Verwalten von Identitäten für Hybridumgebungen mit einer einzigen Gesamtstruktur mithilfe der lokalen Authentifizierung

Wie kann Ihnen dieses Handbuch helfen?

Unternehmensbenutzer möchten Anwendungen, die sich in der Cloud befinden, von jedem beliebigen Standort und Gerät aus verwenden, können das jedoch nicht, weil sie nicht über eine Möglichkeit zur Authentifizierung verfügen. Die Unternehmens-IT möchte in der Lage sein, Benutzern die Authentifizierung an diesen Cloudanwendungen zu ermöglichen, und möchte auch in Echtzeit steuern können, wer auf diese Anwendungen zugreifen kann.

Dieses Handbuch enthält ausführliche Leitfäden zur Integration eines lokalen Verzeichnisses in ein Cloudverzeichnis, sodass Benutzer von jedem beliebigen Standort und Gerät aus problemlos auf die Anwendungen zugreifen können, die sich in der Cloud befinden. Dies geschieht mithilfe der lokalen Authentifizierung. Ein Beispiel für das Verwenden der Cloud-Authentifizierung finden Sie unter Verwalten von Identitäten für Hybridumgebungen mit einer einzigen Gesamtstruktur mithilfe der Cloud-Authentifizierung.

In diesem Lösungshandbuch:

• Szenario, Problemerläuterung und Ziele

• Was ist der empfohlene Planungs- und Entwurfsansatz für diese Lösung?

• Warum empfehlen wir diesen Entwurf?

• Was sind die grundlegenden Schritte zur Implementierung dieser Lösung?

Szenario, Problemerläuterung und Ziele

Dieser Abschnitt beschreibt das Szenario, die Problemerläuterung und Ziele für eine Beispielorganisation.

Szenario

Ihre Organisation ist ein großes Unternehmen mit Niederlassungen in aller Welt, unter anderem in Nordamerika und Südamerika, Europa und Asien. Die Forschungs- und Entwicklungsteams arbeiten in erster Linie in Europa und Nordamerika. Sie entwickeln Formeln, die von den Herstellungszentren verwendet werden, die sich in erster Linie in Asien befinden.

Die Forschungs- und Entwicklungsteams arbeiten eng zusammen, wenn neue Formeln entwickelt oder vorhandene verbessert werden. Dies erfolgt durch das Ausführen ähnlicher, standardisierter Tests in Einrichtungen in Nordamerika und Europa und dann durch die Freigabe der Ergebnisse. Die Ergebnisse werden dann finalisiert und neue Formeln werden entwickelt. Diese Formeln gelten als Handelsgeheimnisse und sind patentiert. Nachdem der Vorgang abgeschlossen ist, werden die Formeln an die Produktionseinrichtungen gesendet, um die Produktion zu beginnen.

Wenn ein Mitglied des Forschungs- und Entwicklungsteams Ergebnisse für Mitarbeiter in einem anderen Teil des Unternehmens freigeben oder eine Formel an eines der Werke in Asien senden möchte, verwendet das Team aktuell EFS (Encrypting File System), um die Dateien zu verschlüsseln und per E-Mail zu senden. Die Dateien werden von der Person am anderen Ende dann entschlüsselt.

Ihre Organisation hat mehrere Probleme mit dem aktuellen Prozess:

• Datenschutz: Daten werden per E-Mail übertragen, und obwohl sie verschlüsselt sind, sind sie immer noch anfällig für das Hacken über das Internet. Außerdem greifen viele Mitarbeiter auf E-Mails über ihre eigenen Geräte zu, und es gibt keine Garantie, dass diese Geräte geschützt sind.

• Integrität: Das EFS-Zertifikat zum Verschlüsseln von Dateien muss exportiert und an das Ziel gesendet werden. Benutzer verwenden E-Mails, um diese Zertifikate zu senden, was die Integrität des Zertifikats verletzen könnte.

• Vertraulichkeit: Das gleiche Zertifikat wird häufig zum Verschlüsseln der Testergebnisse und der Formeln verwendet. Mitarbeiter in den Produktionsanlagen haben die Möglichkeit, diese Ergebnisse zu entschlüsseln, wenn sie versehentlich eine Kopie erhalten.

Um diese Probleme zu lösen, hat Ihre Organisation beschlossen, Office 365 SharePoint in der Cloud einzurichten und dies als Portal für die Freigabe von Testergebnissen und Formeln zu verwenden. Allerdings möchte Ihre Organisation das lokale Active Directory als Authentifizierungsanbieter verwenden keine Cloud-Authentifizierung verwenden.

Problemerläuterung

Ihr Unternehmen hat derzeit einen Authentifizierungsanbieter, das lokale Active Directory, aber dieser Anbieter kann derzeit keine Mitarbeiter an den neuen Office 365 SharePoint-Websites authentifizieren, die in Azure gehostet werden.

Das allgemeine Problem, das Ihre Organisation lösen möchte, ist folgendes:

Wie können Sie als Systemarchitekten oder IT-Administrator Benutzern eine allgemeine Identität beim Zugriff auf Ressourcen bereitstellen, die sich am Standort und in der Cloud befinden? Und wie können Sie diese Identitäten verwalten und die Informationen in verschiedenen Umgebungen ohne Verwendung von übermäßigen IT-Ressourcen synchronisieren?

Für das Bereitstellen des Zugriffs auf die SharePoint-Websites Ihrer Organisation benötigen Sie die Möglichkeit, die Mitarbeiter mit einem Authentifizierungsanbieter, der lokalen Instanz von Active Directory, zu authentifizieren. Ihre Organisation möchte außerdem den Zugriff auf nur die Forschungs- und Entwicklung- sowie Produktionsmitarbeiter beschränken, die Zugriff auf die Websites benötigen. Sie sind derzeit die einzigen, die Zugriff auf die Websites benötigen.

Sie haben die Optionen geprüft und festgestellt, dass Sie Ihre vorhandene Instanz von Active Directory-Verbunddienste (AD FS) für die Verwendung der lokalen Authentifizierung mit Azure nutzen können. Ihre Organisation hat AD FS vor einigen Jahren eingerichtet. Dadurch werden Zeit und Geld gespart, da die IT-Mitarbeiter bereits mit der Verwendung von AD FS vertraut wird.

Das Management hat den Erwerb der Office 365- und Azure-Abonnements autorisiert. Jetzt müssen die Active Directory-Administratoren ihre Instanz von Azure AD einrichten und sie mit dem lokalen Active Directory verbinden.

Die Active Directory-Administratoren müssen das lokale Active Directory nutzen können, um die Instanz von Azure AD aufzufüllen. Die Active Directory-Administratoren müssen das schnell erledigen können. Als Nächstes müssen die Active Directory-Administratoren die lokale Instanz von Active Directory mit Azure AD verbinden. Ihre Organisation möchte außerdem, dass Mitarbeiter, die auf SharePoint-Websites zugreifen, eine echte Einzelanmeldung durchführen und nur auf die Websites zugreifen können, wenn sie am Unternehmensnetzwerk angemeldet sind. Ihre Organisation möchte nicht, dass der Zugriff auf diese Websites von externen Computern oder Geräten aus möglich ist. Ihre Organisation möchte die Möglichkeit haben, schnell einen Benutzer bei einer Trennung deaktivieren zu können, sodass der Benutzer nicht auf die SharePoint-Website zugreifen kann, nachdem sein Konto deaktiviert wurde. Schließlich möchte Ihre Organisation in der Lage sein, die Anmeldeseite so anzupassen, dass Benutzer wissen, dass sie sich an einer Unternehmenswebsite anmelden.

Unternehmensziele

Ziele Ihrer Organisation für eine Hybrididentitätslösung sind:

• Die Möglichkeit, die Synchronisierung mit der lokalen Instanz von Active Directory schnell einzurichten.

• Die Möglichkeit, zu steuern, wer und was mit Azure AD synchronisiert wird.

• Die Möglichkeit, Single Sign-On (einmaliges Anmelden, SSO) anzubieten. Warnungen werden empfangen, wenn die Synchronisierung oder SSO ausgefallen ist.

• Die Möglichkeit zum Einschränken des Zugriffs auf Benutzer aus Forschung und Entwicklung sowie Herstellung, die sich von einem sicheren, lokalen Standort aus anmelden.

• Die Möglichkeit, im Falle einer Trennung den Echtzeit-Benutzerzugriff auf Cloudressourcen zu verhindern.

• Die Möglichkeit, schnell lokale Identitätssysteme zu bereinigen und zu verwalten, damit sie die Quelle für Azure AD werden können.

• Die Möglichkeit, die Anmeldeseite so anpassen, dass eine Unternehmensidentität dargestellt wird.

Was ist der empfohlene Planungs- und Entwurfsansatz für diese Lösung?

In diesem Abschnitt wird der Lösungsentwurf beschrieben, der das Problem löst, das im vorherigen Abschnitt beschrieben wird, und es werden grundlegende Überlegungen zur Planung dieses Entwurfs bereitgestellt.

Ihre Organisation kann mithilfe von Azure AD die lokale Instanz von Active Directory in die Azure AD-Instanz integrieren. Diese Instanz wird dann verwendet, um Benutzer auf die AD FS-Anmeldeseite umzuleiten, auf der ein Token für sie ausgestellt wird, das dann Azure AD bereitgestellt wird, worauf die Authentifizierung erfolgt.

In der folgende Tabelle werden die Elemente aufgelistet, die Teil dieses Lösungsentwurfs sind, und der Grund für die Entwurfsentscheidung wird beschrieben.

AD FS ist ein Feature von Windows Server 2012 R2, das den Verbund zwischen dem lokalen Active Directory und Azure AD ermöglicht. Dieses Feature ermöglicht Benutzern das Anmelden an ihre Azure AD-Dienste (z. B. Office 365, Intune und CRM Online) mithilfe von SSO-Funktionen. Dies bietet Benutzern die Möglichkeit, SSO zu nutzen, das die lokale Active Directory-Instanz als Authentifizierungsanbieter verwendet.

Das IdFix DirSync-Fehlerbehebungstool kann für die Erkennung und Behebung von Fehlern in Identitätsobjekten und ihren Attributen in einer lokalen Active Directory-Umgebung beim Vorbereiten der Migration verwendet werden. Dadurch können Sie schnell Probleme identifizieren, die bei der Synchronisierung auftreten können, bevor Sie die Synchronisierung starten. Mithilfe dieser Informationen können Sie Änderungen an der Umgebung vornehmen, damit diese Fehler vermieden werden können.

Warum empfehlen wir diesen Entwurf?

Dieser Entwurf wird empfohlen, da er die Entwurfsziele Ihrer Organisation verfolgt. D. h. es gibt zwei Möglichkeiten zum Bereitstellen der Authentifizierung für Azure-basierte Ressourcen: über die Cloud-Authentifizierung oder die lokale Authentifizierung mithilfe eines STS.

Einer der wichtigsten Aspekte Ihrer Organisation besteht darin, die Möglichkeit in Echtzeit zu haben, einem Benutzer, der vom Unternehmen getrennt wurde, den Zugriff auf die Cloud-basierte Ressourcen zu verweigern. Mit dem Azure Active Directory-Synchronisierungstool und der Cloud-Authentifizierung kann es zu einer Verzögerung von bis zu drei Stunden kommen. Wenn Sie ein Benutzerkonto also lokal deaktivieren, werden die Änderungen in Azure möglicherweise erst nach drei Stunden angezeigt. Dies ist nicht der Fall, wenn der Benutzer wieder zur lokalen Umgebung zurückkehren und sich authentifizieren muss. Wenn ein Benutzerkonto lokal deaktiviert wird, ist dieser Benutzer nicht in der Lage, ein Token zu erhalten, und wird nicht autorisiert, auf die Cloudressourcen zuzugreifen.

Ihre Organisation möchte die Möglichkeit haben, SSO bereitzustellen. Dies kann nur durch den Verbund einer lokalen Instanz von Active Directory mit Azure AD erfolgen.

Die Möglichkeit zum Anpassen der Anmeldeseite steht nur mithilfe von AD FS- und der AD FS-Anpassung bereit.

Was sind die grundlegenden Schritte zur Implementierung dieser Lösung?

Sie können die Schritte in diesem Abschnitt verwenden, um die Lösung zu implementieren. Überprüfen Sie auf jeden Fall die richtige Bereitstellung der einzelnen Schritte, bevor Sie mit dem nächsten Schritt fortfahren.

1. Vorbereiten des einmaligen Anmeldens (Single Sign-On, SSO)

   Zur Vorbereitung müssen Sie sicherstellen, dass Ihre Umgebung die Anforderungen für SSO erfüllt, und überprüfen, ob Ihre Active Directory- und Azure AD-Mandanten auf eine Weise eingerichtet wurden, die kompatibel mit den SSO-Anforderungen ist. Weitere Informationen finden Sie unter Vorbereiten des einmaligen Anmeldens.

2. Einrichten des lokalen Sicherheitstokendiensts – AD FS

   Nachdem Sie Ihre Umgebung für SSO vorbereitet haben, müssen Sie eine neue lokale AD FS-Infrastruktur einrichten, um lokalen und Remote-Active Directory-Benutzern SSO-Zugriff auf den Clouddienst bereitzustellen. Wenn Sie derzeit AD FS in der Produktionsumgebung haben, können Sie es für die SSO-Bereitstellung verwenden, anstatt eine neue Infrastruktur einzurichten, solange es von Azure AD unterstützt wird. Weitere Informationen zu den ersten Schritten der Einrichtung eines AD FS-STS finden Sie in Prüfliste:Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens.

3. Installieren von Windows PowerShell für einmaliges Anmelden mit AD FS

   Das Azure AD-Modul für Windows PowerShell kann heruntergeladen und für die Verwaltung Ihrer Organisationsdaten in Azure AD verwendet werden. Dieses Modul installiert einen Satz von Cmdlets in Windows PowerShell, die Sie zum Einrichten des SSO-Zugriffs auf Azure AD und damit auf alle Clouddienste, die Sie abonniert haben, ausführen. Weitere Informationen finden Sie unter Installieren von Windows PowerShell für das einmalige Anmelden mit AD FS.

4. Einrichten einer Vertrauensstellung zwischen AD FS und Azure AD

   Sie müssen eine Vertrauensstellung zwischen Azure AD und dem lokalen Active Directory erstellen. Jede Domäne, die Sie einem Verbund hinzufügen möchten, muss als Domäne für das einmalige Anmelden hinzugefügt oder aus einer Standarddomäne in eine Domäne für das einmalige Anmelden konvertiert werden. Das Hinzufügen oder Konvertieren einer Domäne richtet eine Vertrauensstellung zwischen AD FS und Azure AD ein. Weitere Informationen finden Sie unter Einrichten einer Vertrauensstellung zwischen AD FS und Azure AD.

5. Vorbereiten der Verzeichnissynchronisierung

   Überprüfen Sie die Systemanforderungen, erstellen Sie die richtigen Berechtigungen und ermöglichen Sie Leistungsoptimierungen. Weitere Informationen finden Sie unter Vorbereiten der Verzeichnissynchronisierung. Nach Abschluss dieses Schritts stellen Sie sicher, dass Sie ein abgeschlossenes Arbeitsblatt haben, das die ausgewählten Lösungsentwurfsoptionen zeigt.

6. Aktivieren der Verzeichnissynchronisierung

   Aktivieren Sie die Verzeichnissynchronisierung für Ihr Unternehmen. Weitere Informationen finden Sie unter Aktivieren der Verzeichnissynchronisierung. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben.

7. Einrichten des Verzeichnissynchronisierungscomputers

   Installieren Sie das Azure AD-Synchronisierungstool. Wenn Sie das Tool bereits installiert haben, informieren Sie sich darüber, wie Sie es aktualisieren, deinstallieren oder auf einen anderen Computer verschieben können. Weitere Informationen finden Sie unter Einrichten des Computers für die Verzeichnissynchronisierung. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben.

8. Synchronisieren Ihrer Verzeichnisse

   Führen Sie eine anfängliche Synchronisierung durch und stellen Sie sicher, dass die Daten erfolgreich synchronisiert wurden. Außerdem erfahren Sie, wie das Azure AD-Synchronisierungstool zum Einrichten der regelmäßigen Synchronisierung konfiguriert und wie die Verzeichnissynchronisierung erzwungen wird. Weitere Informationen finden Sie unter Verwenden des Konfigurations-Assistenten zum Synchronisieren der Verzeichnisse. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben.

9. Aktivieren synchronisierter Benutzer

   Aktivieren Sie die Benutzer im Office 365-Portal, bevor sie die Dienste verwenden können, die Sie abonniert haben. Dazu müssen Sie ihnen eine Lizenz zur Verwendung von Office 365 zuweisen. Sie können dies für einzelne Benutzer oder als Massenvorgang durchführen. Weitere Informationen finden Sie unter Aktivieren synchronisierter Benutzer. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben. Beachten Sie, dass dies ein optionaler Schritt ist und nur dann erforderlich ist, wenn Sie Office 365 verwenden.

10. Überprüfen Sie die Lösung.

    Nach der Synchronisierung der Benutzer testen Sie die Anmeldung an "https://myapps.microsoft.com". Sie sollten zur AD FS-Anmeldeseite umgeleitet werden. Nachdem Sie sich angemeldet haben und AD FS den Benutzer authentifiziert hat, wird der Benutzer an "https://myapps.microsoft.com" umgeleitet. Wenn Sie Office 365-Anwendungen haben, werden die hier angezeigt. Ein normaler Benutzer kann sich hier ohne Azure-Abonnement anmelden.

Siehe auch