Hantera identiteter för sammanhållna hybridmiljöer med lokal autentisering

Hur kan den här guiden hjälpa dig?

Företagsanvändare vill kunna använda program som finns i molnet från var som helst och med vilken enhet som helst, men det kan de inte eftersom det saknas ett sätt att autentisera. Företagets IT-avdelning vill kunna ge användarna autentiseringsmöjligheter för dessa molnprogram och vill även i realtid kunna styra åtkomst till dessa program.

Den här guiden ger vägledning om att integrera en lokal katalog med en molnkatalog så att användarna enkelt kan nå program som finns i molnet från var som helst och med vilken enhet som helst. Detta åstadkoms med hjälp av lokal autentisering. Ett exempel på molnautentisering finns i Hantera identiteter för sammanhållna hybridmiljöer med molnautentisering.

I den här lösningsguiden:

• Scenario, problembeskrivning och mål

• Vilken är den rekommenderad planerings- och designmetoden för denna lösning

• Varför rekommenderar vi den här designen?

• Vilka övergripande steg krävs för att implementera den här lösningen?

Scenario, problembeskrivning och mål

Det här avsnittet beskriver scenariot, beskrivning av problemet och mål för en exempel-organisation.

Scenario

Organisationen är en stor koncern med kontor över hela världen, inklusive i Nord- och Sydamerika, Europa och Asien. Forskning och utveckling (FoU) arbetar huvudsakligen i Nordamerika och Europa. De utvecklar formler som används vid produktionscentren som finns främst i Asien.

FoU-teamen samarbetar nära för att utveckla nya formler eller förbättrar befintliga. Detta görs genom att köra liknande, standardiserade tester vid anläggningarna i Nordamerika och Europa, och sedan delas resultatet. Resultaten slutförs sedan och nya formler tas fram. Formlerna betraktas som affärshemligheter och de patenteras. När processen är slutförd skickas formlerna till produktionsanläggningarna för att påbörja produktionen.

När en FoU-medlem vill dela resultatet med sin motsvarighet i en annan del av företaget eller vill skicka en formel till en anläggning i Asien använder teamet EFS (Encrypting File System) för att kryptera och skicka filerna med e-post. Personen på andra sidan dekrypterar sedan filerna.

Den aktuella processen medför flera problem för organisationen:

• Sekretess: Data överförs via e-post och även om de är krypterade är de fortfarande sårbara för hackningsförsök via Internet. Många anställda läser sin e-post från sina egna enheter och det är inte säkert att dessa enheter är säkra.

• Integritet: Det EFS-certifikat som används för att kryptera filerna måste exporteras och skickas till mottagaren. Certifikaten skickas med e-post vilket kan inverka på sekretessen för certifikatet.

• Konfidentialitet: Samma certifikat används ofta för att kryptera både resultat och formler. Anställda vid produktionsanläggningarna kan avkryptera resultaten även om de av misstag får en kopia.

För att lösa dessa problem har organisationen beslutat att installera Office 365 SharePoint i molnet och använda det som en portal för att dela testresultaten och formlerna. Men organisationen vill använda en lokal Active Directory som autentiseringsprovider och inte autentisering i molnet.

Problembeskrivning

Organisationen har en autentiseringsprovider för det lokala Active Directory, men den här providern kan för närvarande inte autentisera användare på de nya Office 365 SharePoint-webbplatser som ska finnas i Azure.

Det övergripande problemet som din organisation vill lösa är:

Hur kan du som systemarkitekt eller IT-administratör ge användarna en gemensam identitet vid åtkomst till resurser som finns på lokalt och i molnet? Och hur kan du hantera dessa identiteter och synkronisera informationen över flera miljöer utan att använda alltför stora IT-resurser?

Att ge åtkomst till organisationens SharePoint-webbplatser kommer att kräva möjlighet att autentisera anställda med en autentiseringsprovider, den lokal instansen för Active Directory. Företaget vill också begränsa åtkomsten till endast de anställda vid FoU och inom produktionen som behöver åtkomst till webbplatserna. De är de enda som ska kunna komma åt webbplatserna.

Efter att ha undersökt alternativen har du bestämt att du kan använda en befintlig instans av Active Directory Federation Services (AD FS) för lokal autentisering med Azure. Organisationen installerade AD FS flera år sedan. Detta sparar tid och pengar eftersom IT-personalen redan är bekanta med AD FS.

Ledningen har godkänt inköp av prenumerationer för Office 365 och Azure. Active Directory-administratörerna måste nu installera sina Azure AD-instanser och federera med den lokala Active Directory.

Active Directory-administratörerna måste även använda det lokala Active Directory för att fylla sin Azure AD-instans. Och Active Directory-administratörerna måste kunna göra det snabbt. Därefter måste Active Directory-administratörerna federera den lokala instansen av Active Directory med Azure AD. Organisationen vill också att anställda som ska använda SharePoint-webbplatserna ska använda enkel inloggning och endast kunna komma åt webbplatserna när de är inloggade på företagsnätverket. Organisationen vill inte att dessa webbplatser ska kunna nås från externa datorer eller enheter. Organisationen vill även ha möjligheten att snabbt kunna inaktivera en användare vid en separation så att användaren inte kan komma åt SharePoint-webbplatsen när kontot har inaktiverats. Slutligen vill organisationen kunna anpassa inloggningssidan så att användarna vet att de loggar in på en företagswebbplats.

Organisatoriska mål

Organisationens mål för hybrididentitetslösningen är:

• Möjlighet att snabbt ställa in synkronisering med lokal instans av Active Directory.

• Möjlighet att styra vem och vad som synkroniseras med Azure AD.

• Möjlighet att erbjuda enkel inloggning (SSO). Meddelanden tas emot även om synkronisering eller inloggning inte fungerar

• Möjlighet att begränsa åtkomsten till endast användare inom FoU och produktion som loggar in från en säker lokal plats.

• Möjlighet att förhindra realtidsanvändaråtkomst till molnresurser vid en separation.

• Möjlighet att snabbt rensa lokala identitetssystem och att dessa ska vara bra hanterade så att de kan vara källan för Azure AD.

• Möjlighet att anpassa inloggningssidan så att den uppfattas som en företagsidentitet.

Vilken är den rekommenderad planerings- och designmetoden för denna lösning

Det här avsnittet beskriver en designlösning som löser problemet som beskrivs i föregående avsnitt och ger en överblickande planering för den här designen.

Genom att använda Azure AD kan organisationen integrera den lokala instansen av Active Directory med Azure AD-instansen. Den här instansen används sedan för att dirigera användare till AD FS-inloggningssidan där ett token utfärdas som sedan presenteras för Azure AD för att bevilja autentisering.

I följande tabell visas de element som ingår i den här lösningsdesignen och anges de skäl som ligger till grund för att designen valdes.

AD FS är en funktion i Windows Server 2012 R2 som möjliggör federering mellan din lokala Active Directory och Azure AD. Med den här funktionen kan användare logga in på sina Azure AD-tjänster (till exempel Office 365, Intune och CRM Online) med hjälp av enkel inloggning. Detta ger användarna möjlighet att använda enkel inloggning som använder din lokala Active Directory-instans som autentiseringsprovider.

Reparationsverktyget för IdFix DirSync-fel kan användas för att identifiera och reparera identitetsobjekt och tillhörande attribut i en lokal Active Directory-miljö inför en migrering. Det gör att du snabbt kan identifiera eventuella problem som kan uppstå med synkroniseringen innan du startar synkroniseringen. Med den här informationen kan du göra ändringar i din miljö så att du kan undvika dessa fel.

Varför rekommenderar vi den här designen?

Detta rekommenderas eftersom det uppfyller designmålen för din organisation. Dvs. det finns två sätt att tillhandahålla autentisering för Azure-baserade resurser: via molnet eller lokal autentisering med hjälp av en säkerhetstokentjänst.

En av de viktigaste frågorna för din organisation är att kunna stoppa en användare i realtid som lämnat företaget från att komma åt molnbaserade resurser. Det finns en tre timmars lång fördröjning med Azure-synkroniseringsverktyg för Active Directory och molnautentisering. Om du inaktiverar ett användarkonto lokalt kan det ta upp till tre timmar för att ändringen ska visas i Azure. Detta gäller inte om användaren måste återgå till den lokala miljön och autentisera. Om ett användarkonto inaktiveras lokalt kommer användaren inte att kunna ta emot en token och kan inte auktoriseras för att komma åt resurser i molnet.

Organisationen vill ha kunna erbjuda enkel inloggning. Detta kan åstadkommas genom att federera en lokal instans av Active Directory med Azure AD.

Möjligheten att anpassa inloggningssidan är bara tillgänglig med AD FS och AD FS-anpassning.

Vilka övergripande steg krävs för att implementera den här lösningen?

Implementera lösningen genom att följa stegen i det här avsnittet. Kontrollera att varje steg genomförs korrekt innan du fortsätter till nästa steg.

1. Förbereda för enkel inloggning (SSO)

   Som förberedelse måste du kontrollera att miljön uppfyller kraven för enkel inloggning och kontrollera att dina Active Directory- och Azure AD-klienter är konfigurerade enligt kraven för enkel inloggning. Mer information finns i Förbereda för enkel inloggning.

2. Ställ in den lokala säkerhetstokentjänsten – AD FS

   När du har förberett din miljö för enkel inloggning måste du ställa in en ny lokal AD FS-infrastruktur för att ge lokala och fjärranslutna Active Directory-användare åtkomst med enkel inloggning till molntjänsten. Om du har AD FS i produktionsmiljön kan du använda det för att distribuera enkel inloggning i stället för att ställa in en ny infrastruktur så länge som den stöds av Azure AD. Mer information om hur du kommer igång med att konfigurera en AD FS STS finns i Checklista: Använda AD FS för att implementera och hantera enkel inloggning

3. Installera Windows PowerShell för enkel inloggning med AD FS

   Azure AD-modulen för Windows PowerShell är ett hämtningsbart program för att hantera organisationens data i Azure AD. Den här modulen installerar en uppsättning cmdlets i Windows PowerShell som du kör för att konfigurera åtkomst med enkel inloggning till Azure AD och alla molntjänster som du prenumererar på. Mer information finns i Installera Windows PowerShell för enkel inloggning med AD FS.

4. Skapa ett förtroende mellan AD FS och AD Azure

   Du måste skapa ett förtroende mellan Azure AD och din lokala Active Directory. Alla domäner som du vill federera måste antingen läggas till som en domän med enkel inloggning eller konverteras till en domän för enkel inloggning från en standarddomän. Genom att lägga till eller konvertera en domän skapar du ett förtroende mellan AD FS och Azure AD. Mer information finns i Skapa ett förtroende mellan AD FS och AD Azure.

5. Förbereda för katalogsynkronisering

   Kontrollera systemkraven, skapa rätt behörigheter och notera prestandaövervägandena. Mer information finns i Förbereda för katalogsynkronisering. När du har slutfört det här steget kan du kontrollera att du har ett slutfört kalkylblad som visar designalternativen för den valda lösningen.

6. Aktivera katalogsynkronisering

   Aktivera katalogsynkronisering för ditt företag. Mer information finns i Aktivera katalogsynkronisering. När du har slutfört det här steget kan du kontrollera att du har de funktioner som har konfigurerats.

7. Konfigurera datorn för katalogsynkronisering

   Installera verktyget för Azure AD-synkronisering. Om du redan har gjort det, lär du dig hur du uppgraderar, avinstallerar eller flyttar det till en annan dator. Mer information finns i Konfigurera datorn för katalogsynkronisering. När du har slutfört det här steget kan du kontrollera att du har de funktioner som har konfigurerats.

8. Synkronisera dina kataloger

   Genomför en inledande synkronisering och kontrollera att data korrekt. Du får också lära dig hur du konfigurerar verktyget Azure AD-synkroniseringen för att konfigurera återkommande synkronisering och tvinga katalogsynkronisering. Mer information finns i Använda konfigurationsguiden för att synkronisera dina kataloger. När du har slutfört det här steget kan du kontrollera att du har de funktioner som har konfigurerats.

9. Aktivera synkroniserade användare

   Aktivera användarna på Office 365-portalen innan de kan använda de prenumererade tjänsterna. Detta innebär att tilldela en licens för att använda Office 365. Du kan göra individuellt eller i grupp. Mer information finns i Aktivera synkroniserade användare. När du har slutfört det här steget kan du kontrollera att du har de funktioner som har konfigurerats. Observera att detta är ett valfritt steg som endast krävs om du använder Office 365.

10. Kontrollera lösningen.

    När användarna har synkroniserats testar du logga in på https://myapps.microsoft.com. Du ska omdirigeras till inloggningssidan för AD FS. När du har loggat in och AD FS har autentiserat användaren omdirigeras användaren till https://myapps.microsoft.com. Om du har Office 365-program ska de visas här. En vanlig användare kan logga in här utan att behöva en Azure-prenumeration.

Se även