Egyerdős hibrid környezetek identitásainak kezelése helyszíni hitelesítés használatával

Miben segít ez az útmutató?

A vállalati felhasználók a felhőben elérhető alkalmazásokat bárhonnan, bármilyen eszközről szeretnék használni, de ez nem lehetséges, mert nincs megfelelő mód a hitelesítésre. A vállalat informatikai részlege azt szeretné, hogy a felhasználók elvégezhessék a hitelesítést ezekhez a felhőalapú alkalmazásokhoz, és valós időben felügyelhető legyen, hogy ki férhet hozzá ezekhez az alkalmazásokhoz.

Az útmutató részletes utasításokkal nyújt segítséget a helyszíni címtárak felhőcímtárakkal való integrációjához, hogy a felhasználók bárhonnan, bármilyen eszközről egyszerűen hozzáférhessenek a felhőben levő alkalmazásokhoz. Ez helyszíni hitelesítéssel történik. A felhőalapú hitelesítés használatával kapcsolatos példáért lásd: Egyerdős hibrid környezetek identitásainak kezelése helyszíni hitelesítés használatával.

Az útmutató tartalma:

• Forgatókönyv, problémamegállapítás és célok

• Milyen tervezési és kialakítási módszer használata ajánlott ennél a megoldásnál?

• Miért javasoljuk ezt a kialakítást?

• Milyen magas szintű lépéseket kell végrehajtani ehhez a megoldáshoz?

Forgatókönyv, problémamegállapítás és célok

Ez a szakasz a forgatókönyvet, a problémamegállapítást és a célokat ismerteti egy szervezet példája segítségével.

Forgatókönyv

A szervezete egy olyan nagyvállalat, amelynek világszerte (Észak- és Dél-Amerikában, Európában és Ázsiában) vannak irodái. A kutatási és fejlesztési (R&D) csapatok főként Észak-Amerikából és Európából végzik a munkájukat. Ők fejlesztik ki az elsősorban Ázsiában található gyártóközpontok által később használt formulákat.

Az R&D csapatok szoros együtt működésben fejlesztik ki az új formulákat vagy javítják a már meglévőket. Ennek során hasonló, szabványos teszteket végeznek el az észak-amerikai és európai létesítményekben, majd megosztják az eredményeket. Az eredményeket ezután véglegesítik, és kifejlesztik az új formulákat. Ezek a formulák üzleti titoknak minősülnek, és szabadalmaztatják őket. A folyamat befejezését követően a formulákat elküldik a gyártólétesítményekbe, hogy megkezdődhessen a gyártás.

Ha jelenleg az R&D csapat egyik tagja meg szeretné osztani az eredményeket a vállalat egy másik részlegén lévő kollégájával, vagy el akar küldeni egy formulát az egyik ázsiai üzembe, a csapat a titkosított fájlrendszert (EFS) használja a fájlok titkosításához és elküldéséhez. A címzett ezután visszafejti a fájlokat.

A szervezetnek több problémája is van a jelenlegi folyamattal:

• Adatvédelem: Az adatok elküldése e-mailben történik, és bár titkosítva vannak, még így is ki vannak téve az internetes támadásoknak. Ráadásul sok alkalmazott hozzáfér az e-mailekhez a saját eszközeiről, és semmi nem garantálja, hogy ezek az eszközök biztonságosak.

• Integritás: A fájlok titkosításához használt EFS-tanúsítványt exportálni kell és el kell küldeni a célhelyre. A felhasználók e-mailben küldik el ezeket a tanúsítványokat, így sérülhet a tanúsítvány integritása.

• Titkosítás: A teszteredmények és a formulák titkosításához gyakran ugyanazt a tanúsítványt használják. A gyártóüzemek alkalmazottai vissza tudják fejteni az eredményeket, ha véletlenül egy másolatot kapnak azokról.

A problémák megoldása érdekében a szervezet úgy döntött, hogy szeretné telepíteni az Office 365 SharePointot a felhőben, és ezt portálként kívánja használni a teszteredmények és formulák megosztásához. A szervezet azonban a helyszíni Active Directoryt szeretné használni hitelesítésszolgáltatóként, és nem kíván felhőalapú hitelesítést alkalmazni.

Problémamegállapítás

A szervezet jelenleg rendelkezik hitelesítésszolgáltatóval, ez a helyszíni Active Directory, de ez a szolgáltató jelenleg nem képes hitelesíteni az alkalmazottakat az új, Azure-ban üzemeltetett Office 365 SharePoint-webhelyekhez.

A szervezet által megoldani kívánt probléma összegzése:

Rendszerfejlesztőként vagy informatikai rendszergazdaként hogyan láthatja el a felhasználókat közös identitással a helyszíni és felhőalapú erőforrásokhoz való hozzáféréshez? Hogyan kezelheti ezeket az identitásokat és biztosíthatja az adatok szinkronizálását több környezetben anélkül, hogy aránytalanul nagy mennyiségű informatikai erőforrásra lenne szükség?

A szervezet SharePoint-webhelyeihez való hozzáférés biztosításához lehetővé kell tenni az alkalmazottak hitelesítését egy hitelesítésszolgáltató, az Active Directory helyszíni példánya segítségével. A szervezet ráadásul az R&D részleghez tartozó és a gyártási alkalmazottakra szeretné korlátozni a hozzáférést, akiknek szükségük van a webhely elérésére. Jelenleg csak nekik van szükségük a webhelyek elérésére.

A lehetőségek mérlegelése után úgy döntött a szervezet, hogy az Active Directory összevonási szolgáltatások (AD FS) helyszíni példányát használja az Azure-ban való helyszíni hitelesítéshez. A szervezet már évekkel ezelőtt telepítette az AD FS-t. Így időt és pénzt takaríthatnak meg, mert az informatikai munkatársak már ismerik az AD FS használatát.

A vezetés jóváhagyta az Office 365- és az Azure-előfizetések beszerzését. Mostantól már csak az Active Directory rendszergazdákon múlik, hogy beállítsák a saját Azure AD példányukat, és összevonják azt a helyszíni Active Directory példánnyal.

Az Active Directory rendszergazdáknak képeseknek kell lenniük a helyszíni Active Directory használatára, hogy feltöltsék az Azure AD példányát. Fontos, hogy az Active Directory rendszergazdák ezt gyorsan el tudják végezni. Ezután az Active Directory rendszergazdáknak össze kell vonniuk az Active Directory helyszíni példányát az Azure AD-val. A szervezet célja az is, hogy a SharePoint-webhelyekhez hozzáférő alkalmazottaknak valódi egyszeri bejelentkezéses élményben legyen részük, és csak akkor férhessenek hozzá a webhelyekhez, ha be vannak jelentkezve a vállalati hálózatba. A szervezet nem szeretné, hogy ezekhez a webhelyekhez külső számítógépekről vagy eszközökről hozzá lehessen férni. A szervezet szeretné, hogy a felhasználókat kizárás esetén gyorsan le lehessen tiltani, és a fiók letiltása után a felhasználók már ne férhessenek hozzá a SharePoint-webhelyhez. Végül a szervezet céljai között szerepel, hogy a bejelentkezési oldal testreszabható legyen, és a felhasználók tudják, hogy vállalati webhelyre jelentkeznek be.

Szervezeti célok

A hibrid identitáskezelési megoldással a szervezet céljai a következők:

• Gyorsan be lehessen állítani a szinkronizálást az Active Directory helyszíni példányával.

• Lehessen szabályozni, hogy a rendszer kit és mit szinkronizáljon az Azure AD-val.

• Biztosítható legyen az egyszeri bejelentkezés (SSO). A rendszer küldjön riasztást, ha a szinkronizálás vagy az SSO nem működik

• Lehetséges legyen a hozzáférés korlátozása a biztonságos, vállalati helyszínről bejelentkező R&D és gyártási felhasználókra.

• Kizárás esetén valós időben letiltható legyen a felhasználók hozzáférése a felhőalapú erőforrásokhoz.

• Gyorsan meg lehessen tisztítani és rendszerezni lehessen a helyszíni identitáskezelési rendszereket, hogy használhatóak legyenek az Azure AD forrásaként.

• A bejelentkezési oldal testreszabható legyen, hogy tükrözze a vállalat arculatát.

Milyen tervezési és kialakítási módszer használata ajánlott ennél a megoldásnál?

Ez a szakasz az előző szakaszban ismertetett problémát megoldó kialakítást írja le, és magas szintű tervezési szempontokat kínál ehhez a kialakításhoz.

Az Azure AD használatával a szervezet képes integrálni az Active Directory helyszíni példányát az Azure AD példánnyal. A rendszer ezután ezt a példányt használja a felhasználó átirányítására az AD FS bejelentkezési oldalára, ahol egy jogkivonatot állít ki, amelyet megkap az Azure AD, és az engedélyezi a hitelesítést.

A következő táblázat a megoldás kialakításának elemeit tartalmazza, és ismerteti a tervezési szempontokat.

Az AD FS a Windows Server 2012 R2 olyan szolgáltatása, amely lehetővé teszi az összevonást a helyszíni Active Directory és az Azure AD között. Ez a szolgáltatás lehetővé teszi, hogy a felhasználók bejelentkezzenek az Azure AD szolgáltatásokba (például az Office 365-be, az Intune-ba és az online ügyfélkapcsolat-kezelési alkalmazásba) egyszeri bejelentkezéses felhasználói élmény mellett. Így az egyszeri bejelentkezés a helyszíni Active Directory példányt használja hitelesítésszolgáltatóként.

Az IdFix DirSync hibajavító eszköz segítségével az áttelepítés előkészítésekor egy helyszíni Active Directory-környezetben fedezhetők fel és javíthatók az identitásobjektumok és attribútumaik. Ez lehetővé teszi, hogy még a szinkronizálás megkezdése előtt gyorsan azonosíthassa a szinkronizálás alatt esetlegesen felmerülő problémákat. Az itt található információk segítségével módosíthatja a környezetet úgy, hogy elkerülje ezeket a hibákat.

Miért javasoljuk ezt a kialakítást?

Azért javasoljuk ezt a kialakítást, mert a segítségével szervezete elérheti a céljait. Az Azure-alapú erőforrásokhoz kétféleképpen biztosítható hitelesítés: felhőalapú hitelesítéssel vagy az STS szolgáltatással történő helyszíni hitelesítéssel.

A szervezet egyik fő szempontja, hogy legyen lehetőség valós időben megszüntetni egy, a vállalatból kizárt felhasználó hozzáférését a felhőalapú erőforrásokhoz. Az Azure Active Directory szinkronizáló eszköz és a felhőalapú hitelesítés használatkor háromórás késés áll fenn. Ez azt jelenti, hogy ha a helyszínen letilt egy felhasználói fiókot, akár három órába is telhet, amíg ez a változás megjelenik az Azure-ban. Ez azonban nem áll fenn, ha a felhasználó hitelesítése helyszíni környezetben történik. Ha egy felhasználó letiltása a helyszínen történik, a felhasználó onnantól nem kaphat jogkivonatot, és nem hitelesíthető a felhőben lévő erőforrások eléréséhez.

A szervezet szeretne egyszeri bejelentkezést (SSO-t) biztosítani. Ez csak a helyszíni Active Directory példány és az Azure AD összevonásával valósítható meg.

A bejelentkezési oldal testreszabása csak az AD FS és az AD FS testreszabás használatával lehetséges.

Milyen magas szintű lépéseket kell végrehajtani ehhez a megoldáshoz?

A megoldás megvalósításához az ebben a szakaszban található lépéseket használhatja. Mindenképp ellenőrizze, hogy helyesen hajtotta-e végre az adott lépést, mielőtt továbblép a következőre.

1. Az egyszeri bejelentkezés (SSO) előkészítése

   Előkészületként ellenőrizze, hogy a környezet megfelel-e az SSO követelményeinek, valamint, hogy az Active Directory és az Azure AD bérlő úgy van-e beállítva, hogy kompatibilis legyen az SSO követelményeivel. További információkért lásd: Az egyszeri bejelentkezés előkészítése.

2. A helyszíni biztonságitoken-szolgáltatás beállítása – AD FS

   Ha előkészítette a környezetet az SSO megvalósításához, be kell állítania egy új helyszíni AD FS infrastruktúrát a felhőszolgáltatásokhoz való SSO-hozzáférés biztosításához a helyi és távoli Active Directory felhasználók számára. Ha jelenleg van AD FS a termelési környezetében, az új infrastruktúra beállítása helyett használhatja azt is az SSO telepítéséhez, ha támogatja az Azure AD. Ha további információkra van szüksége azzal kapcsolatban, hogy hogyan lásson hozzá az AD FS STS beállításához, kövesse az itt ismertetett lépéseket: Ellenőrzőlista: Az egyszeri bejelentkezés megvalósítása és kezelése az AD FS-sel.

3. A Windows PowerShell telepítése az AD FS-sel történő egyszeri bejelentkezéshez

   Az Azure AD-modul Windows PowerShellhez egy letölthető modul, amely az Azure AD-ben található szervezeti adatok kezelésében nyújt segítséget. Ez a modul egy parancsmagkészletet telepít a Windows PowerShellben, amely futtatásával egyszeri bejelentkezést állíthat be az Azure AD-hez és az összes olyan felhőszolgáltatáshoz, amelyhez előfizetéssel rendelkezik. További információkért lásd: A Windows PowerShell telepítése az AD FS-sel történő egyszeri bejelentkezéshez.

4. Megbízhatósági kapcsolat beállítása az AD FS és az Azure AD között

   Megbízhatósági kapcsolatot kell létesítenie az Azure AD és a helyszíni Active Directory között. Minden olyan tartományt, amelyet össze kíván vonni, adjon hozzá egyszeri bejelentkezéses tartományként, vagy alakítsa általános tartományból egyszeri bejelentkezéses tartománnyá. A tartományok hozzáadása vagy konvertálása megbízhatósági kapcsolatot hoz létre az AD FS és az Azure AD között. További információkért lásd: Megbízhatósági kapcsolat beállítása az AD FS és az Azure AD között.

5. A címtár-szinkronizálás előkészítése.

   Ellenőrizze a rendszerkövetelményeket, hozza létre a megfelelő jogosultságokat, és vegye figyelembe a teljesítménnyel kapcsolatos szempontokat is. További információkért lásd: A címtár-szinkronizálás előkészítése. Miután végrehajtotta ezt a lépést, ellenőrizze, hogy kitöltötte-e a kiválasztott megoldás kialakítási lehetőségeit megjelenítő munkalapot.

6. A címtár-szinkronizálás aktiválása

   Aktiválja a címtár-szinkronizálást vállalata számára. További információkért lásd: A címtár-szinkronizálás aktiválása. Miután végrehajtotta ezt a lépést, ellenőrizze, hogy beállította-e a szolgáltatásokat.

7. A címtár-szinkronizálási számítógép beállítása

   Telepítse az Azure AD szinkronizáló eszközt. Ha már megtette, megtudhatja, hogyan frissítheti, távolíthatja el vagy helyezheti át egy másik számítógépre. További információkért lásd: A címtár-szinkronizálási számítógép beállítása. Miután végrehajtotta ezt a lépést, ellenőrizze, hogy beállította-e a szolgáltatásokat.

8. A címtárak szinkronizálása

   Hajtson végre egy kezdeti szinkronizálást, és ellenőrizze, hogy az adatok szinkronizálása sikeres volt-e. Azt is megtudhatja, hogyan konfigurálhatja az Azure AD szinkronizáló eszközt ismétlődő szinkronizálás beállítására, és hogyan kényszerítheti ki a címtár-szinkronizálást. További információkért lásd: A Konfigurációs varázsló használata a címtárak szinkronizálásához. Miután végrehajtotta ezt a lépést, ellenőrizze, hogy beállította-e a szolgáltatásokat.

9. A szinkronizált felhasználók aktiválása

   Aktiválja a felhasználókat az Office 365 portálon, hogy használhassák a szolgáltatásokat, amelyekre előfizetett. Ehhez licencet is kell hozzájuk rendelni az Office 365 használatához. Ezt egyesével vagy kötegelve teheti meg. További információkért lásd: A szinkronizált felhasználók aktiválása. Miután végrehajtotta ezt a lépést, ellenőrizze, hogy beállította-e a szolgáltatásokat. Megjegyzés: ez egy opcionális lépés; csak akkor szükséges, ha használja az Office 365-öt.

10. Ellenőrizze a megoldást.

    Miután szinkronizálta a felhasználókat, tesztelje a bejelentkezést a https://myapps.microsoft.com webhelyen. A rendszer átirányítja az AD FS bejelentkezési oldalára. Miután bejelentkezett, és az AD FS hitelesítette a felhasználót, a visszairányítja a https://myapps.microsoft.com webhelyre. Ha vannak Office 365-ös alkalmazásai, itt megtekintheti azokat. Az átlagos felhasználók Azure-előfizetés nélkül is bejelentkezhetnek ide.

Lásd még: