Verwalten von Identitäten für Gesamtstruktur-Hybridumgebungen mit Cloud-Authentifizierung

Wie kann Ihnen dieses Handbuch helfen?

Unternehmensbenutzer möchten Anwendungen, die sich in der Cloud befinden, von jedem beliebigen Standort und Gerät aus verwenden, können das jedoch nicht, weil sie nicht über eine Möglichkeit zur Authentifizierung verfügen.

Dieses Handbuch enthält einen ausführlichen, getesteten Entwurf zur Integration eines lokalen Verzeichnisses in ein Cloudverzeichnis, sodass Benutzer von jedem beliebigen Standort und Gerät aus problemlos auf die Anwendungen zugreifen können, die sich in der Cloud befinden. Dieser Zugriff wird durch die Cloudauthentifizierung erreicht. Ein Beispiel zur lokalen Authentifizierung finden Sie unter Verwalten von Identitäten für Einzelstruktur-Hybridumgebungen mithilfe der lokalen Authentifizierung.

Inhalt dieses Lösungshandbuchs:

• Szenario, Problemerläuterung und Ziele

• Was ist der empfohlene Planungs- und Entwurfsansatz für diese Lösung?

• Warum empfehlen wir diesen Entwurf?

• Was sind die grundlegenden Schritte zur Implementierung dieser Lösung?

Szenario, Problemerläuterung und Ziele

In diesem Abschnitt werden das Szenario, die Problemdarstellung und die Unternehmensziele beschrieben, die als Beispiele für dieses Handbuch hilfreich sind.

Szenario

Ihre Organisation ist ein mittelständisches Unternehmen. Die Vertriebsmitarbeiter Ihres Unternehmens arbeiten an beliebigen Standorten. Wenn sie etwas verkaufen, müssen sie auf einen Computer zugreifen, der mit dem Unternehmensnetzwerk verbunden ist, entweder über einen Hubstandort oder über ein VPN. Auf diesem Computer geben Sie die Verkaufsdaten in eine benutzerdefinierte Anwendung ein, die im Unternehmensnetzwerk ausgeführt wird.

Da diese Verkaufsdaten nicht immer in Echtzeit aufgezeichnet werden, gestaltet sich die Verwaltung der Bestände recht schwierig. Dies hat zu Rückständen und Verzögerungen geführt. Außerdem haben sich die Vertriebsmitarbeitern beschwert, dass sie häufig nicht die Möglichkeit haben, auf das Unternehmensnetzwerk zugreifen, wenn sie sich beim Kunden befinden. Sie möchten in der Lage sein, die Daten über ihre Tablets oder Smartphones einzugeben.

Die Entwickler in Ihrem Unternehmen haben vor kurzem eine neue Anwendung für die Verwaltung von Kundenbeziehungen entwickelt, die es Außendienstmitarbeitern erleichtern soll, Aufträge über beliebige Geräte zu senden, die über einen Internetzugang verfügen.

Im Unternehmen wurde entschieden, dass diese Anwendung in der Cloud gehostet werden soll. Auf diese Weise können die Vertriebsmitarbeiter die Verkaufsdaten unmittelbar bei Vertragsabschluss und schnell über ihr Tablet oder Smartphone eingeben, ohne sich zuvor mit dem Unternehmensnetzwerk verbinden zu müssen. Ihr Unternehmen erwartet, dass sich die Bestandsverwaltung dadurch erheblich verbessert.

Problemdarstellung

Ihr Unternehmen hat bestimmt, dass die neue Anwendung in Microsoft Azure gehostet wird. Ihr Unternehmen verfügt derzeit jedoch über keinen Authentifizierungsanbieter, der in der Lage ist, die Vertriebsmitarbeiter für die neue Anwendung zu authentifizieren, die in Azure gehostet wird.

Gesamtproblembeschreibung:

Wie können Sie als Systemarchitekten oder IT-Administrator Benutzern eine allgemeine Identität beim Zugriff auf Ressourcen bereitstellen, die sich am Standort und in der Cloud befinden? Wie können Sie diese Identitäten verwalten und die Informationen über verschiedene Umgebungen synchronisieren, ohne zu viele IT-Ressourcen aufwenden zu müssen?

Die Bereitstellung des Zugriffs auf diese Anwendung erfordert die Möglichkeit, die Vertriebsmitarbeiter über einen Authentifizierungsanbieter zu authentifizieren. Ihr Unternehmen möchte den Zugriff auf die CRM-Anwendung auf die Vertriebsmitarbeiter beschränken, da sie derzeit die einzigen Personen sind, die darauf zugreifen müssen.

Die Optionen wurden im Unternehmen geprüft und es wurde vereinbart, die Cloudauthentifizierung über eine Instanz von Azure AD zu gestatten. Es wurde ermittelt, dass dies kostengünstiger und leichter zu realisieren ist, da lokal keine Instanzen der Active Directory-Verbunddienste (AD FS) verfügbar sind. Zudem bietet die Cloudauthentifizierung eine bessere Benutzererfahrung, insbesondere in Regionen mit geringerer Bandbreite, da die Vertriebsmitarbeiter weltweit verteilt sind. Ihr Unternehmen hat Bedenken hinsichtlich der Ressourcen, die zum Verwalten dieser Identitäten erforderlich sind. Es ist nur ein Active Directory-Administrator verfügbar, und dieser Administrator muss in der Lage sein, diese Lösung schnell einzurichten und freizugeben.

Die Entwickler Ihres Unternehmens haben den Code dazu hinzugefügt. Es ist jetzt die Aufgabe des Active Directory-Administrators, seine Instanz von Azure AD einzurichten. Der Active Directory-Administrator muss das lokale Active Directory nutzen können, um seine Instanz von Azure AD füllen zu können. Zudem muss der Active Directory-Administrator dies schnell umsetzen können. Er hat nicht die Zeit, die aktuelle Active Directory-Umgebung zu bereinigen oder jedes Benutzerkonto in Azure neu zu erstellen. Außerdem sollen die Vertriebsmitarbeiter dasselbe Kennwort verwenden können, das sie für die Anmeldung am Unternehmensnetzwerk verwenden. Es ist nicht gewünscht, dass sich die Vertriebsmitarbeiter mehrere Kennwörter merken müssen.

Unternehmensziele

Ziele Ihrer Organisation für eine Hybrididentitätslösung sind:

• Die Möglichkeit zum Verwalten von Identitäten im lokalen Verzeichnis und in der Cloud.

• Die Möglichkeit, die Synchronisierung mit dem lokalen Einzelstrukturverzeichnis schnell einzurichten.

• Die Möglichkeit zum Bereitstellen eines Cloudauthentifizierungsanbieter.

• Die Möglichkeit, die Synchronisierung mit dem lokalen Verzeichnis schnell einzurichten.

• Die Möglichkeit, zu steuern, wer und was mit der Cloud synchronisiert wird.

• Die Möglichkeit, eine sichere Anmeldung bereitzustellen, die sich nicht von der aktuellen Anmeldung unterscheidet.

• Die Möglichkeit, schnell lokale Identitätssysteme zu bereinigen und zu verwalten, damit sie die Quelle für die Cloud werden können.

Was ist der empfohlene Planungs- und Entwurfsansatz für diese Lösung?

In diesem Abschnitt wird der Lösungsentwurf beschrieben, der das Problem löst, das im vorherigen Abschnitt beschrieben wird, und es werden grundlegende Überlegungen zur Planung dieses Entwurfs bereitgestellt.

Ihre Organisation kann mithilfe von Azure AD die lokale Instanz von Active Directory in die Azure AD-Instanz integrieren. Diese Instanz wird dann verwendet, um die Cloudauthentifizierung bereitzustellen, wie in den folgenden Diagrammen veranschaulicht.

In der folgende Tabelle werden die Elemente aufgelistet, die Teil dieses Lösungsentwurfs sind, und die Gründe für die einzelnen Entwurfsentscheidungen werden beschrieben.

Die Kennwortsynchronisierung ist ein Feature des Azure Active Directory-Synchronisierungstools, das Benutzerkennwörter des lokalen Active Directory mit Azure AD synchronisiert. Dieses Feature ermöglicht es den Benutzern, sich bei ihren Azure AD-Diensten (z. B. Office 365, Intune und CRM Online) mit demselben Kennwort anzumelden, das sie auch für die Anmeldung am lokalen Netzwerk verwenden. Dadurch erhalten die Benutzer eine Möglichkeit zur sicheren Anmeldung, die der Anmeldung am Unternehmensnetzwerk entspricht.

Das IdFix DirSync-Fehlerbehebungstool kann für die Erkennung und Behebung von Fehlern in Identitätsobjekten und ihren Attributen in einer lokalen Active Directory-Umgebung beim Vorbereiten der Migration verwendet werden. Dadurch können Sie schnell Probleme identifizieren, die bei der Synchronisierung auftreten können, bevor Sie die Synchronisierung starten. Mithilfe dieser Informationen können Sie Änderungen an der Umgebung vornehmen, damit diese Fehler vermieden werden können.

Warum empfehlen wir diesen Entwurf?

Dieser Entwurf wird empfohlen, da er die Entwurfsziele Ihrer Organisation verfolgt. Das bedeutet, es gibt zwei Möglichkeiten, um die Authentifizierung für auf Azure basierende Ressourcen bereitzustellen: Cloudauthentifizierung oder lokale Authentifizierung mithilfe eines Sicherheitstokendiensts (STS).

Das primäre Entwurfsziel des Unternehmens ist es, über die Möglichkeit zu verfügen, die Synchronisierung mit der lokalen Instanz von Active Directory schnell einzurichten. Dieser Entwurf stellt die schnellste Möglichkeit dar, um das lokale Active Directory mit Azure AD zu synchronisieren.

Zweitens war die Möglichkeit gefordert, eine sichere Anmeldung bereitzustellen, die sich nicht vom aktuellen Anmeldevorgang unterscheidet. Bei diesem Entwurf melden sich die Benutzer mit denselben Benutzernamen und Kennwörtern an, die sie heute bereits verwenden, und auch die Benutzererfahrung wird sich nicht unterscheiden.

Was sind die grundlegenden Schritte zur Implementierung dieser Lösung?

Sie können die Schritte in diesem Abschnitt verwenden, um die Lösung zu implementieren. Überprüfen Sie auf jeden Fall die richtige Bereitstellung der einzelnen Schritte, bevor Sie mit dem nächsten Schritt fortfahren.

1. Bereiten Sie die Verzeichnissynchronisierung vor.

   Überprüfen Sie die Systemanforderungen, erstellen Sie geeignete Berechtigungen und gestatten Sie Leistungsüberlegungen. Weitere Informationen finden Sie unter Vorbereiten der Verzeichnissynchronisierung. Nach Abschluss dieses Schritts stellen Sie sicher, dass Sie ein abgeschlossenes Arbeitsblatt haben, das die ausgewählten Lösungsentwurfsoptionen zeigt.

2. Aktivieren Sie die Verzeichnissynchronisierung.

   Aktivieren Sie die Verzeichnissynchronisierung für Ihr Unternehmen. Weitere Informationen finden Sie unter Aktivieren der Verzeichnissynchronisierung. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben.

3. Richten Sie Ihren Computer für die Verzeichnissynchronisierung ein.

   Installieren Sie das Windows Azure AD-Synchronisierungstool. Wenn Sie das Tool bereits installiert haben, informieren Sie sich darüber, wie Sie es aktualisieren, deinstallieren oder auf einen anderen Computer verschieben können. Weitere Informationen finden Sie unter Einrichten des Computers für die Verzeichnissynchronisierung. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben.

4. Synchronisieren Sie Ihre Verzeichnisse.

   Führen Sie eine anfängliche Synchronisierung aus und stellen Sie sicher, dass die Daten erfolgreich synchronisiert wurden. Außerdem erfahren Sie, wie Sie das Azure AD-Synchronisierungstool zum Einrichten der wiederkehrenden Synchronisierung konfigurieren, und wie Sie die Verzeichnissynchronisierung erzwingen können. Weitere Informationen finden Sie unter Verwenden des Konfigurations-Assistenten zum Synchronisieren der Verzeichnisse. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben.

5. Aktivieren Sie synchronisierte Benutzer.

   Aktivieren Sie die Benutzer im Office 365-Portal, bevor sie die von Ihnen abonnierten Dienste verwenden können. Dazu müssen Sie ihnen eine Lizenz für Office 365 zuweisen. Sie können dies für einzelne Benutzer oder als Massenvorgang durchführen. Weitere Informationen finden Sie unter Aktivieren synchronisierter Benutzer. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben. Beachten Sie, dass dies ein optionaler Schritt ist und nur dann erforderlich ist, wenn Sie Office 365 verwenden.

6. Überprüfen Sie die Lösung.

   Nachdem die Benutzer synchronisiert wurden, melden Sie sich testweise bei https://myapps.microsoft.com an. Wenn Sie über Office 365-Anwendungen verfügen, werden diese dort angezeigt. Ein normaler Benutzer kann sich hier ohne Azure-Abonnement anmelden.

Siehe auch