Gerir identidades para ambientes híbridos de uma única floresta utilizando autenticação da nuvem

  • Artigo

 

De que forma este guia pode ser útil?

Os utilizadores empresariais gostariam de conseguir utilizar aplicações que residem em nuvem a partir de qualquer local e a partir de qualquer dispositivo, mas não conseguem porque não é possível efetuar a autenticação.

Este guia fornece uma conceção prescritiva e testada sobre como integrar um diretório no local com um diretório em nuvem, para que os utilizadores possam aceder facilmente às aplicações que residem na nuvem a partir de qualquer local e de qualquer dispositivo. Este acesso é possível através da autenticação em nuvem. Para obter um exemplo de utilização da autenticação no local, consulte Manage identities for single-forest hybrid environments using on-premises authentication (Gerir identidades de ambientes híbridos de floresta única através de autenticação no local).

Problema de Autenticação na Nuvem

Neste guia de soluções:

  • Cenário, declaração de problema e objetivos

  • Qual é a abordagem de concepção e planeamento recomendada para esta solução?

  • Porque recomendamos esta conceção?

  • Quais são os passos de alto nível para implementar esta solução?

Cenário, declaração de problema e objetivos

Esta secção descreve o cenário, a declaração de problema e os objetivos organizacionais que são úteis como exemplos para este guia.

Cenário

A organização é uma empresa de média dimensão. A equipa de vendas da organização trabalha em todo o mundo. Quando efetua uma venda, tem de aceder a um computador que esteja associado à rede, a partir de uma localização do concentrador ou via VPN, e introduzir essa venda numa aplicação personalizada que é executada na rede empresarial.

Como estas vendas nem sempre são registadas em tempo real, é complicado gerir os inventários. Esta situação tem dado origem a encomendas pendentes e atrasos. Além disso, a equipa de vendas tem-se queixado por muitas vezes não ter acesso à rede empresarial quando se encontra no local de trabalho do cliente e gostaria de conseguir introduzir as informações através dos seus tablets ou smartphones.

Os programadores da organização desenvolveram recentemente uma nova aplicação de gestão de relações com o cliente, que facilitará aos agentes de vendas submeterem encomendas a partir de qualquer dispositivo que tenha acesso à Internet.

A organização decidiu alojar esta aplicação na nuvem. Isto irá permitir à força de vendas introduzir rapidamente uma venda a partir do tablet ou smartphone no momento da venda, sem ter de se ligar primeiro à rede empresarial. A organização espera que esta aplicação melhore muito a gestão do inventário.

declaração de problema

A organização decidiu que a nova aplicação será alojada no Microsoft Azure. No entanto, não tem atualmente um fornecedor de autenticação que possa autenticar a equipa de vendas na nova aplicação que será alojada no Azure.

O problema geral que pretende resolver é:

Como arquiteto de sistemas ou administrador de TI, de que forma pode disponibilizar aos utilizadores uma identidade comum ao acederem aos recursos que se baseiam no local e na nuvem? De que forma pode gerir essas identidades e manter as informações sincronizadas pelos vários ambientes sem utilizar recursos excessivos de TI?

Fornecer acesso a esta aplicação exigirá a capacidade para autenticar o pessoal de vendas com um fornecedor de autenticação. A organização pretende restringir o acesso à aplicação CRM à equipa de vendas, porque, atualmente, são os únicos colaboradores que necessitarão de acesso à aplicação.

A organização analisou as opções e concorda em permitir a autenticação na nuvem, em vez de uma instância do Azure AD. A organização determinou que será menos dispendioso e mais simples de configurar, porque atualmente não têm quaisquer instâncias dos Serviços de Federação do Active Directory (AD FS) no local. Além disso, como a equipa de vendas está em todo o mundo, a autenticação na nuvem irá fornecer uma melhor experiência, especialmente nas áreas de menor largura de banda. A sua organização também manifesta preocupações em relação aos recursos necessários para gerir estas identidades; só existe um administrador do Active Directory e o administrador tem de conseguir fazer com que esta solução fique operacional rapidamente.

Os programadores da organização adicionaram o código para tornar esta situação possível. Neste momento, cabe ao administrador do Active Directory obter a instância dele da configuração do Azure AD. O administrador do Active Directory tem de conseguir aproveitar o Active Directory no local para preencher a instância do Azure AD. O administrador do Active Directory tem de conseguir fazer isto rapidamente. Não tem tempo para limpar o ambiente do Active Directory atual ou para recriar cada conta de utilizador no Azure. Além disso, a organização quer que os membros da equipa de vendas possam utilizar a mesma palavra-passe que utilizam ao iniciar sessão na rede empresarial. A organização não quer que a equipa de vendas tenha de se lembrar de várias palavras-passe.

Objetivos organizacionais

Os objetivos da organização para esta solução de identidade híbrida são:

  • Capacidade para gerir identidades no diretório no local e na nuvem.

  • Capacidade para configurar rapidamente a sincronização com o diretório de uma única floresta no local.

  • Capacidade para fornecer um fornecedor de autenticação em nuvem.

  • Capacidade para configurar rapidamente a sincronização com o respetivo diretório no local.

  • Capacidade para controlar quem sincroniza e o que é que pode ser sincronizado com a nuvem.

  • Capacidade para proporcionar uma experiência de início de sessão seguro, à semelhança da que existe atualmente.

  • Capacidade para limpar rapidamente e gerir de forma eficaz sistemas de identidade no local, para que possam ser a origem para a nuvem.

Qual é a abordagem de concepção e planeamento recomendada para esta solução?

Esta secção descreve o design de solução dedicado ao problema descrito na secção anterior e fornece considerações de planeamento de alto nível para este design.

Ao utilizar o Azure AD, a organização consegue integrar a instância no local do Active Directory com a instância do Azure AD. Esta instância será utilizada para fornecer autenticação na nuvem, tal como mostra o seguinte diagrama.

Solução de Autenticação na Nuvem

A tabela seguinte apresenta os elementos que fazem parte deste design de solução e descreve as razões para cada escolha de design.

Elemento de design da solução

Por que razão é incluído nesta solução?

Ferramenta de Sincronização do Azure Active Directory

É utilizada para sincronizar objetos de diretório no local com o Azure AD. Para uma descrição geral desta tecnologia, consulte Directory synchronization roadmap (Informações gerais sobre a sincronização de diretórios).

Sincronização de Palavra-passe

Uma funcionalidade da ferramenta de Sincronização do Azure Active Directory que sincroniza palavras-passe de utilizador a partir do Active Directory no local com o Azure AD. Para uma descrição geral desta tecnologia, consulte Implementar a Sincronização de Palavras-passe.

Ferramenta de Remediação de Erros IdFix do DirSync

Fornece aos clientes a capacidade de identificarem e corrigirem a maioria dos erros de sincronização de objetos nas florestas do Active Directory. Para uma descrição geral desta tecnologia, consulte IdFix DirSync Error Remediation Tool.

Sincronização de Palavra-passe é uma funcionalidade da ferramenta de Sincronização do Azure Active Directory que sincroniza palavras-passe de utilizador a partir do Active Directory no local com o Azure AD. Esta funcionalidade permite que os utilizadores iniciem sessão nos serviços do Azure AD (como o Office 365, o Intune e o CRM Online) com a mesma palavra-passe que utilizam para iniciar sessão na rede local. Irá disponibilizar aos utilizadores a capacidade de terem um início de sessão seguro, que seja igual ao início de sessão na rede empresarial.

Pode utilizar a Ferramenta de Remediação de Erros IdFix do DirSync para detetar e corrigir objetos de identidade e os atributos deles num ambiente do Active Directory no local como preparação para a migração. Permite-lhe identificar rapidamente quaisquer problemas que possam surgir com a sincronização antes de iniciá-la. Ao utilizar esta informação, pode efetuar alterações ao ambiente, para evitar esses erros.

Porque recomendamos esta conceção?

Recomenda-se este design porque aborda os objetivos de design da organização. Isto significa que existem duas formas de fornecer autenticação a recursos baseados no Azure — através de autenticação na nuvem ou através de autenticação no local com um serviço de tokens de segurança (STS).

O primeiro objetivo de concepção da organização é ter a capacidade de configurar rapidamente a sincronização com a respetiva instância no local do Active Directory. Esta conceção representa a forma mais rápida de sincronizar o Active Directory no local com o Azure AD.

O segundo objetivo é ter a capacidade de proporcionar uma experiência de início de sessão seguro, à semelhança da que existe atualmente. Através desta concepção, os utilizadores iniciarão sessão com o mesmo nome de utilizador e a mesma palavra-passe que utilizam atualmente e a experiência não será diferente.

Quais são os passos de alto nível para implementar esta solução?

Pode utilizar os passos nesta secção para implementar a solução. Certifique-se de que verifica a implementação correta de cada passo antes de avançar para o próximo passo.

  1. Prepare a sincronização de diretórios.

    Verifique os requisitos de sistema, crie as permissões corretas e tenha em conta considerações de desempenho. Para obter mais informações, consulte Preparar a sincronização de diretórios. Depois de concluir este passo, confirme se tem uma folha de cálculo preenchida com as opções selecionadas de concepção da solução.

  2. Ative a sincronização de diretórios.

    Ative a sincronização de diretórios da sua empresa. Para obter mais informações, consulte Activate directory synchronization (Ativar a sincronização de diretórios). Depois de concluir este passo, verifique se tem as funcionalidades configuradas.

  3. Configure o computador de sincronização de diretórios.

    Instale a Ferramenta de Sincronização do Microsoft Azure AD. Se já o fez, saiba como atualizar, desinstalar ou mover a ferramenta para outro computador. Para obter mais informações, consulte Set up your directory sync computer (Configurar o computador de sincronização de diretórios). Depois de concluir este passo, verifique se tem as funcionalidades configuradas.

  4. Sincronize os diretórios.

    Efetue uma sincronização inicial e confirme se os dados foram sincronizados com êxito. Também ficará a saber como configurar a Ferramenta de Sincronização do Azure AD para configurar a sincronização recorrente e como forçar a sincronização de diretórios. Para obter mais informações, consulte Use the Configuration Wizard to sync your directories (Utilizar o Assistente de Configuração para sincronizar os diretórios). Depois de concluir este passo, verifique se tem as funcionalidades configuradas.

  5. Ative os utilizadores sincronizados.

    Antes de poderem utilizar os serviços para os quais foi efetuada a subscrição, ative os utilizadores no portal do Office 365. Isso envolve a atribuição de uma licença aos utilizadores para utilizarem o Office 365. Pode fazê-lo individualmente ou em massa. Para obter mais informações, consulte Activate synced users (Ativar utilizadores sincronizados). Depois de concluir este passo, verifique se tem as funcionalidades configuradas. Tenha em atenção que este passo é opcional e só é necessário se estiver a utilizar o Office 365.

  6. Verifique a solução.

    Depois de sincronizar os utilizadores, inicie sessão em https://myapps.microsoft.com para testar. Se tiver aplicações do Office 365, irá vê-las aqui. Um utilizador normal pode iniciar sessão aqui sem precisar de uma subscrição do Azure.

Consulte também

Tipo de conteúdo

Referências

Avaliação do produto/Introdução

Guia de Laboratório de Teste: Creating a Windows Azure AD and Windows Server AD Environment using DirSync with Password Sync

Guia de Laboratório de Testes: Creating a Windows Azure AD and Windows Server AD Environment with Federation (SSO)

Planeamento e design

AD FS Design Guide in Windows Server 2012 (Guia de Concepção do AD FS no Windows Server 2012)

Integração de diretórios

Implementação

Windows Server 2012 R2 AD FS Deployment Guide (Guia de Implementação do AD FS do Windows Server 2012 R2)

Directory synchronization roadmap (Informações gerais sobre a sincronização de diretórios)

Single sign-on roadmap (Instruções gerais sobre o início de sessão único)

Operações

AD FS Operations (Operações do AD FS)

Suporte

Troubleshoot directory synchronization (Resolução de problemas da sincronização de diretórios)

Forefront Identity Manager Forum (Fórum do Forefront Identity Manager)

Fóruns do Microsoft Azure

Referência

Checklist:Use AD FS to implement and manage single sign-on (Lista de verificação: Utilizar o AD FS para implementar e gerir o início de sessão único)

Determine which directory integration scenario to use (Determinar qual o cenário de integração de diretórios a utilizar)

Recursos da comunidade

Cloud Identity (Identidade em nuvem)

Soluções relacionadas

Manage mobile devices and PCs by migrating to Configuration Manager with Windows Intune (Gerir dispositivos móveis e PCs através da migração para o Configuration Manager com o Windows Intune)

Tecnologias relacionadas

Azure

Forefront Identity Manager 2010 R2

Active Directory Federation Services (Serviços de Federação do Active Directory)