Zarządzanie tożsamościami dla środowisk hybrydowych obejmujących jeden las za pomocą uwierzytelniania lokalnego

  • Artykuł

 

W czym może być pomocny ten przewodnik?

Użytkownicy w firmie chcą korzystać z aplikacji znajdujących się w chmurze z dowolnego miejsca i każdego urządzenia. Jednak nie jest to możliwe, ponieważ nie mają sposobu uwierzytelniania. Dział informatyczny firmy chce zapewnić użytkownikom możliwość uwierzytelniania w tych aplikacjach znajdujących się w chmurze, a także zapewnić sobie możliwość sterowania dostępem do tych aplikacji w czasie rzeczywistym.

Ten przewodnik zawiera wskazówki dotyczące sposobu integracji katalogu lokalnego z katalogiem chmury, dzięki czemu użytkownicy mogą łatwo uzyskiwać dostęp do aplikacji w chmurze z dowolnego miejsca i każdego urządzenia. Jest to realizowane przy użyciu uwierzytelniania lokalnego. Przykład użycia uwierzytelniania w chmurze zawiera strona Zarządzanie tożsamościami dla środowisk hybrydowych obejmujących jeden las za pomocą uwierzytelniania w chmurze.

Problem lokalny

Części tego przewodnika:

  • Scenariusz, opis problemu i cele

  • Jakie jest zalecane podejście przy planowaniu i projektowaniu w przypadku tego rozwiązania?

  • Dlaczego zalecamy ten projekt?

  • Jaka jest ogólna procedura implementacji tego rozwiązania?

Scenariusz, opis problemu i cele

W tej sekcji przedstawiono scenariusz, opis problemu i cele przykładowej organizacji.

Scenariusz

Organizacja jest dużą korporacją z oddziałami na całym świecie, w tym w Ameryce Północnej, Południowej, w Europie i Azji. Zespoły badawczo-rozwojowe (R&D) działają głównie w Ameryce Północnej i Europie. Opracowują one formuły, które będą używane w centrach produkcji znajdujących się głównie w Azji.

Zespoły R&D ściśle współpracują przy opracowywaniu nowych formuł lub ulepszaniu istniejących. Jest to realizowane przez stosowanie podobnych, standardowych testów w działach w Ameryce Północnej i w Europie, a następnie udostępnianie wyników. Następnie są przeprowadzane wyniki końcowe i są tworzone nowe formuły. Te formuły są traktowane jako tajemnice handlowe chronione patentem. Po zakończeniu tego procesu formuły są wysyłane do działów produkcyjnych, aby rozpoczęto produkcję.

Obecnie jeśli członek zespołu R&D chce udostępnić wyniki swojemu odpowiednikowi w innej części firmy lub wysłać formułę do jednego z zakładów w Azji, zespół używa systemu szyfrowania plików (Encrypting File System, EFS) do zaszyfrowania plików i wysłania ich pocztą e-mail. Osoba po drugiej stronie odszyfrowuje pliki.

Organizacja ma kilka problemów z obecnym procesem:

  • Prywatność: Dane są przesyłane za pośrednictwem poczty e-mail i wprawdzie są szyfrowane, jednak są nadal podatne na przejęcie w Internecie. Ponadto wielu pracowników ma dostęp do wiadomości e-mail ze swoich własnych urządzeń i nie ma żadnej gwarancji, że te urządzenia są bezpieczne.

  • Integralność: Certyfikat systemu szyfrowania plików używany do szyfrowania plików należy wyeksportować i wysłać do miejsca docelowego. Użytkownicy korzystają z wiadomości e-mail do wysyłania tych certyfikatów, a to może naruszyć integralność certyfikatu.

  • Poufność: Ten sam certyfikat jest często używany do szyfrowania wyników testu i formuł. Pracownicy zakładu produkcyjnego będą mieć możliwość odszyfrowania tych wyników, jeśli przez pomyłkę dostaną ich kopię.

Aby rozwiązać te problemy, w organizacji podjęto decyzję o skonfigurowaniu oprogramowania Office 365 SharePoint w chmurze i użyciu jako portalu do udostępniania wyników testów oraz formuł. Jednak organizacja chce używać własnej lokalnej usługi Active Directory jako dostawcy uwierzytelniania, a nie chce korzystać z uwierzytelniania w chmurze.

Opis problemu

Organizacja ma obecnie dostawcę uwierzytelniania, lokalną usługę Active Directory, jednak ten dostawca nie może obecnie uwierzytelniać pracowników w nowych witrynach Office 365 SharePoint, które będą obsługiwane w systemie Azure.

Zasadniczy problem, który organizacja chce rozwiązać, wygląda następująco:

W jaki sposób architekt systemów lub administrator systemu informatycznego może zapewnić użytkownikom wspólną tożsamość przy dostępie do zasobów lokalnych i w chmurze? Oraz w jaki sposób można zarządzać tymi tożsamościami i zapewnić synchronizację informacji w kilku środowiskach bez nadmiernego wykorzystania zasobów informatycznych?

Zapewnienie dostępu do witryn SharePoint organizacji będzie wymagać możliwości uwierzytelnienia pracowników przez dostawcę uwierzytelniania, lokalne wystąpienie usługi Active Directory. Ponadto organizacja chce ograniczyć dostęp tylko do tych pracowników działów R&D i produkcji, którzy wymagają dostępu do tych witryn. Obecnie są oni jedynymi użytkownikami wymagającymi dostępu do tych witryn.

Po przeanalizowaniu opcji okazało się, że można wykorzystać istniejące wystąpienie Usług federacyjnych Active Directory (AD FS) do lokalnego uwierzytelniania w systemie Azure. W organizacji kilka lat temu skonfigurowano usługi AD FS. Pozwoli to oszczędzić czas i pieniądze, ponieważ pracownicy działu informatycznego znają już obsługę usług AD FS.

Kierownictwo zezwoliło na zakup subskrypcji pakietu Office 365 i systemu Azure. Obecnie w gestii administratorów usługi Active Directory leży skonfigurowanie wystąpienia usługi Azure AD oraz utworzenie jej federacji z lokalną usługą Active Directory.

Administratorzy usługi Active Directory muszą być w stanie wykorzystać lokalną usługę Active Directory do zapełnienia wystąpienia usługi Azure AD. Niezbędne jest, aby administratorzy usługi Active Directory mogli wykonać to szybko. Następnie administratorzy usługi Active Directory muszą utworzyć federację lokalnego wystąpienia usługi Active Directory z usługą Azure AD. Ponadto organizacja wymaga, aby pracownicy, którzy będą korzystali z witryn SharePoint, mieli możliwości logowania jednokrotnego, a dostęp do witryn uzyskiwali dopiero po zalogowaniu do sieci firmowej. Organizacja wymaga, aby witryny te nie były dostępne z komputerów i urządzeń zewnętrznych. Organizacja będzie potrzebować możliwości szybkiego wyłączenia użytkownika w przypadku jego odejścia, tak aby ten użytkownik nie miał dostępu do witryny SharePoint po wyłączeniu konta użytkownika. Organizacja chce również mieć możliwość dostosowania strony logowania, aby użytkownicy wiedzieli, że logują się do witryny firmy.

Cele organizacyjne

Celami organizacji w tym rozwiązaniu tożsamości hybrydowej są:

  • Możliwość szybkiego konfigurowania synchronizacji z lokalnym wystąpieniem usługi Active Directory.

  • Możliwość kontroli zawartości synchronizowanej z usługą Azure AD.

  • Możliwość zapewnienia logowania jednokrotnego. Otrzymywanie alertów w sytuacji wyłączenia synchronizacji lub logowania jednokrotnego.

  • Możliwość ograniczenia dostępu tylko do użytkowników działów R&D i produkcji zalogowanych z bezpiecznej lokalizacji lokalnej.

  • Możliwość zapobiegania w czasie rzeczywistym dostępowi użytkownika do zasobów chmury w przypadku odejścia danego pracownika.

  • Możliwość szybkiego wyczyszczenia lokalnych systemów tożsamości oraz zapewnienie dobrego administrowania nimi, tak aby mogły stanowić źródło danych dla usługi Azure AD.

  • Możliwość dostosowania strony logowania, aby przedstawiała tożsamość firmy.

Jakie jest zalecane podejście przy planowaniu i projektowaniu w przypadku tego rozwiązania?

W tej sekcji opisano projekt rozwiązania problemu opisanego w poprzedniej sekcji oraz ogólne zagadnienia związane z planowaniem tego projektu.

Dzięki użyciu usługi Azure AD organizacja może zintegrować lokalne wystąpienie usługi Active Directory z wystąpieniem usługi Azure AD. To wystąpienie zostanie następnie użyte do przekierowania użytkowników na stronę logowania usług AD FS, na której zostanie wystawiony token. Token ten zostanie przedstawiony w usłudze Azure AD i zostanie przyznane uwierzytelnienie.

Rozwiązanie lokalne

Poniższa tabela zawiera listę elementów należących do projektu tego rozwiązania oraz uzasadnienie wyboru tych elementów.

Element projektu rozwiązania

Dlaczego występuje w tym rozwiązaniu?

Narzędzie do synchronizacji Azure Active Directory

Jest używane do synchronizacji obiektów katalogu lokalnego z usługą Azure AD. Przegląd tej technologii zawiera strona Przewodnik po synchronizacji katalogów.

Usługi federacyjne Active Directory

Funkcja systemu Windows Server 2012 R2 będąca usługą tokenu zabezpieczającego używającą usługi Active Directory jako magazynu tożsamości. Usługa tokenu zabezpieczającego w usłudze AD FS może wystawiać tokeny zabezpieczające obiektowi wywołującemu, korzystając z różnych protokołów, w tym OAuth, WS-Trust, WS-Federation oraz SAML 2.0 (Security Assertion Markup Language). Przegląd tej technologii zawiera strona Omówienie Usług federacyjnych Active Directory.

Narzędzie IdFix DirSync Error Remediation Tool

Zapewnia klientom możliwość identyfikowania i korygowania większości błędów synchronizacji obiektów w ich lasach usługi Active Directory. Przegląd tej technologii zawiera strona Narzędzie IdFix DirSync Error Remediation Tool.

Usługi AD FS są funkcją systemu Windows Server 2012 R2, która umożliwia utworzenie federacji między lokalną usługą Active Directory a usługą Azure AD. Funkcja ta umożliwia użytkownikom logowanie w ich usługach Azure AD (takich jak Office 365, Intune czy CRM Online) z użyciem logowania jednokrotnego. Zapewni to użytkownikom jednokrotne logowanie z użyciem lokalnego wystąpienia usługi Active Directory jako dostawcy uwierzytelniania.

Narzędzia IdFix DirSync Error Remediation Tool można użyć do odnajdywania i korygowania obiektów tożsamości i ich atrybutów w lokalnym środowisku Active Directory w ramach przygotowania do migracji. Pozwoli to na szybką identyfikację wszelkich problemów, które mogą wystąpić przy synchronizacji, przed rozpoczęciem tej synchronizacji. Korzystając z tych informacji, można wprowadzić zmiany w używanym środowisku, aby uniknąć wystąpienia tych problemów.

Dlaczego zalecamy ten projekt?

Ten projekt jest zalecany, ponieważ spełnia cele projektu danej organizacji. Oznacza to, że istnieją dwa sposoby zapewnienia uwierzytelniania do zasobów systemu Azure: uwierzytelnianie w chmurze lub uwierzytelnianie lokalne z użyciem usługi tokenu zabezpieczającego.

Jednym z priorytetów organizacji jest możliwość wstrzymania w czasie rzeczywistym dostępu do zasobów w chmurze użytkownikowi, który opuszcza firmę. W przypadku używania narzędzia do synchronizacji usługi Azure Active Directory oraz uwierzytelniania w chmurze występuje maksymalnie trzygodzinne opóźnienie. Oznacza to, że jeśli konto użytkownika zostanie wyłączone lokalnie, może potrwać do trzech godzin, zanim ta zmiana zaistnieje w systemie Azure. Nie ma to miejsca w przypadku, gdy użytkownik musi wrócić do środowiska lokalnego i się uwierzytelnić. Jeśli konto użytkownika zostanie wyłączone lokalnie, użytkownik ten nie otrzyma tokenu i nie uzyska autoryzacji dostępu do zasobów w chmurze.

Organizacja potrzebuje możliwości zapewnienia logowania jednokrotnego. Można to osiągnąć jedynie przez utworzenie federacji lokalnego wystąpienia usługi Active Directory z usługą Azure AD.

Możliwość dostosowania strony logowania jest dostępna wyłącznie za pomocą usług AD FS i opcji dostosowania usług AD FS.

Jaka jest ogólna procedura implementacji tego rozwiązania?

Aby zaimplementować to rozwiązanie, możesz wykonać kroki przedstawione w tej sekcji. Przed przejściem do następnego kroku upewnij się, że dany krok został poprawnie wdrożony.

  1. Wykonaj przygotowania do logowania jednokrotnego

    Przygotowanie polega na zapewnieniu, że dane środowisko spełnia wymagania logowania jednokrotnego, oraz sprawdzeniu, że usługę Active Directory i dzierżawcę usługi Azure AD skonfigurowano pod kątem zgodności z wymaganiami logowania jednokrotnego. Więcej informacji na ten temat zawiera strona Przygotowanie do logowania jednokrotnego.

  2. Skonfiguruj lokalną usługę tokenu zabezpieczającego (AD FS)

    Po przygotowaniu środowiska do logowania jednokrotnego należy skonfigurować nową lokalną infrastrukturę AD FS do zapewnienia lokalnym i zdalnym użytkownikom usługi Active Directory dostępu z logowaniem jednokrotnym do usługi w chmurze. Jeśli w środowisku produkcyjnym są już usługi AD FS, można ich użyć do wdrożenia logowania jednokrotnego, zamiast konfigurować nową infrastrukturę, o ile są one obsługiwane przez usługę Azure AD. Więcej informacji na temat sposobu skonfigurowania usługi tokenu zabezpieczającego usług AD FS zawiera procedura w sekcji Lista kontrolna: Implementowanie logowania jednokrotnego i zarządzanie nim za pomocą usług AD FS.

  3. Instalowanie programu Windows PowerShell na potrzeby logowania jednokrotnego za pomocą usług AD FS

    Moduł usługi Azure AD dla programu Windows PowerShell to pobierany program do zarządzania danymi organizacji w usłudze Azure AD. Ten moduł instaluje zestaw poleceń cmdlets w programie Windows PowerShell. Są one uruchamiane w celu skonfigurowania dostępu logowania jednokrotnego do usługi Azure AD, a tym samym do wszystkich usług w chmurze, do których masz subskrypcję. Więcej informacji na ten temat zawiera strona Instalowanie programu Windows PowerShell na potrzeby logowania jednokrotnego za pomocą usług AD FS.

  4. Skonfiguruj relację zaufania między usługami AD FS a usługą Azure AD

    Należy ustanowić relację zaufania między usługą Azure AD a lokalną usługą Active Directory. Każda domena, z którą ma zostać utworzona federacja, musi albo zostać dodana jako domena logowania jednokrotnego, albo zostać przekształcona z domeny standardowej w domenę logowania jednokrotnego. Dodawanie lub przekształcanie domeny powoduje skonfigurowanie relacji zaufania między usługami AD FS a usługą Azure AD. Więcej informacji na ten temat zawiera strona Konfigurowanie relacji zaufania między usługami AD FS a usługą Azure AD.

  5. Przygotuj się do synchronizacji katalogów

    Sprawdź wymagania systemowe, utwórz odpowiednie uprawnienia i przeanalizuj zagadnienia związane z wydajnością. Więcej informacji na ten temat zawiera strona Przygotowanie do synchronizacji katalogów. Po wykonaniu tego kroku sprawdź, czy masz wypełniony arkusz przedstawiający opcje projektu wybranego rozwiązania.

  6. Aktywuj synchronizację katalogów

    Aktywuj synchronizację katalogów dla firmy. Więcej informacji na ten temat zawiera strona Aktywacja synchronizacji katalogów. Po wykonaniu tego kroku sprawdź, czy zostały skonfigurowane odpowiednie funkcje.

  7. Skonfiguruj komputer do synchronizacji katalogów

    Zainstaluj narzędzie do synchronizacji usługi Azure AD. Jeśli już to zostało zrobione, zapoznaj się z informacjami o sposobie uaktualniania, odinstalowania lub przeniesienia na inny komputer. Więcej informacji na ten temat zawiera strona Konfigurowanie komputera do synchronizacji katalogów. Po wykonaniu tego kroku sprawdź, czy zostały skonfigurowane odpowiednie funkcje.

  8. Zsynchronizuj swoje katalogi

    Przeprowadź początkową synchronizację i sprawdź, czy dane zostały pomyślnie zsynchronizowane. Dowiesz się również, w jaki sposób skonfigurować narzędzie do synchronizacji usługi Azure AD w taki sposób, aby ustawić synchronizację cykliczną, oraz jak wymusić synchronizację katalogów. Więcej informacji na ten temat zawiera strona Synchronizowanie katalogów za pomocą Kreatora konfiguracji. Po wykonaniu tego kroku sprawdź, czy zostały skonfigurowane odpowiednie funkcje.

  9. Aktywuj zsynchronizowanych użytkowników

    Aktywuj użytkowników w portalu Office 365, zanim będą mogli użyć usług, do których masz subskrypcję. Obejmuje to przypisanie im licencji na używanie oprogramowania Office 365. Operację można wykonać dla poszczególnych użytkowników lub grupowo. Więcej informacji na ten temat zawiera strona Aktywowanie zsynchronizowanych użytkowników. Po wykonaniu tego kroku sprawdź, czy zostały skonfigurowane odpowiednie funkcje. Pamiętaj, że jest to krok opcjonalny, wymagany tylko w przypadku korzystania z oprogramowania Office 365.

  10. Zweryfikuj rozwiązanie.

    Po zsynchronizowaniu użytkowników przetestuj logowanie do strony https://myapps.microsoft.com. Powinno nastąpić przekierowanie do strony logowania usług AD FS. Po zalogowaniu się i uwierzytelnieniu użytkownika przez usługi AD FS użytkownik zostanie przekierowany ponownie do strony https://myapps.microsoft.com. Jeśli masz aplikacje pakietu Office 365, zobaczysz je tutaj. Zwykły użytkownik może zalogować się tutaj bez konieczności subskrypcji systemu Azure.

Zobacz też

Typ zawartości

Dokumentacja

Ocena produktu/wprowadzenie do produktu

Przewodnik po laboratorium testowym: Tworzenie środowiska usługi Active Directory systemu Azure i usługi Active Directory systemu Windows z użyciem funkcji synchronizacji haseł narzędzia DirSync

Przewodnik po laboratorium testowym: Tworzenie środowiska usługi Active Directory systemu Azure AD i usługi Active Directory systemu Windows Server z federacją (logowanie jednokrotne)

Planowanie i projektowanie

Przewodnik dotyczący projektowania usług AD FS w systemie Windows Server 2012

Integracja katalogów

Wdrażanie

Przewodnik wdrażania usług AD FS w systemie Windows Server 2012 R2

Przewodnik po synchronizacji katalogów

Przewodnik po logowaniu jednokrotnym

Operacje

Operacje w usługach AD FS

Pomoc techniczna

Rozwiązywanie problemów z synchronizacją katalogów

Forum o programie Forefront Identity Manager

Fora o systemie Azure

Dokumentacja

Lista kontrolna: Implementowanie logowania jednokrotnego i zarządzanie nim za pomocą usług AD FS

Określ, którego scenariusza integracji katalogów użyć

Zasoby społeczności

Tożsamość w chmurze

Rozwiązania pokrewne

Zarządzanie urządzeniami przenośnymi i komputerami przy użyciu funkcji migracji do Menedżera konfiguracji z usługą Windows Intune

Technologie pokrewne

System Windows Azure

Program Forefront Identity Manager 2010 R2

Usługi federacyjne Active Directory