Identiteiten voor een hybride omgeving met één forest beheren met lokale verificatie

  • Artikel

 

Hoe kan deze handleiding u helpen?

Zakelijke gebruikers willen toepassingen in de cloud overal en vanaf ieder apparaat gebruiken, maar kunnen dit niet omdat ze zich niet kunnen verifiëren. Zakelijke IT-afdelingen willen hun gebruikers de mogelijkheid geven om zich te verifiëren voor deze cloud-toepassingen en de mogelijkheid om real-time te bepalen wie toegang heeft tot deze toepassingen.

Deze handleiding bevat prescriptieve richtlijnen voor het integreren van een lokale directory met een clouddirectory, zodat gebruikers eenvoudig vanaf elke locatie en elk apparaat toegang krijgen tot toepassingen die zich in de cloud bevinden. Dit wordt bereikt door middel van lokale verificatie. Zie voor een voorbeeld van het gebruik van cloudverificatie Manage identities for single-forest hybrid environments using cloud authentication (Identiteiten voor een hybride omgeving met één forest beheren met cloudverificatie).

Probleem op locatie

In deze handleiding met oplossingen vindt u:

  • Scenario, probleemstelling en doelstellingen

  • Wat is de aanbevolen plannings- en ontwerpmethode voor deze oplossing?

  • Waarom bevelen we dit ontwerp aan?

  • Wat zijn de stappen op hoog niveau om deze oplossing te implementeren?

Scenario, probleemstelling en doelstellingen

In dit gedeelte worden het scenario, de probleemstelling en de doelen voor een voorbeeldorganisatie beschreven.

Scenario

Uw organisatie is een grote onderneming met kantoren overal ter wereld, waaronder in Noord- en Zuid-Amerika, Europa en Azië. De onderzoeks- en ontwikkelingsteams (R&D) werken voornamelijk in Noord-Amerika en Europa. Zij ontwikkelen de formules die worden gebruikt door de productiecentra, die zich voornamelijk in Azië bevinden.

De R&D-teams werken nauw samen bij het ontwikkelen van nieuwe formules en het verbeteren van de bestaande. Dit wordt bereikt door het gebruik van gelijksoortige, gestandaardiseerde tests in de faciliteiten in Noord-Amerika en Europa, en door de resultaten vervolgens te delen. De resultaten worden vervolgens definitief gemaakt en nieuwe formules worden ontwikkeld. Deze formules worden als handelsgeheimen beschouwd en zijn gepatenteerd. Als dit proces is voltooid, worden de formules verzonden naar de fabricagefaciliteiten om de productie te starten.

Op dit moment is het zo dat als een lid van het R&D-team resultaten wil delen met collega's in een ander deel van het bedrijf of een formule wil verzenden naar een van de fabrieken in Azië, het team gebruik maakt van Encrypting File System (EFS) voor het versleutelen en e-mailen van de bestanden. De persoon die de bestanden ontvangt, ontsleutelt ze vervolgens.

Uw organisatie heeft verschillende problemen met het huidige proces:

  • Privacy: De gegevens worden verzonden via e-mail en hoewel ze zijn versleuteld, zijn ze nog steeds gevoelig zijn voor hacken via internet. Ook openen veel werknemers e-mail vanaf hun eigen apparaten, en er is geen garantie dat deze apparaten beveiligd zijn.

  • Integriteit: Het EFS-certificaat dat wordt gebruikt voor het versleutelen van bestanden moet worden geëxporteerd en verzonden naar de bestemming. Gebruikers verzenden die certificaten via e-mail en kunnen daarmee de integriteit van het certificaat schenden.

  • Vertrouwelijkheid: Hetzelfde certificaat wordt vaak gebruikt voor het versleutelen van de testresultaten en de formules. Medewerkers van de fabrieken kunnen deze resultaten ontsleutelen als ze per ongeluk een exemplaar ontvangen.

Om deze problemen aan te pakken, heeft uw organisatie besloten dat zij Office 365 SharePoint wil instellen in de cloud, en dit te gebruiken als de portal voor het delen van de testresultaten en formules. Uw organisatie wil de lokale Active Directory echter gebruiken als de verificatieprovider en geen gebruik maken van cloud-verificatie.

Probleemstelling

Uw organisatie heeft een verificatieprovider, de lokale Active Directory, maar deze provider kan op dit moment geen werknemers verifiëren naar de nieuwe Office 365 SharePoint-sites die worden gehost in Azure.

Het volledige probleem dat uw organisatie wil oplossen is:

Hoe kunt u als systeemarchitect of IT-beheerder gebruikers dezelfde identiteit bieden bij de toegang tot lokale en cloud-bronnen? En hoe kunt u deze identiteiten beheren en de informatie synchroniseren tussen de verschillende omgevingen zonder overmatig gebruik van IT-bronnen?

Voor het verlenen van toegang tot de SharePoint-sites van uw organisatie is het nodig werknemers te verifiëren met een verificatieprovider, het lokale exemplaar van Active Directory. Daarnaast wil uw organisatie de toegang beperken tot enkel de R&D- en productiemedewerkers die toegang tot de sites nodig hebben. Ze zijn momenteel de enige die toegang tot de sites nodig hebben.

Na verschillende mogelijkheden te hebben bekeken, hebt u vastgesteld dat u uw bestaande exemplaar van Active Directory Federation Services (AD FS) kunt gebruiken voor lokale verificatie met Azure. Uw organisatie heeft een aantal jaar geleden AD FS opgezet. Dit bespaart tijd en geld omdat de IT-medewerkers al bekend zijn met het gebruik van AD FS.

Management heeft toestemming gegeven voor de aanschaf van Office 365- en Azure-abonnementen. Het is nu aan de Active Directory-beheerders om hun exemplaar van Azure AD in te stellen en een federatierelatie tot stand te brengen met de lokale Active Directory.

De Active Directory-beheerders moeten de lokale Active Directory kunnen gebruiken voor het vullen van het exemplaar van Azure AD. De Active Directory-beheerders moeten dit snel kunnen doen. Vervolgens moeten de Active Directory-beheerders een federatierelatie tot stand brengen tussen het lokale exemplaar van Active Directory en Azure AD. Daarnaast wil uw organisatie ook dat werknemers ook echt met eenmalige aanmelding toegang hebben tot de SharePoint-sites en alleen toegang krijgen tot de sites wanneer ze zijn aangemeld met het bedrijfsnetwerk. Uw organisatie wil niet dat deze sites toegankelijk zijn vanaf externe computers of apparaten. Uw organisatie wil de mogelijkheid om snel een gebruiker uit te kunnen schakelen bij een scheiding, zodat de gebruiker geen toegang tot de SharePoint-site heeft nadat de account is uitgeschakeld. Uw organisatie wil ten slotte de aanmeldingspagina aanpassen zodat gebruikers weten dat ze zijn aangemeld bij een bedrijfssite.

Doelstellingen van de organisatie

De doelstellingen van uw organisatie voor de hybride identiteitsoplossing zijn:

  • De mogelijkheid snel synchronisatie in te stellen met het lokale exemplaar van Active Directory.

  • De mogelijkheid om te bepalen wie en wat wordt gesynchroniseerd met Azure AD.

  • De mogelijkheid voor eenmalige aanmelding (SSO). Waarschuwingen ontvangen als synchronisatie of eenmalige aanmelding niet beschikbaar is.

  • De mogelijkheid toegang te beperken tot alleen R&D- en productiemedewerkers die zich aanmelden vanaf een veilige, lokale locatie.

  • De mogelijkheid om real-time gebruikerstoegang tot cloud-bronnen te voorkomen in geval van een scheiding.

  • De mogelijkheid om lokale identiteitssystemen snel op te ruimen en goed te beheren, zodat ze de bron kunnen zijn voor Azure AD.

  • De mogelijkheid tot het aanpassen van de aanmeldingspagina met een bedrijfsidentiteit.

Wat is de aanbevolen plannings- en ontwerpmethode voor deze oplossing?

Deze sectie beschrijft het oplossingsontwerp voor het probleem uit de vorige sectie en biedt overwegingen op hoog niveau voor de planning voor dit ontwerp.

Met behulp van Azure AD kan uw organisatie het lokale exemplaar van Active Directory integreren met het Azure AD-exemplaar. Dit exemplaar wordt vervolgens gebruikt om gebruikers door te verwijzen naar de aanmeldingspagina van AD FS, waar ze een token krijgen dat door Azure AD wordt gebruikt voor het verlenen van verificatie.

Oplossing op locatie

In de volgende tabel vindt u de elementen die deel uitmaken van dit oplossingsontwerp en de reden voor de ontwerpkeuze.

Element oplossingsontwerp

Waarom is het onderdeel van deze oplossing?

Hulpprogramma voor Azure Active Directory-synchronisatie

Wordt gebruikt voor het synchroniseren van lokale directory-objecten met Azure AD. Zie voor een overzicht van deze technologie Directory synchronization roadmap (Routekaart voor adreslijstsynchronisatie).

Active Directory Federation Services

Een functie van Windows Server 2012 R2: een beveiligingstokenservice (STS) die gebruikmaakt van Active Directory als identiteitsarchief. De STS in AD FS kunnen beveiligingstokens verlenen aan de aanvrager met verschillende protocollen, zoals OAuth, WS-Trust, WS-Federation en Security Assertion Markup Language (SAML) 2.0. Zie voor een overzicht van deze technologie Active Directory Federation Services Overview (Overzicht van Active Directory Federation Services).

Hulpprogramma IdFix DirSync-foutherstel

Biedt klanten de mogelijkheid om het grootste gedeelte van de synchronisatiefouten te identificeren en te verhelpen in hun Active Directory-forests. Zie voor een overzicht van deze technologie IdFix DirSync Error Remediation Tool (Hulpprogramma IdFix DirSync-foutherstel).

AD FS is een functie van Windows Server 2012 R2 voor federatie tussen uw lokale Active Directory en Azure AD. Met deze functie kunnen gebruikers zich aanmelden bij hun Azure AD-services (zoals Office 365, Intune en Online CRM) met behulp van een SSO-ervaring. Dit biedt uw gebruikers de mogelijkheid voor eenmalige aanmelding die gebruikmaakt van uw lokale exemplaar van Active Directory als verificatieprovider.

Het hulpprogramma IdFix DirSync-foutherstel kan worden gebruikt om identiteitsobjecten en de bijbehorende kenmerken op te sporen en te herstellen in een lokale Active Directory-omgeving ter voorbereiding op de migratie. Hierdoor kunt u problemen die bij synchronisatie kunnen optreden snel opsporen, voordat u begint met het synchroniseren. Met deze informatie kunt u wijzigingen aanbrengen aan uw omgeving om deze fouten te voorkomen.

Waarom bevelen we dit ontwerp aan?

Dit ontwerp wordt aanbevolen, omdat het zich richt op de ontwerpdoelstellingen van uw organisatie. Dat wil zeggen dat er twee manieren zijn om Azure-bronnen te verifiëren: via cloud-verificatie of via lokale verificatie met een STS.

Een van de belangrijkste zorgen van uw bedrijf is de mogelijkheid om in real-time de toegang tot cloud-bronnen te ontzeggen voor een gebruiker die van het bedrijf gescheiden is. Er bestaat tot drie uur vertraging bij het gebruik van het hulpprogramma Azure Active Directory-synchronisatie en de verificatie van de cloud. Dat wil zeggen dat als u een gebruikersaccount lokaal uitschakelt, het tot drie uur kan duren voor de wijziging in Azure wordt weergegeven. Dit is niet het geval als de gebruiker naar de lokale omgeving moet terugkeren en zich moet verifiëren. Als u een lokaal gebruikersaccount hebt uitgeschakeld, kan die gebruiker geen token ontvangen en zal deze niet worden gemachtigd voor toegang tot de cloud-bronnen.

Uw organisatie wil de mogelijkheid bieden van eenmalige aanmelding. Dit kan alleen als uw lokale exemplaar van Active Directory een federatierelatie heeft met Azure AD.

De mogelijkheid tot het aanpassen van de aanmeldingspagina is alleen beschikbaar met het aanpassen van AD FS en AD FS.

Wat zijn de stappen op hoog niveau om deze oplossing te implementeren?

U kunt de stappen in deze sectie gebruiken om de oplossing te implementeren. Controleer of elke stap goed is uitgevoerd, voordat u doorgaat met de volgende stap.

  1. Bereid voor op eenmalige aanmelding (SSO)

    Om voor te bereiden, moet u controleren of uw omgeving voldoet aan de vereisten voor eenmalige aanmelding en controleren of uw Active Directory- en Azure AD-tenant zijn ingesteld op een manier die compatibel is met de vereisten voor eenmalige aanmelding. Zie voor meer informatie Prepare for single sign-on (Voorbereiden op eenmalige aanmelding).

  2. Stel uw lokale beveiligingstokenservice in: AD FS

    Nadat u uw omgeving hebt voorbereid op eenmalige aanmelding, moet u een nieuwe lokale AD FS-infrastructuur instellen voor uw lokale en externe Active Directory-gebruikers die toegang hebben tot de cloudservice via eenmalige aanmelding. Als u momenteel AD FS in uw productieomgeving hebt, kunt u dit als het ondersteund wordt door Azure AD gebruiken voor SSO-implementatie, in plaats van een nieuwe infrastructuur in te stellen. Volg voor meer informatie over hoe u aan de slag kunt met het instellen van een AD FS STS de stappen in Controlelijst:Use AD FS to implement and manage single sign-on (Eenmalige aanmelding implementeren en beheren met AD FS).

  3. Windows PowerShell installeren voor eenmalige aanmelding met AD FS

    De Azure AD-module voor Windows PowerShell is een download voor het beheren van gegevens van uw organisatie in Azure AD. Deze module installeert een set cmdlets in Windows PowerShell die u uitvoert om toegang met eenmalige aanmelding tot Azure AD en alle cloudservices waarop u bent geabonneerd in te stellen. Zie voor meer informatie InstallWindows PowerShell for single sign-on with AD FS (Windows PowerShell installeren voor eenmalige aanmelding met AD FS).

  4. Stel een vertrouwensrelatie tussen de AD FS en Azure AD in

    U moet een vertrouwensrelatie tussen Azure AD maken en uw lokale Active Directory. Elk domein dat u wilt federeren moet worden toegevoegd als een domein met eenmalige aanmelding of van een standaarddomein worden omgezet in een domein met eenmalige aanmelding. Het toevoegen of omzetten van een domein stelt een vertrouwensrelatie in tussen AD FS en Azure AD. Zie voor meer informatie Set up a trust between AD FS and Azure AD (Een vertrouwensrelatie instellen tussen AD FS en Azure AD).

  5. Adreslijstsynchronisatie voorbereiden

    Controleer de systeemvereisten, maak de juiste machtigingen aan en sta prestatieoverwegingen toe. Zie voor meer informatie Prepare for directory synchronization (Voorbereiden voor adreslijstsynchronisatie). Nadat u deze stap hebt voltooid, controleert u of u een voltooid werkblad hebt met de door u geselecteerde ontwerpopties voor oplossing.

  6. Adreslijstsynchronisatie activeren

    Adreslijstsynchronisatie activeren voor uw bedrijf. Zie voor meer informatie Activate directory synchronization (Adreslijstsynchronisatie activeren). Nadat u deze stap hebt voltooid, controleert u of u beschikt over de functies die zijn geconfigureerd.

  7. Stel uw computer in voor synchronisatie van de directory

    Installeer het hulpprogramma Azure AD-synchronisatie. Als u dit al gedaan hebt, kunt u leren hoe u het kunt upgraden, verwijderen of verplaatsen naar een andere computer. Zie voor meer informatie Set up your directory sync computer (Uw computer voor adreslijstsynchronisatie instellen). Nadat u deze stap hebt voltooid, controleert u of u beschikt over de functies die zijn geconfigureerd.

  8. Synchroniseer uw mappen

    Voor een eerste synchronisatie uit en controleer of de gegevens correct zijn gesynchroniseerd. U leert ook hoe u het hulpprogramma Azure AD-synchronisatie configureert voor het instellen van periodieke synchronisatie en het afdwingen van synchronisatie van de directory. Zie voor meer informatie Use the Configuration Wizard to sync your directories (De wizard Configuratie gebruiken voor het synchroniseren van uw adreslijsten). Nadat u deze stap hebt voltooid, controleert u of u beschikt over de functies die zijn geconfigureerd.

  9. Gesynchroniseerde gebruikers activeren

    Activeer de gebruikers in de Office 365-portal voordat ze de services kunnen gebruiken waarop u bent geabonneerd. Hiervoor is het nodig ze een licentie toe te wijzen voor het gebruik van Office 365. U kunt dit individueel doen, of gelijktijdig. Zie voor meer informatie Activate synced users (Gesynchroniseerde gebruikers activeren). Nadat u deze stap hebt voltooid, controleert u of u beschikt over de functies die zijn geconfigureerd. Houd er rekening mee dat deze stap optioneel is en alleen is vereist als u Office 365 gebruikt.

  10. Controleer de oplossing.

    Nadat de gebruikers zijn gesynchroniseerd, test u aanmelden bij https://myapps.microsoft.com. U wordt omgeleid naar de aanmeldingspagina van AD FS. Nadat u bent aangemeld en AD FS de gebruiker heeft geverifieerd, wordt de gebruiker teruggestuurd naar https://myapps.microsoft.com. Als u Office 365 toepassingen hebt, ziet u deze hier. Een gewone gebruiker kan zich hier aanmelden zonder een Azure-abonnement.

Zie ook

Content type

Verwijzingen

Productevaluatie/aan de slag

Test Lab Guide: Creating an Azure AD and Windows Server AD Environment Using DirSync with Password Sync (Handleiding voor testomgeving: Een Azure AD- en Windows Server AD-omgeving maken met DirSync met wachtwoordsynchronisatie).

Test Lab Guide: Creating an Azure AD and Windows Server AD Environment with Federation (SSO) (Handleiding voor testomgeving: Een Azure AD- en Windows Server AD-omgeving maken met Federation (SSO))

Plannen en ontwerpen

AD FS Design Guide in Windows Server 2012 (AD FS-ontwerphandleiding in Windows Server 2012)

Directory integration (Directory-integratie)

Implementatie

Windows Server 2012 R2 AD FS Deployment Guide (Implementatiehandleiding voor Windows Server 2012 R2 AD FS)

Directory synchronization roadmap (Routekaart voor adreslijstsynchronisatie)

Single sign-on roadmap (Roadmap voor eenmalige aanmelding)

Bewerkingen

AD FS Operations

Ondersteuning

Troubleshoot directory synchronization (Synchronisatie van probleemoplossingsdirectory)

Forum Forefront Identity Manager

Azure-forums

Naslaginformatie

Checklist: Use AD FS to implement and manage single sign-on (Controlelijst: Gebruik AD FS om eenmalige aanmelding te implementeren en te beheren)

Determine which directory integration scenario to use (Bepaal welk directory-integratiescenarie u wilt gebruiken)

Communitybronnen

Cloud Identity (Cloud-identiteit)

Verwante oplossingen

Manage mobile devices and PCs by migrating to Configuration Manager with Windows Intune (Mobiele apparaten en pc's beheren door te migreren naar Configuration Manager met Windows Intune)

Verwante technologieën

Windows Azure

Forefront Identity Manager 2010 R2

Active Directory Federation Services