Zarządzanie tożsamościami dla środowisk hybrydowych obejmujących jeden las za pomocą uwierzytelniania w chmurze
W czym może być pomocny ten przewodnik?
Użytkownicy w firmie chcą korzystać z aplikacji znajdujących się w chmurze z dowolnego miejsca i każdego urządzenia. Jednak nie jest to możliwe, ponieważ nie mają sposobu uwierzytelniania.
Ten przewodnik zawiera zalecany i przetestowany projekt integracji katalogu lokalnego z katalogiem chmury, dzięki czemu użytkownicy mogą łatwo uzyskiwać dostęp do aplikacji w chmurze z dowolnego miejsca i każdego urządzenia. Dostęp jest realizowany przy użyciu uwierzytelniania w chmurze. Przykład użycia uwierzytelniania lokalnego zawiera strona Zarządzanie tożsamościami dla środowisk hybrydowych obejmujących jeden las za pomocą uwierzytelniania lokalnego.
.jpeg "Problem z uwierzytelnianiem chmury")
Części tego przewodnika:
Scenariusz, opis problemu i cele
Jakie jest zalecane podejście przy planowaniu i projektowaniu w przypadku tego rozwiązania?
Dlaczego zalecamy ten projekt?
Jaka jest ogólna procedura implementacji tego rozwiązania?
Scenariusz, opis problemu i cele
Ta sekcja zawiera scenariusz, opis problemu i organizacyjne cele, które służą jako przykłady w tym przewodniku.
Scenariusz
Dana organizacja jest firmą o średniej wielkości. Personel sprzedaży tej organizacji pracuje wszędzie. W momencie finalizowania sprzedaży personel ten wymaga dostępu do komputera przyłączonego do sieci firmowej w lokalizacji centralnej lub za pośrednictwem wirtualnej sieci prywatnej i wprowadza dane dotyczące tej sprzedaży w niestandardowej aplikacji działającej w sieci firmowej.
Ponieważ te operacje sprzedaży nie zawsze są rejestrowane w czasie rzeczywistym, zarządzanie zapasami było trudne. Powodowało to powstawanie zamówień zaległych i opóźnień. Ponadto personel sprzedaży skarżył się na częsty brak dostępu do sieci firmowej z miejsca pracy klienta oraz chciałby mieć możliwość wprowadzania danych przy użyciu swoich tabletów lub smartfonów.
Deweloperzy w organizacji ostatnio opracowali nową aplikację do zarządzania relacjami z klientem, która ułatwia agentom sprzedaży przebywającym w terenie przesyłanie zamówień z dowolnego urządzenia z dostępem do Internetu.
W organizacji podjęto decyzję o obsłudze tej aplikacji w chmurze. Pozwoli to działowi sprzedaży na szybkie wprowadzenie informacji o sprzedaży z tabletu lub smartfonu w momencie realizowania tej sprzedaży bez konieczności uprzedniego nawiązania połączenia z siecią firmową. W organizacji oszacowano, że to znacznie poprawi zarządzanie zapasami.
Opis problemu
W organizacji określono, że nowa aplikacja będzie obsługiwana w systemie Microsoft Azure. Jednak obecnie w organizacji nie ma dostawcy uwierzytelniania mogącego uwierzytelniać personel sprzedaży w nowej aplikacji, która będzie obsługiwana w systemie Azure.
Zasadniczy problem, który należy rozwiązać, wygląda następująco:
W jaki sposób architekt systemów lub administrator systemu informatycznego może zapewnić użytkownikom wspólną tożsamość przy dostępie do zasobów lokalnych i w chmurze? W jaki sposób można zarządzać tymi tożsamościami i zapewnić synchronizację informacji w kilku środowiskach bez nadmiernego wykorzystania zasobów informatycznych?
Zapewnienie dostępu do tej aplikacji będzie wymagać możliwości uwierzytelniania personelu sprzedaży u dostawcy uwierzytelniania. Organizacja chce ograniczyć dostęp do aplikacji CRM tylko do personelu sprzedaży, ponieważ są oni obecnie jedynymi pracownikami potrzebującymi takiego dostępu.
Po zapoznaniu się z opcjami organizacja zgodziła się zezwolić na uwierzytelnianie w chmurze zamiast w wystąpieniu usługi Azure AD. W organizacji ustalono, że będzie to tańsze i łatwiejsze do skonfigurowania, ponieważ obecnie nie istnieje żadne lokalne wystąpienie Usług federacyjnych Active Directory (AD FS). Ponadto ponieważ personel sprzedaży znajduje się na całym świecie, to uwierzytelnianie w chmurze będzie skuteczniejsze, zwłaszcza w obszarach o mniejszej przepustowości sieci. W organizacji zajęto się zasobami wymaganymi do zarządzania tymi tożsamościami. Istnieje tylko jeden administrator usługi Active Directory, który musi mieć możliwość szybkiego skonfigurowania i uruchomienia tego rozwiązania.
Deweloperzy organizacji dodali kod, aby to umożliwić. Konfiguracja wystąpienia usługi Azure AD leży teraz w gestii administratora usługi Active Directory. Administrator usługi Active Directory musi być w stanie wykorzystać lokalną usługę Active Directory do zapełnienia wystąpienia usługi Azure AD. Niezbędne jest, aby administrator usługi Active Directory mógł wykonać to szybko. Brak jest czasu na czyszczenie bieżącego środowiska Active Directory oraz na ponowne tworzenie każdego konta użytkownika w systemie Azure. Organizacja wymaga ponadto, aby personel sprzedaży mógł używać tych samych haseł, których używa przy logowaniu do sieci firmowej. Niepożądane jest, aby personel sprzedaży w organizacji musiał zapamiętywać wiele haseł.
Cele organizacyjne
Celami organizacji w tym rozwiązaniu tożsamości hybrydowej są:
Możliwość zarządzania tożsamościami w katalogu lokalnym i w chmurze.
Możliwość szybkiego skonfigurowania synchronizacji z katalogiem lokalnym jednego lasu.
Możliwość zapewnienia dostawcy uwierzytelniania w chmurze.
Możliwość szybkiego skonfigurowania synchronizacji z jej katalogiem lokalnym.
Możliwość kontroli zawartości synchronizowanej z chmurą.
Możliwość zapewnienia bezpiecznego środowiska logowania, które nie różni się od posiadanego obecnie.
Możliwość szybkiego wyczyszczenia lokalnych systemów tożsamości oraz zapewnienie dobrego administrowania nimi, tak aby mogły stanowić źródło danych dla chmury.
Jakie jest zalecane podejście przy planowaniu i projektowaniu w przypadku tego rozwiązania?
W tej sekcji opisano projekt rozwiązania problemu opisanego w poprzedniej sekcji oraz ogólne zagadnienia związane z planowaniem tego projektu.
Dzięki użyciu usługi Azure AD organizacja może zintegrować lokalne wystąpienie usługi Active Directory z wystąpieniem usługi Azure AD. Następnie to wystąpienie zostanie użyte do zapewnienia uwierzytelniania w chmurze, jak przedstawiono na poniższym diagramie.
.jpeg "Rozwiązanie uwierzytelniania chmury")
Poniższa tabela zawiera listę elementów należących do projektu tego rozwiązania oraz uzasadnienie każdego wyboru tych elementów.
Element projektu rozwiązania |
Dlaczego występuje w tym rozwiązaniu? |
|---|---|
Narzędzie do synchronizacji Azure Active Directory |
Jest używane do synchronizacji obiektów katalogu lokalnego z usługą Azure AD. Przegląd tej technologii zawiera strona Przewodnik po synchronizacji katalogów. |
Synchronizacja haseł |
Funkcja narzędzia do synchronizacji Azure Active Directory, która synchronizuje hasła użytkowników między lokalną usługą Active Directory a usługą Azure AD. Przegląd tej technologii zawiera strona Implementacja synchronizacji haseł. |
Narzędzie IdFix DirSync Error Remediation Tool |
Zapewnia klientom możliwość identyfikowania i korygowania większości błędów synchronizacji obiektów w ich lasach usługi Active Directory. Przegląd tej technologii zawiera strona Narzędzie IdFix DirSync Error Remediation Tool. |
Synchronizacja haseł to funkcja narzędzia do synchronizacji Azure Active Directory, która synchronizuje hasła użytkowników między lokalną usługą Active Directory a usługą Azure AD. Funkcja ta umożliwia użytkownikom logowanie się do ich usług Azure AD (na przykład Office 365, Intune i CRM Online) z użyciem hasła używanego przy logowaniu w sieci lokalnej. Pozwoli to zapewnić użytkownikom możliwość bezpiecznego logowania, takiego samego jak logowanie w sieci firmowej.
Narzędzia IdFix DirSync Error Remediation Tool można użyć do odnajdywania i korygowania obiektów tożsamości i ich atrybutów w lokalnym środowisku Active Directory w ramach przygotowania do migracji. Pozwoli to na szybką identyfikację wszelkich problemów, które mogą wystąpić przy synchronizacji, przed rozpoczęciem tej synchronizacji. Korzystając z tych informacji, można wprowadzić zmiany w używanym środowisku, aby uniknąć wystąpienia tych problemów.
Dlaczego zalecamy ten projekt?
Ten projekt jest zalecany, ponieważ spełnia cele projektu danej organizacji. Oznacza to, że istnieją dwa sposoby zapewnienia uwierzytelniania do zasobów systemu Azure: uwierzytelnianie w chmurze lub uwierzytelnianie lokalne z użyciem tokenu zabezpieczającego serviceSTS.
Głównym celem projektu w organizacji jest możliwość szybkiego konfigurowania synchronizacji z lokalnym wystąpieniem usługi Active Directory. Ten projekt przedstawia najszybszy sposób synchronizacji lokalnej usługi Active Directory z usługą Azure AD.
Po drugie organizacja potrzebuje możliwości zapewnienia bezpiecznego środowiska logowania, które nie różni się od posiadanego obecnie. Korzystając z tego rozwiązania, użytkownicy będą logować się z użyciem obecnych nazw użytkowników i haseł i sposób ich logowania się nie zmieni.
Jaka jest ogólna procedura implementacji tego rozwiązania?
Aby zaimplementować to rozwiązanie, możesz wykonać kroki przedstawione w tej sekcji. Przed przejściem do następnego kroku upewnij się, że dany krok został poprawnie wdrożony.
Przygotuj się do synchronizacji katalogów.
Sprawdź wymagania systemowe, utwórz odpowiednie uprawnienia i przeanalizuj zagadnienia związane z wydajnością. Więcej informacji na ten temat zawiera strona Przygotowanie do synchronizacji katalogów. Po wykonaniu tego kroku sprawdź, czy masz wypełniony arkusz przedstawiający opcje projektu wybranego rozwiązania.
Aktywuj synchronizację katalogów.
Aktywuj synchronizację katalogów dla firmy. Więcej informacji na ten temat zawiera strona Aktywacja synchronizacji katalogów. Po wykonaniu tego kroku sprawdź, czy zostały skonfigurowane odpowiednie funkcje.
Skonfiguruj komputer do synchronizacji katalogów.
Zainstaluj narzędzie do synchronizacji usługi Azure AD. Jeśli już to zostało zrobione, zapoznaj się z informacjami o sposobie uaktualniania, odinstalowania lub przeniesienia na inny komputer. Więcej informacji na ten temat zawiera strona Konfigurowanie komputera do synchronizacji katalogów. Po wykonaniu tego kroku sprawdź, czy zostały skonfigurowane odpowiednie funkcje.
Zsynchronizuj swoje katalogi.
Przeprowadź początkową synchronizację i sprawdź, czy dane zostały pomyślnie zsynchronizowane. Dowiesz się również, w jaki sposób skonfigurować narzędzie do synchronizacji usługi Azure AD w taki sposób, aby ustawić synchronizację cykliczną, oraz jak wymusić synchronizację katalogów. Więcej informacji na ten temat zawiera strona Synchronizowanie katalogów za pomocą Kreatora konfiguracji. Po wykonaniu tego kroku sprawdź, czy zostały skonfigurowane odpowiednie funkcje.
Aktywuj zsynchronizowanych użytkowników.
Aktywuj użytkowników w portalu Office 365, zanim będą mogli użyć usług, do których masz subskrypcję. Obejmuje to przypisanie im licencji na używanie oprogramowania Office 365. Operację można wykonać dla poszczególnych użytkowników lub grupowo. Więcej informacji na ten temat zawiera strona Aktywowanie zsynchronizowanych użytkowników. Po wykonaniu tego kroku sprawdź, czy zostały skonfigurowane odpowiednie funkcje. Pamiętaj, że jest to krok opcjonalny, wymagany tylko w przypadku korzystania z oprogramowania Office 365.
Zweryfikuj rozwiązanie.
Po zsynchronizowaniu użytkowników przetestuj logowanie do strony https://myapps.microsoft.com. Jeśli masz aplikacje pakietu Office 365, zobaczysz je tutaj. Zwykły użytkownik może zalogować się tutaj bez konieczności subskrypcji systemu Azure.
Zobacz też
Typ zawartości |
Dokumentacja |
Ocena produktu/wprowadzenie do produktu |
|
Planowanie i projektowanie |
Przewodnik dotyczący projektowania usług AD FS w systemie Windows Server 2012 |
Wdrażanie |
Przewodnik wdrażania usług AD FS w systemie Windows Server 2012 R2 |
Operacje |
|
Pomoc techniczna |
Rozwiązywanie problemów z synchronizacją katalogów |
Dokumentacja |
Lista kontrolna: Implementowanie logowania jednokrotnego i zarządzanie nim za pomocą usług AD FS |
Zasoby społeczności |
|
Rozwiązania pokrewne |
|
Technologie pokrewne |