Schlagworte wie „Public Cloud first“ oder sogar „Public Cloud only“ sind en vogue. Agile, zukunftsorientierte, innovative Unternehmen können gar nicht anders: Sie setzen auf die Public Cloud. Deren Vorteile sind hinlänglich bekannt: Einfachheit, Dynamik, „Kostengünstigkeit“. Agilität ist großartig für selbst entwickelte neue Applikationen in Kernprozessen. Aber wenn Unternehmen schon auf Agilität setzen, dann muss das ganzheitlich sein. D.h. die Collaboration Tools für den Arbeitsplatz der Zukunft dürfen da nicht zurückstehen. Also ab in die Public Cloud.
Der Arbeitsplatz der Zukunft kommt aus der Cloud. Aber eben nicht nur – wer im Business-Umfeld Office einsetzen will, der möchte das sowohl im Online-Cloud-Modus tun als auch im (netzlosen) lokalen Modus. Aber in beiden Modi muss der Nutzer entsprechend wiedererkannt werden – lokal und während er in der Public Cloud arbeitet.
Anders als im privaten Umfeld können sich Unternehmen nicht mit einer reinen Public-Cloud-Lösung für das Identity Management abfinden. Im Heimnetzwerk können wir das leicht und guten Gewissens an zentrale Microsoft-Dienste abgeben. Im Unternehmensumfeld brauchen wir für das Identity Management aber üblicherweise ein eigenes Active Directory.
Oder um es mit einem Bild zu sagen: Agile Arbeitsplätze aus der Public Cloud sind wie eine Hochleistungsrennmaschine mit allem Schnickschnack, aber leider ohne Sicherheitsgurte – oder wahlweise mit Schlössern, die sich mit Büroklammern öffnen lassen. Apropos: Hatte Marty McFly eigentlich einen Autoschlüssel dabei?
Microsoft bietet mit Cloud Identity eine Identity-Management-Lösung für Nutzer, die Office 365 nutzen wollen und kein lokales Active Directory haben. Der Vorteil: Verwaltung und Infrastruktur auf Seiten des Nutzers entfallen. Die Einfachheit der Cloud lässt grüßen. Die Benutzerkonten sind dabei ausschließlich in einem sogenannten Azure Active Directory vorhanden. Und dieses liegt – wie auch die Kennwörter – bei Microsoft. Das bedeutet für den Nutzer: Single Sign on ade. Fehlende Kontrolle über Kennwörter und Nutzerverwaltung? Nicht für jedes Unternehmen die passende Lösung.
Der nächste Schritt wäre der Einsatz einer Synchronized Identity. Dafür braucht der Office-365-Nutzer ein eigenes Active Directory – und steigt bereits auf dieser niedrigen Ebene in die hybride Welt ein. Denn dieses Active Directory kann er selbst im eigenen Haus betreiben oder alternativ in einer privaten Cloud bei einem anderen vertrauenswürdigen Provider. Dieses Active Directory muss natürlich kontinuierlich mit dem bei Microsoft abgeglichen werden. Das geschieht über Azure AD Connect, das u.a. die Passwort-Hashes dorthin kopiert.
Wer aber lokal und in der Public Cloud das gleiche Kennwort verwenden möchte, sich nicht ständig neu anmelden will, seine Passwörter lokal halten möchte oder sogar 2-Faktor-Authentifizierung einsetzen will, ist mit der Synchronized Identity nicht gut beraten. Allzumal die genannten „Features“ nicht gerade den Anspruch an gesteigerte User Experience am Arbeitsplatz der Zukunft sichern. Aus Sicherheits- und Komfortgesichtspunkten ist dies nicht optimal. Hier kommt die Federated Identity ins Spiel.
Dazu braucht es zusätzlich einen Active Directory Federated Server, einen WAP Proxy und AAD Connect (Azure Active Directory Connect). Passwörter bleiben im Haus, Nutzer müssen sich nur einmal anmelden. Elegant und sicher.
Besondere Bedeutung hat der Federated-Identity-Ansatz für den digitalen Arbeitsplatz der Zukunft aber insbesondere für Exchange. Auf gut Deutsch: Wer Outlook-Dienste wie Mail und Kalender sicher nutzen will (und ich kann mir nur wenige Unternehmen vorstellen, die das nicht tun …), kommt an einem eigenen Active Directory nicht vorbei. Ohne diese Inhouse-Exchange-Installation kann kein Kunde Exchange nutzen. Diese sollte übrigens redundant erfolgen (inklusive Backup).
Der einzige (supportete und praktikable) Weg, Attribute im AAD zu pflegen, ist über die Exchange Management Tools: Exchange Admin Center und Exchange-Powershell. Dabei lässt sich über AADSync das lokale Active Directory zum „Meister aller Klassen“ erklären. Das externe Azure Active Directory wird hinsichtlich der Attribute „read-only”. Geändert werden Attribute ausschließlich im eigenen Inhouse-AD, die Änderungen werden anschließend an das Azure AD „durchgereicht“.
Das bedeutet: Auch wenn alle Mailboxen (inklusive Daten) in Office 365 liegen – die Konfiguration liegt bei eingeschalteten AADSync weiterhin lokal. Also automatisch hybrid. Nur ein hybrider Ansatz macht die professionelle Nutzung von Office 365 aus der Public Cloud möglich. So schnell wird die hybride Collaboration-Welt durch den Arbeitsplatz der Zukunft wahr.