S příchodem nové verze Office 365 na trh, pro nás Microsoft v rámci rozsáhlého balíku cloudových služeb připravil celou řadu změn, z nichž mezi ty nejzajímavější patří následující:
Všechny tyto změny a novinky tak mohou společnostem nabídnout zcela nové možnosti a scénáře začlenění cloudových služeb do portfolia stávajících, zákazníkem provozovaných služeb. Jinými slovy – ne vždy bude ideální využití pouze on-premise varianty daného produktu tak, jak to bylo obvyklé dosud. Na druhou stranu – ne každá společnost je připravena na plný přechod do cloudu. A tak se v čím dál větší míře uplatňují různé verze spolupráce, kdy spojením benefitů on-premise a cloud řešení využijeme toho nejlepšího, co je v obou světech aktuálně dostupné. Spolupráce hlavních služeb z Office 365 s on-premise prostředím bude přesně to, na co se v následujících řádcích zaměříme. Postupně si představíme hybridní možnosti propojení Exchange, Sharepoint a Lync služeb a protože k těmto scénářům bude potřeba znalost i několika dalších nezbytných kroků v rámci Office 365, přehledově se pokusíme seznámit i s nimi.
Identity, hesla, DirSync a ADFS
Hybridní scénáře implementace Office 365 se sestávají jak z on-premise řešení, neboli lokální instalace dané technologie provozované na serverech společnosti, tak z online řešení Office 365, provozovaného v Cloudu. Aby vaši uživatelé mohli přistupovat k jednotlivým službám Office 365, budou se muset při přístupu autentizovat. V rámci cloud služeb tedy musí vzniknout účet/identita, která je následně navázána na jednotlivé služby Office 365. Tato identita může vzniknout několika způsoby a každá z nich má své výhody, či nevýhody. Pro výběr té nejvhodnější varianty se rozhodnete na základě informací o konkrétním prostředí, či požadavcích dané služby.
Identita v Microsoft Online
Při této variantě zakládáte uživatelské účty pomocí správcovských nástrojů přímo v rámci Office 365, tedy v rámci Windows Azure Directory. Účty můžete založit jednotlivě, nebo je lze importovat hromadně a založit tak větší množství uživatelů najednou. Takto založené účty jsou zcela nové, není zde žádné propojení s čímkoli jiným než s Office 365 a proto se jedná o optimální řešení pro malé firmy bez vlastního IT prostředí. Tento scénář je také vhodný pro ty, kdo chtějí cloud identity striktně oddělit od všeho ostatního. Nespornou výhodou je, že pro tento scénář nepotřebujete žádné on-premise servery, naopak za nevýhodu by mohlo být považováno to, že uživatel bude při přístupu k jakékoli službě vždy dotazován na uživatelské jméno a heslo, které pro něj bude navíc zcela nové a nikde jinde jej nebude používat.
Důležité: Pokud se rozhodnete pro toto řešení identit, není možné nasazení většiny hybridních scénářů.
Identita v Microsoft Online replikovaná z Active Directory
Díky synchronizaci účtů on-premise Active Directory pomocí nástroje DirSync s identitami v cloudu lze zajistit, aby nově vzniklé účty ve vašem prostředí byly téměř ihned synchronizovány do cloudové Windows Azure Directory. V takovém případě ale není možné identity v cloudu jakkoli editovat, změny je nutné provádět vždy na straně on-premise Active Directory a tyto změny jsou následně přeneseny do Cloudu při další synchronizaci. Je ale potřeba upozornit na to, že takto vytvořeným účtům se z důvodu bezpečnosti nemohou z on-premise Active Directory replikovat hesla. Synchronizovaný účet je následně vždy nutné ze strany správce v Office 365 aktivovat, což v praxi znamená nastavení dočasného hesla, které si při prvním přihlášení uživatel změní na své vlastní a přiřazení cloudové licence, čímž fakticky dojde k zajištění přístupu k dané službě. Situace, ve které se uživatel přihlašuje sice jednou identitou, nicméně se dvěma hesly podle toho, ke kterému prostředí přistupuje, může být pro mnohé uživatele velmi matoucí. Tyto přihlašovací chyby mohou vést až k momentu, kdy si díky této schizofrenní situaci uživatel zamkne svůj účet. Je proto potřeba počítat se zvýšenými nároky na straně uživatelské podpory.
Důležité: Replikace účtů z on-premise Active Directory do cloudové Windows Azure Directory v Office 365 je základní podmínkou pro většinu hybridních scénářů.
PS: V průběhu první poloviny roku 2013 bude ze strany Office 365 nabídnuta nová služba Password Sync, která umožní i synchronizaci hesel
Federované identity pomocí DirSync a ADFS
Toto propojení dvou prostředí dává hlubší smysl při využití single-sign-on (SSO), neboli jednotného přihlášení napříč oběma světy. Z technického hlediska jde o propojení dvou adresářových služeb pomocí technologie ADFS. Výsledkem je, že uživatel používá jediné přihlášení do lokální Active Directory a v případě potřeby autentizovat uživatele proti službám v cloudu dochází k předávání autorizačních požadavků mezi on-premise a cloudovými ADFS servery. Tímto způsobem dokáže cloud transparentně autentizovat uživatele, resp. identity vytvořené v lokální Active Directory. Dochází tedy k federování identit a to pomocí následujících dvou služeb. Samotná služba ADFS je instalována do interního prostředí vaší Active Directory (např. přímo na doménovém řadiči). K ní je potřeba připojit službu ADFS Proxy, která je naopak provozována mimo toto prostředí (ideálně např. v DMZ síti), je publikována do internetu jako webová služba (HTTPS) a na jedné straně tak přijímá autentizační požadavky, které následně předává na interní ADFS server. Ten je finálně zodpovědný za předání informace tom, zdali autentizace proběhla korektně, či nikoli. Díky tomuto scénáři tak zůstává autentizace stále na straně vaší on-premise Active Directory. Uživatel tak má stále jen jedno jediné heslo, které se navíc řídí politikami hesel používanými ve vaší společnosti. Pokud chcete, je možné vynutit si i vícefázovou autentizaci (např. pomocí čipové karty), což jinak není možné. Výrazný benefit je jistě to, že tato prostředí plně podporují SSO a uživatel se tak po přihlášení do osobního profilu na svém PC už dále při přístupu k jednotlivým službám není dotazován na heslo.
Bohužel každá mince má dvě strany a v tomto případě je potřeba si uvědomit, že v případě nedostupnosti služeb ADFS (výpadek serveru, internetové konektivity, atd.) se stanou služby na straně Office 365 pro uživatele zcela nedostupné. Proto je zcela nezbytné provozovat ADFS servery jako vysoce dostupné, což samozřejmě zvyšuje náklady na zřízení a následný provoz této služby. V případě prostředí se stovkami a tisíci uživateli se ale jedná o akceptovatelné náklady, které jsou vyváženy celkovým přínosem.
Důležité: Přenesení autentizace ze strany Office 365 na on-premise Active Directory pomocí služby ADFS je sice doporučované a velmi praktické řešení, nicméně není pro hybridní scénáře povinné.
Exchange
Hybridní scénář, ve kterém se propojí Exchange on-premise organizace se službou Exchange Online, vám z pohledu správce nabídne přistupovat k oběma prostředím jako k jedné jediné organizaci. Z pohledu koncového uživatele je tato změna zcela transparentní a platí tedy, že i po té, co jsou jednotlivé schránky distribuovány napříč cloudem a on-premise prostředím, jsou možnosti spolupráce mezi těmito uživateli víceméně stejné, jako kdyby k žádnému propojení nikdy nedošlo. Pokud je současně s nasazením hybridního scénáře také zprovozněna služba ADFS, kdy uživatel fakticky v obou prostředích používá stále tu samou identitu a její heslo, můžete přesouvat uživatelské schránky zcela dle vašich potřeb, aniž by si toho koncový uživatel vůbec všiml.
Hybridní scénář Exchange tedy nabízí zejména následující:
- Možnost přesunu schránek z jednoho prostředí do druhého zcela bez vědomí uživatele. Po dokončení přesunu je klient pouze vyzván k restartování Outlook klienta, kdy jeho rekonfiguraci zajišťuje služba Autodiscover
- Po přesunu schránky z jednoho prostředí do druhého, zůstává na straně klienta zachován soubor s offline kopií jeho schránky (OST soubor)
- Součástí přesunu schránky jsou i oprávnění Send As/Full Access
- Všechny schránky, bez ohledu na to, kde se nacházejí, jsou součástí jednoho globálního adresního listu (GAL) a společné jsou i informace o volném čase (Free/Busy time)
- Směřování zpráv pomocí SMTP je chápáno jako interní a nejsou na něj tak aplikovány stejné antivir/antispam politiky, jako na zprávy z internetu
- Uživatel má možnost si dohledat informace o doručení konkrétní zprávy
Z výše uvedeného je naprosto zřejmé, že se jedná o scénář, který toho nabízí velmi mnoho, ve kterém je minimum technických omezení a tím pádem to, jak tyto možnosti využijete, je jen na vás a vašich potřebách. Internisté mohou být např. umístěni na interních Exchange serverech, zatímco externisté v cloudu. To samé by se jistě dalo uplatit v případě velkého ústředí a mnoha malých, málo spravovaných poboček. Toto propojení může být neméně zajímavé pro společnosti, které používají starší verzi Exchange a nemají prostředky, nebo nechtějí přejít na novou verzi Exchange v celé organizaci, nicméně pro některé schránky by funkcionalitu spojenou s novější verzí využili.
Technicky bude k zajištění hybridního scénáře potřeba na straně on-premise jeden Exchange 2013 CAS/MBX, pomocí kterého dojde k propojení obou organizací. Samotné spojení je potom vytvořeno díky výrazně zjednodušenému průvodci, který si v několika krocích zjistí všechny nezbytné technické informace a zajistí nejen správnou konfiguraci, ale i její distribuci do obou prostředí.
Omezení: V rámci nového Office 365 jsou na straně on-premise podporovány organizace s verzemi Exchange 2007, 2010 a 2013.
Odkazy na články Exchange Team Blog:
Introduction to Hybrid
Deploying Hybrid (Exchange 2013)
Managing Hybrid (Exchange 2013)
Odkazy na TechNet:
Hybrid Deployments
Deploying an Hybrid Configuration with the Exchange Hybrid Configuration Wizard
Sharepoint
Propojení on-premise prostředí SharePoint 2013 se SharePoint Online prostředím v rámci Office 365 poskytuje například možnost federovat výsledky vyhledávání, tzn., že uživatel zadá vyhledávací kritéria a služba vyhledávání poskytne data z obou „světů“ bez ohledu na to, kde uživatel vyhledávací kritéria zadal. Pro tuto integraci je nutná konfigurace v obou prostředích.
Další možností je využití BCS, neboli Business Connectivity Services, které umožňují bezpečnou publikaci interních firemních dat uživatelům prostředí SharePoint Online. SharePoint Online podporuje pouze jednosměrné spojení z Online do on-premise prostředí. Tímto způsobem lze v SharePoint Online prostředí poskytovat uživatelům data, která jsou uložena v interních On-Premise systémech společnosti. Při použití SSO uživatel nepozná rozdíl a data jsou zobrazena transparentně v Online prostředí.
Díky změně v architektuře workflow je možné pro běh workflow využít dedikovanou farmu, což lze využít nejen v on-premise řešení, ale v hybridních scénářích lze využít pro běh workflow Windows Azure Workflows. Tímto způsobem lze využít pro běh workflow výpočetní prostředky Cloudu, čím lze zcela zásadně „odlehčit“ on-premise serverům.
Další změnou v architektuře SharePoint 2013 je tzv. Cloud App Model model, který umožňuje hostovat aplikace v Azure. Existuje několik možností hostování aplikací pro platformu SharePoint 2013, v případě hybridních scénářů jde o model „Autohosted“, kdy jsou aplikace hostovány ve „Windows Azure Web Sites“. Další možností je využití „Provider-hosted“ modelu, kdy může být jedna z částí hostována také v Azure infrastruktuře.
Lync
Nově je v rámci Office 365 nabízena i možnost hybridního scénáře u služby Lync Online. Protože rozdíl mezi tím, co nabízí on-premise Lync Server 2013 a aktuální Lync Online, je proti předchozím dvěma technologiím Exchange a Sharepoint největší, můžeme tak propojením těchto dvou světů – a to nejen z technického hlediska – získat pravděpodobně nejvíc.
Mezi nejvýznamnější výhody při nasazení hybridního scénáře u Lync služby patří:
- Propojení mezi on-premise a online uživateli
- Možnost migrace uživatelů mezi prostředím on-premise a cloudu (plně podporována migrace kontaktů a skupin, částečně také schůzek), bez nutnosti změn na straně klienta (např. migrace celých oddělení/poboček do cloudu, dle potřeb společnosti). Uživatelé jsou migrováni dle svých potřeb do patřičného prostředí (např. základní typy komunikací jsou provozovány v rámci cloudu, pokročilejší extra služby může nabízet on-premise řešení)
- Hlasové služby zbudované a provozované v rámci on-premise prostředí lze zpřístupnit i uživatelům Lync Online (hlasové služby a napojení na PSTN síť, tzv. Hybrid Voice)
- Možnost používání jedné, sdílené SIP domény v obou prostředích
- Zachování možnosti propojení Lync on-premise řešení a online služeb Exchange a Sharepoint v situaci, kdy firma využívá jednotlivé služby různě rozmístěné v obou prostředích (např. Exchange se přesouvá do cloudu, Lync zůstává on-premise)
Závěr
S příchodem nové verze Office 365 nabízejí jednotlivé cloudové služby nové a velmi zajímavé možnosti hybridních scénářů, tedy možnost propojení s on-premise servery, díky kterému máme možnost využít z obou světů to, co nám aktuálně nejvíc vyhovuje. Postupně jsme si představili hybridní možnosti propojení služeb Exchange, Sharepoint a Lync a také jsme se seznámili i s možnostmi identit a uživatelské autentizace, které budou pro tyto hybridní scénáře velmi důležité.
Nechte za Vás pracovat odborníky
Nemáte ve vaší organizaci IT oddělení a nechce se vám ho zřizovat? Díky filozofii cloudových služeb Office 365 tomu tak může být i nadále a navíc ušetříte další dodatečné náklady. Správu služeb Office 365 můžete provádět zcela sami nebo ji svěřit do rukou profesionálů pomocí delegované správy. Máme dlouholeté zkušenosti s implementací i následnou správou řešení od společnosti Microsoft a disponujeme špičkovými konzultanty, kteří jak pokrývají celé portfolio produktů Microsoft, tak také patří mezi první certifikované odborníky na správu a implementaci služeb Office 365 ve světě vůbec. Pro konzultaci nasazení Office 365 nás prosím kontaktujte na adrese cloud@kpcs.cz nebo nás vyberte jako partnera při zakoupení vašeho předplatného.
KPCS CZ, s.r.o. - Partner ID: 1784141
KPCS CZ – Martin Pavlis (pavlis@kpcs.cz) a Jakub Urban (urban@kpcs.cz)
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.
