Gerir identidades para ambientes híbridos de uma única floresta utilizando autenticação no local

De que forma este guia pode ser útil?

Os utilizadores empresariais gostariam de conseguir utilizar aplicações que residem em nuvem a partir de qualquer local e a partir de qualquer dispositivo, mas não conseguem porque não é possível efetuar a autenticação. O Departamento de TI empresarial quer que seja possível permitir aos utilizadores a capacidade para efetuarem a autenticação nestas aplicações em nuvem e também pretende a capacidade para controlarem em tempo real quem pode aceder a estas aplicações.

Este guia fornece instruções completas sobre como integrar um diretório no local com um diretório em nuvem, para que os utilizadores possam aceder facilmente às aplicações que residem em nuvem a partir de qualquer local e a partir de qualquer dispositivo. Esta integração é possível utilizando a autenticação no local. Para obter um exemplo sobre como utilizar a autenticação em nuvem, consulte Manage identities for single-forest hybrid environments using cloud authentication (Gerir identidades de ambientes híbridos de floresta única utilizando a autenticação em nuvem).

Neste guia de soluções:

• Cenário, declaração de problema e objetivos

• Qual é o planeamento recomendado e a abordagem de design para esta solução?

• Porque recomendamos esta conceção?

• Quais são os passos de alto nível para implementar esta solução?

Cenário, declaração de problema e objetivos

Esta secção descreve o cenário, a declaração de problema e os objetivos de uma organização de exemplo.

Cenário

A organização é uma empresa de grande dimensão com escritórios em todo o mundo, incluindo a América do Norte e do Sul, a Europa e a Ásia. As equipas de investigação e desenvolvimento (R&D) trabalham principalmente na América do Norte e na Europa. Desenvolvem as fórmulas que serão utilizadas pelos centros de produção localizados principalmente na Ásia.

As equipas de R&D trabalham em estrita cooperação no desenvolvimento de novas fórmulas ou na melhoria de fórmulas existentes. Este trabalho é elaborado através de testes semelhantes e normalizados em instalações na América do Norte e na Europa e, em seguida, através da partilha dos resultados. Os resultados são finalizados e as novas fórmulas são desenvolvidas. Estas fórmulas são consideradas segredos comerciais e são patenteadas. Depois do processo concluído, as fórmulas são enviadas para as instalações de produção para se dar início à produção.

Atualmente, se um membro da equipa de R&D pretender partilhar resultados com outros colaboradores noutro departamento da empresa ou pretender enviar uma fórmula para uma das fábricas na Ásia, a equipa utiliza o Sistema de Encriptação de Ficheiros (EFS) para encriptar e enviar os ficheiros por e-mail. A pessoa na outra extremidade desencripta os ficheiros.

A organização tem vários problemas com o processo atual:

• Privacidade: Os dados são transferidos através de e-mail e, apesar de estarem encriptados, ainda são suscetíveis a serem acedidos ilicitamente na Internet. Além disso, muitos colaboradores podem aceder ao e-mail a partir dos seus próprios dispositivos e não existe garantia de que esses dispositivos são seguros.

• Integridade: É necessário exportar e enviar para o destino o Certificado EFS utilizado para encriptar os ficheiros. Os utilizadores utilizam e-mail para enviar esses certificados, que podem violar a integridade do certificado.

• Confidencialidade: O mesmo certificado é utilizado frequentemente para encriptar os resultados de teste e as fórmulas. Os colaboradores nas fábricas de produção terão a capacidade para desencriptar esses resultados, se obtiverem uma cópia por engano.

Para resolver estas questões, a organização decidiu que gostaria de configurar o Office 365 SharePoint em nuvem e utilizá-lo como o seu portal para partilhar resultados de testes e fórmulas. No entanto, a organização pretende utilizar o Active Directory no local como o fornecedor de autenticação e não pretende utilizar a autenticação em nuvem.

declaração de problema

Atualmente a organização tem um fornecedor de autenticação, o Active Directory no local, mas neste momento o seu fornecedor não consegue autenticar os colaboradores nos novos sites do Office 365 SharePoint, que serão alojados no Azure.

O problema geral que a organização pretende resolver é:

Como arquiteto de sistemas ou administrador de TI, de que forma pode disponibilizar aos utilizadores uma identidade comum ao acederem aos recursos que se baseiam no local e na nuvem? E de que forma pode gerir essas identidades e manter as informações sincronizadas pelos vários ambientes sem utilizar recursos excessivos de TI?

Dar acesso aos sites do SharePoint da organização irá exigir a capacidade para autenticar os colaboradores com um fornecedor de autenticação, a instância no local do Active Directory. Além disso, a organização pretende restringir o acesso apenas aos colaboradores de R&D e da produção que necessitam de acesso aos sites. Atualmente, são os únicos que necessitarão de aceder aos sites.

Depois de analisar as opções, determinou-se que pode aproveitar a instância existente dos Active Directory Federation Services (AD FS) para utilizar a autenticação no local com o Azure. A organização configurou o AD FS há vários anos. Irá poupar tempo e dinheiro porque a equipa de TI já está familiarizada com a utilização de AD FS.

A administração autorizou a compra das subscrições do Office 365 e do Azure. Neste momento, cabe aos administradores do Active Directory obterem a instância deles da configuração do Azure AD e federá-la com o Active Directory no local.

Os administradores do Active Directory têm de conseguir aproveitar o Active Directory no local para preencherem a instância do Azure AD. Os administradores do Active Directory têm de conseguir efetuar esta ação rapidamente. Em seguida, os administradores do Active Directory têm de federar a instância no local do Active Directory com o Azure AD. Além disso, a organização pretende que os colaboradores que irão aceder aos sites do SharePoint tenham uma experiência de início de sessão único e que só consigam aceder aos sites quando iniciam sessão na rede empresarial. A organização não pretende o acesso a estes sites a partir de computadores ou dispositivos externos. A organização gostaria da capacidade para desativar rapidamente um utilizador no caso de uma separação, para que o utilizador não possa aceder ao site do SharePoint depois de a conta ser desativada. Finalmente, a organização gostaria de conseguir personalizar a página de início de sessão para que os utilizadores saibam que estão a iniciar sessão num site empresarial.

Objetivos organizacionais

Os objetivos da organização para esta solução de identidade híbrida são:

• Capacidade para configurar rapidamente a sincronização com a instância no local do Active Directory.

• Capacidade para controlar quem sincroniza e o que é que pode ser sincronizado para o Azure AD.

• Capacidade para oferecer início de sessão único (SSO). Alertas recebidos se a sincronização ou SSO não estiverem em funcionamento

• Capacidade para restringir o acesso apenas aos utilizadores de R&D e de produção com sessão iniciada a partir de uma localização segura e no local.

• Capacidade para impedir o acesso de utilizador em tempo real aos recursos em nuvem no caso de uma separação.

• Capacidade para limpar rapidamente e gerir de forma eficaz sistemas de identidade no local bem como geri-los para que possam ser a origem para o Azure AD.

• Capacidade para personalizar a página de início de sessão, para que apresente uma identidade empresarial.

Qual é o planeamento recomendado e a abordagem de design para esta solução?

Esta secção descreve o design de solução dedicado ao problema descrito na secção anterior e fornece considerações de planeamento de alto nível para este design.

Ao utilizar o Azure AD, a organização consegue integrar a instância no local do Active Directory com a instância do Azure AD. Esta instância será utilizada para redirecionar utilizadores para a página de início de sessão do AD FS, onde receberão um token que, em seguida, é apresentado ao Azure AD e é concedida autenticação.

A seguinte tabela lista os elementos que fazem parte deste design de solução e descreve a razão para a escolha do design.

AD FS é uma funcionalidade do Windows Server 2012 R2 que permite a federação entre o Active Directory no local e o Azure AD. Esta funcionalidade permite aos utilizadores iniciarem sessão nos serviços do Azure AD (como por exemplo o Office 365, o Intune e o CRM Online) utilizando uma experiência SSO. Esta ação disponibilizará aos utilizadores a capacidade para terem SSO que utiliza a sua instância do Active Directory no local como fornecedor de autenticação.

Pode utilizar a Ferramenta de Remediação de Erros IdFix do DirSync para detetar e corrigir objetos de identidade e os atributos deles num ambiente do Active Directory no local como preparação para a migração. Permite-lhe identificar rapidamente quaisquer problemas que possam surgir com a sincronização antes de iniciá-la. Ao utilizar esta informação, pode efetuar alterações ao ambiente, para evitar esses erros.

Porque recomendamos esta conceção?

Recomenda-se este design porque aborda os objetivos de design da organização. Isto significa que existem duas formas para fornecer autenticação aos recursos com base no Azure: através da autenticação em nuvem ou autenticação no local utilizando um STS.

Uma das maiores preocupações da organização é a capacidade para parar em tempo real o acesso aos recursos baseados em nuvem por parte de um utilizador, caso surja uma separação da empresa. Existe um desfasamento de três horas no máximo associado à utilização da Ferramenta de Sincronização do Azure Active Directory e a autenticação em nuvem. Isto significa que, se desativar uma conta de utilizador no local, pode demorar até três horas para a alteração aparecer no Azure. Esta situação não acontece se o utilizador tiver de regressar ao ambiente no local e efetuar a autenticação. Se uma conta de utilizador for desativada no local, esse utilizador não poderá receber um token e não terá autorização para aceder aos recursos em nuvem.

A organização pretende a capacidade para fornecer SSO. Só pode efetuar essa ação através da federação da instância no local do Active Directory com o Azure AD.

A capacidade para personalizar a página de início de sessão só está disponível utilizando o AD FS e a personalização do AD FS.

Quais são os passos de alto nível para implementar esta solução?

Pode utilizar os passos nesta secção para implementar a solução. Certifique-se de que verifica a implementação correta de cada passo antes de avançar para o próximo passo.

1. Preparar o início de sessão único (SSO)

   Para preparar, tem de certificar-se de que o ambiente cumpre os requisitos do SSO e verificar se o Active Directory e o inquilino do Azure AD estão configurados em conformidade com os requisitos do SSO. Para obter mais informações, consulte Prepare for single sign-on (Preparar o início de sessão único).

2. Configurar o serviço de token de segurança no local—AD FS

   Depois de preparar o ambiente do SSO, tem de configurar uma nova infraestrutura do AD FS no local para dar aos utilizadores remotos e locais do Active Directory acesso SSO ao serviço em nuvem. Se atualmente tiver AD FS no ambiente de produção, pode utilizá-lo para a implementação do SSO em vez de configurar uma nova infraestrutura, desde que seja suportado pelo Azure AD. Para obter mais informações sobre como iniciar a configuração do AD FS STS, siga os passos fornecidos em Checklist: Use AD FS to implement and manage single sign-on (Lista de verificação: Utilizar o AD FS para implementar e gerir o início de sessão único).

3. Instalar o Windows PowerShell para início de sessão único com o AD FS

   O Módulo Azure AD para Windows PowerShell é uma transferência para gerir os dados da organização no Azure AD. Este módulo instala um conjunto de cmdlets no Windows PowerShell que executa para configurar o acesso de SSO ao Azure AD e, por sua vez, a todos os serviços em nuvem para os quais tem subscrição. Para obter mais informações, consulte Install Windows PowerShell for single sign-on with AD FS (Instalar o Windows PowerShell para início de sessão único com o AD FS).

4. Configurar uma confiança entre o AD FS e o Azure AD

   Tem de estabelecer uma confiança entre o Azure AD e o Active Directory no local. Cada domínio que pretende federar tem de ser adicionado como um domínio de início de sessão único ou convertido para ser um domínio de início de sessão único a partir de um domínio padrão. Adicionar ou converter um domínio configura uma confiança entre o AD FS e o Azure AD. Para obter mais informações, consulte Set up a trust between AD FS and Azure AD (Configurar uma confiança entre o AD FS e o Azure AD).

5. Preparar a sincronização de diretórios

   Verifique os requisitos de sistema, crie as permissões de direito e permita considerações de desempenho. Para obter mais informações, consulte Prepare for directory synchronization (Preparar a sincronização de diretórios). Depois de concluir este passo, verifique se tem uma folha de cálculo preenchida com as opções selecionadas do design da solução.

6. Ativar a sincronização de diretórios

   Ative a sincronização de diretórios da sua empresa. Para obter mais informações, consulte Activate directory synchronization (Ativar a sincronização de diretórios). Depois de concluir este passo, verifique se tem as funcionalidades configuradas.

7. Configurar o computador de sincronização de diretórios

   Instale a Ferramenta de Sincronização do Azure AD. Se já o fez, saiba como atualizar, desinstalar ou mover a ferramenta para outro computador. Para obter mais informações, consulte Set up your directory sync computer (Configurar o computador de sincronização de diretórios). Depois de concluir este passo, verifique se tem as funcionalidades configuradas.

8. Sincronizar diretórios

   Efetue uma sincronização inicial e verifique se os dados foram sincronizados com sucesso. Também ficará a saber como configurar a Ferramenta de Sincronização do Azure AD para configurar a sincronização recorrente e como forçar a sincronização de diretórios. Para obter mais informações, consulte Use the Configuration Wizard to sync your directories (Utilizar o Assistente de Configuração para sincronizar os diretórios). Depois de concluir este passo, verifique se tem as funcionalidades configuradas.

9. Ativar utilizadores sincronizados

   Antes de poderem utilizar os serviços para os quais foi efetuada a subscrição, ative os utilizadores no portal do Office 365. Isso envolve a atribuição de uma licença aos utilizadores para utilizarem o Office 365. Pode fazê-lo individualmente ou em massa. Para obter mais informações, consulte Activate synced users (Ativar utilizadores sincronizados). Depois de concluir este passo, verifique se tem as funcionalidades configuradas. Tenha em atenção que este passo é opcional e só é necessário se estiver a utilizar o Office 365.

10. Verifique a solução.

    Depois de sincronizar os utilizadores, teste iniciando sessão em https://myapps.microsoft.com. Deve ser redirecionado para a página de início de sessão do AD FS. Depois de iniciar sessão e o AD FS autenticar o utilizador, este será redirecionado novamente para https://myapps.microsoft.com. Se tiver aplicações do Office 365, irá vê-las aqui. Um utilizador normal pode iniciar sessão sem precisar de uma subscrição do Azure.

Consulte Também