránky (OST soubor)
  • Součástí přesunu schránky jsou i oprávnění Send As/Full Access
  • Všechny schránky, bez ohledu na to, kde se nacházejí, jsou součástí jednoho globálního adresního listu (GAL) a společné jsou i informace o volném čase (Free/Busy time)
  • Směrování zpráv pomocí SMTP je chápáno jako interní a nejsou na něj tak aplikovány stejné antivir/antispam politiky jako na zprávy z Internetu
  • Uživatel má možnost si dohledat informace o doručení konkrétní zprávy

Exchange, hybridní architektura

Z výše uvedeného je naprosto zřejmé, že se jedná o scénář, který toho nabízí velmi mnoho, ve kterém je minimum technických omezení a tím pádem to, jak tyto možnosti využijete, je jen na vás a vašich potřebách. Internisté mohou být např. umístěni na interních Exchange serverech, zatímco externisté v cloudu. To samé by se jistě dalo uplatnit v případě velkého ústředí a mnoha malých, málo spravovaných poboček. Toto propojení může být neméně zajímavé pro společnosti, které používají starší verzi Exchange a nemají prostředky, nebo nechtějí přejít na novou verzi Exchange v celé organizaci, nicméně pro některé schránky by funkcionalitu spojenou s novější verzí využili.

Technicky bude k zajištění hybridního scénáře potřeba na straně on-premise jeden Exchange 2013 CAS/MBX, pomocí kterého dojde k propojení obou organizací. Samotné spojení je potom vytvořeno díky výrazně zjednodušenému průvodci, který si v několika krocích zjistí všechny nezbytné technické informace a zajistí nejen správnou konfiguraci, ale i její distribuci do obou prostředí.

Poznámka licenčních specialistů: pokud uvedete do provozu hybridní řešení mezi onsite a online Exchange, pak nezapomeňte na to, že všichni uživatelé přistupují i k Exchange verze 2013 – k tomu s rolí CAS a MBX – který propojuje vaše prostředí s cloudem. Budou tedy potřebovat oprávnění k přístupu ve verzi 2013. To jim zajistíte buďto online službou obsahující Exchange Online, nebo pro uživatele využívající výhradně onsite Exchange můžete pořídit klientskou přístupovou licenci Exchange 2013 CAL. Klientské přístupové licence pro všechny uživatele ve společnosti (bez rozdílu využívaného Exchange) budete potřebovat i pro Windows Server běžící pod Exchange 2013 CAS/MBX.

Exchange, hybridní nasazení

Omezení: V rámci nového Office 365 jsou na straně on-premise podporovány organizace s verzemi Exchange 2007, 2010 a 2013.

Odkazy na články Exchange Team Blog:

Odkazy na TechNet:

SharePoint

Propojení prostředí SharePoint 2013 on-premise s prostředím SharePoint Online v rámci Office 365 poskytuje například možnost federovat výsledky vyhledávání, tzn., že uživatel zadá vyhledávací kritéria a služba vyhledávání poskytne data z obou „světů“ bez ohledu na to, kde uživatel vyhledávání zadal. Pro tuto integraci je nutná konfigurace v obou prostředích.

Další možností je využití BCS, neboli Business Connectivity Services, které umožňují bezpečnou publikaci interních firemních dat uživatelům prostředí SharePoint Online. SharePoint Online podporuje pouze jednosměrné spojení. Tímto způsobem lze v prostředí SharePoint Online poskytovat uživatelům data, která jsou uložena v interních systémech společnosti on-premise. Při použití SSO uživatel nepozná rozdíl.

SharePoint, SSO

Díky změně v architektuře workflow v SharePoint 2013 je možné pro běh workflow využít dedikovanou farmu. To se uplatní nejen v on-premise řešení, ale i v hybridních scénářích, kdy lze využít pro běh workflow výpočetního výkonu Windows Azure Workflows, a tak zcela zásadně „odlehčit“ on-premise serverům.

SharePoint, workflow

Další změnou v architektuře SharePoint 2013 je tzv. Cloud App Model, který umožňuje hostovat aplikace v Azure. Existuje několik možností hostování aplikací pro platformu SharePoint 2013, v případě hybridních scénářů jde o model „Autohosted“, kdy jsou aplikace hostovány ve „Windows Azure Web Sites“. Další možností je využití „Provider-hosted“ modelu, kdy může být jedna z částí hostována také v Azure infrastruktuře.

SharePoint, CloudAppModel

Lync

Nově je v rámci Office 365 nabízena i možnost hybridního scénáře u služby Lync Online. Protože rozdíl mezi tím, co nabízí on-premise Lync Server 2013 a aktuální Lync Online, je proti předchozím dvěma technologiím Exchange a Share­Point největší, můžeme propojením těchto dvou světů – a to nejen z technického hlediska – získat pravděpodobně nejvíc.

Mezi nejvýznamnější výhody při nasazení hybridního scénáře u služby Lync patří:

  • Propojení mezi on-premise a online uživateli
  • Možnost migrace uživatelů mezi prostředím on-premise a cloudu (plně podporována migrace kontaktů a skupin, částečně také schůzek), bez nutnosti změn na straně klienta (např. migrace celých oddělení/poboček do cloudu, dle potřeb společnosti). Uživatelé jsou migrováni dle svých potřeb do patřičného prostředí (např. základní typy komunikací jsou provozovány v rámci cloudu, pokročilejší extra služby může nabízet on-premise řešení)
  • Hlasové služby zbudované a provozované v rámci on-premise prostředí lze zpřístupnit i uživatelům Lync Online (hlasové služby a napojení na PSTN síť, tzv. Hybrid Voice)
  • Možnost používání jedné, sdílené SIP domény v obou prostředích
  • Zachování možnosti propojení Lync on-premise řešení a online služeb Exchange a SharePoint v situaci, kdy firma využívá jednotlivé služby různě rozmístěné v obou prostředích (např. Exchange se přesouvá do cloudu, Lync zůstává on-premise)
Lync, hybridní nasazení

Závěr

S příchodem nové verze Office 365 nabízejí jednotlivé cloudové služby nové a velmi zajímavé možnosti hybridních scénářů propojení s on-premise servery, díky nimž máme možnost využít z obou světů to, co nám aktuálně nejvíc vyhovuje. Filozofie cloudových služeb Office 365 uvolňuje ruce oddělení IT, pokud je firma má, aby se mohlo věnovat více uživatelům a specifickým potřebám byznysu, šetří i další dodatečné náklady a prostředky. Správu služeb Office 365 můžete provádět zcela sami, nebo ji svěřit do rukou profesionálů pomocí delegované správy.

Martin Pavlis (pavlis@kpcs.cz) a Jakub Urban (urban@kpcs.cz) | KPCS CZ, s.r.o.