保护云端身份信息

几个月前，我的同事写了一篇关于加速采用 Office 365 以及安全性对于基于云的应用的重要性的文章。 他的帖子强调了对安全、集中的身份和访问解决方案的需求，该解决方案可以无缝扩展并与现有的多因素身份验证 (MFA) 交互，同时不会增加基础设施扩张或总拥有成本 (TCO)。

我现在想深入研究一个能够满足这些要求的解决方案——一个针对 Office 365 的无限可扩展的身份和访问解决方案，它可以保护和集中管理用户身份和访问，与已部署的身份验证机制（特别是多因素身份验证 (MFA) 和安全产品）配合使用，并整合基础设施并降低 TCO。 该解决方案 - F5 的 BIG-IP 访问策略管理器 (APM) - 为 Office 365 以及任何其他基于云或本地的应用提供身份联合、灵活的单点登录 (SSO) 以及自适应的、基于上下文的身份验证和访问控制。

F5 BIG-IP APM 解决了广泛的 Office 365 使用案例。 如果组织部署了 Office 365，但仍在本地控制其用户电子邮箱，则 BIG-IP APM 可让其用户使用 Office 365应用进行单点登录 (SSO)，同时确保他们对其本地邮箱进行适当的身份验证。 BIG-IP APM 通过 SSO 简化了用户对本地电子邮件和Office 365应用的体验，同时确保尝试访问 Office 365应用的用户及其设备获得授权。

如果组织使用 BIG-IP APM 部署 Office 365（包括 Exchange Online），则其用户可以将 SSO 添加到其 Office 365应用和托管邮箱。 BIG-IP APM 减轻了组织将其用户凭证（公司的珍宝）迁移到云端的需要。 这可以降低成本并减轻组织用户凭据在云漏洞中丢失或被盗的风险。 

如果组织部署 Office 365 并使用联合身份进行身份验证，则通过 ActiveSync 连接的用户的凭据将在 Azure 云中以明文形式处理，作为 ActiveSync 协议所需的主动身份验证流的一部分，从而增加了无意中暴露它们的风险。 但是，如果组织部署 F5 BIG-IP APM，它会在转发到 Office 365 之前加密用户凭据。 此外，BIG-IP APM 可以与现有的多因素身份验证 (MFA) 和 SAML 身份提供商 (IdP) 集成，以提高访问安全性并进一步降低风险。

BIG-IP APM 还可以保护 Office 365 免受恶意或流氓移动设备的访问。 它使组织能够将移动用户和设备的访问限制为仅经过其企业移动性管理 (EMM) 系统验证的设备。 BIG-IP APM 还支持每个应用程序访问，并与大多数领先的、已部署的 EMM 和移动设备管理 (MDM) 产品集成。 BIG-IP APM 还允许客户利用 F5 的其他安全功能，包括 SSL 可视性，通过与领先的数据防泄露(DLP) 解决方案集成，可以查看和控制 Office 365 中管理的数据。

BIG-IP APM 通过替换 Windows 代理自动发现协议 (WPAD) 以及增强或替换 Windows Active Directory 联合身份验证服务 (ADFS) 帮助组织节省时间和费用。 由于需要多个冗余服务器和负载均衡功能，ADFS 使动态扩展变得困难且成本高昂。 虽然 ADFS 难以与全系列 MFA 解决方案集成，但 BIG-IP APM 拥有强大的 MFA 生态系统。  APM 是目前最具可扩展性的访问解决方案 – 能够通过其最大的机箱和刀片组合扩展到超过 2,000,000 个会话。

F5 和微软已经合作多年。 F5 已与 Office 365 合作并将用户联合到 Office 365 五年多。 此外，微软正式支持第三方 SAML 提供商，并在其产品资料中声明， “第三方 SAML 提供商受 Modern Auth Office 365 客户端支持，而无需使用 Works with Office 365 程序对其进行验证。”

现在你可能会看到一个共同的主题： 通过在 Office 365 前面运行 BIG-IP APM，您可以访问 Microsoft 的强大生产力应用，而不会影响安全性或策略。 拥有 Office 365 的组织，无论是完全在云端还是以混合方式，都需要一个安全、集中、可扩展的身份和访问解决方案，该解决方案可以利用其现有的、正在使用的身份验证和安全措施，但也不会浪费资源或增加开支。 F5 的 BIG-IP APM 就是这样的解决方案，甚至更多。 

查看有关在部署 Office 365 时保护您的数据和凭据的所有最新新闻和博客更新。