chmura zmienia wszystko. kto tego nie odczuł, to chyba przez ostatni rok był na wakacjach na Marsie. od długiego czasu Microsoft przepisuje wszystkie usługi na WS*, podstawą integracji Azure z onpremem jest ADFS, musi przyjść kolej i na protokoły uwierzytelnienia. stare, 'LANowskie’, mają swoje wady przy wykorzystaniu w takiej integracji. odpowiedzią jest coś, co nazywa się 'modern authentication’.
do czego służy? krótko – do pobrania tokenu z Azure AD, którym aplikacje będą mogły się posługiwać w celu uwierzytelnienia. efekt końcowy – natywne wsparcie dla MFA (MultiFactor Authentication) przez aplikacje oraz realizacja pełnego, przeźroczystego SSO dla aplikacji Azure.
nowość!(?)
modern authentication jest obecnie w fazie public preview – a więc w zasadzie go jeszcze nie ma. największy buzz zaczął się w listopadzie 2o15, kiedy pojawiała się nowa wersja biblioteki… ale co ciekawe, nowością nie jest. jeden z lepszych wpisów, wyjaśniających działanie biblioteki można znaleźć tutaj – datowane na sierpień 2o12… biblioteka, która odpowiedzialna jest za realizację logowania przeszła nazewniczne metamorfozy – AAL (Windows Azure Authentication Library), WAAL, a obecnie ADAL (Microsoft Azure Active Directory Authentication Library).
lista obecnie wspieranych cech i zakresu gotowości ADAL jest w poście z listopada, który wspominałem oraz na technecie. na razie więcej informacji developerskich – dość normalne dla produktu w tej fazie.
w praktyce
w praktyce potrafi skorzystać już z tego office2o16 (outlook, skype) oraz office2o13. przy czym w o16 ten typ uwierzytelnienia jest włączony standardowo, w o13 wymagane są poprawki (standardowe, więc jeśli ktoś dba o aktualizacje, to tą funkcjonalność ma) oraz włączenie funkcji w rejestrze.
to jednak nie wystarczy. podstawową zmianą jest włącznie obsługi modern authentication dla office365 – a konkretnie dla Exchange OL:
set-organizationconfig -oauth2clientprofileEnabled $true
po włączeniu, outlook i skype urzywają już MA zamiast basic authentication, co w praktyce przekłada się na niby błahą, ale istotną zmianę – nie ma już ramki z pytaniem o użytkownika i hasło, gdzie jedynym sposobem automatyzacji jest zaznaczenie opcji 'save credentials’ i przechowywanie ich w credential managerze. teraz zmiany hasła są również przeźroczyste dla użytkownika końcowego.
eN.
