Správa identit pro hybridní prostředí s jednou doménovou strukturou pomocí cloudového ověřování

  • Článek

 

Jak vám tento průvodce může pomoct?

Uživatelé v rámci organizace chtějí používat aplikace umístěné v cloudu odkudkoliv a na jakémkoliv zařízení, ale kvůli chybějící možnosti ověřování to není možné.

V tomto průvodci najdete doporučený a otestovaný návrh, jak jim díky integraci místního a cloudového adresáře takový přístup k aplikacím umožnit. Využívá se při něm cloudové ověřování. Příklad použití místního ověřování najdete v tématu Správa identit pro hybridní prostředí s jednou doménovou strukturou pomocí místního ověřování.

Problém s ověřováním cloudu

Co najdete v tomto průvodci:

  • Scénář, formulace problému a cíle

  • Jaký je doporučený postup při plánování a návrhu tohoto řešení?

  • Proč takový návrh doporučujeme?

  • Jaké jsou hlavní kroky při implementaci tohoto řešení?

Scénář, formulace problému a cíle

Tato část popisuje scénář, formulaci problému a organizační cíle, které se v průvodci uplatňují jako příklady.

Scénář

Vaše organizace je středně velká společnost. Zaměstnanci obchodního oddělení pracují po celém světě. Když se jim podaří prodej, musí na počítači připojeném k podnikové síti (buď z centrálního umístění, nebo přes VPN) zadat údaje o prodeji do firemní aplikace na podnikové síti.

Protože se ale prodeje ne vždy zaznamenávají v reálném čase, není jednoduché spravovat skladové zásoby. To může mít za následek odkládání objednávek a opožděné dodání. Pracovníci si kromě toho stěžují, že při jednáních u zákazníka nemají často přístup k podnikové síti, a chtěli by informace zadávat přes tablet nebo smartphone.

Vývojáři vaší organizace nedávno vytvořili novou aplikaci pro správu vztahů se zákazníky, která obchodním zástupcům uzavírajícím obchody mimo organizaci umožní zadávat objednávky z jakéhokoli zařízení s přístupem k internetu.

Organizace se rozhodla hostovat tuto aplikaci v cloudu. To obchodním zástupcům umožní rychle zadat údaje o prodeji na tabletu nebo smartphonu ihned po jeho vyjednání a bez nutnosti nejprve se připojit k podnikové síti. Vedení organizace předpokládá, že díky této aplikaci se správa skladových zásob výrazně zlepší.

Formulace problému

Vedení organizace určilo, že hostitelem nové aplikace bude Microsoft Azure. V současné době ale organizace nemá zprostředkovatele ověřování, který by sloužil k ověřování pracovníků v této aplikaci.

Celkový problém, který potřebujete vyřešit, je takový:

Jak můžete jako systémový architekt nebo správce informačních technologií poskytovat uživatelům při přístupu k místním i cloudovým prostředkům společnou identitu? Jak tyto identity spravovat a umožnit synchronizaci informací ve více prostředích, aniž by bylo potřeba použít přemíru IT prostředků?

Abyste mohli uživatelům poskytnout přístup k aplikaci pro řízení vztahů se zákazníky, bude potřeba, aby se pracovníci ověřovali se zprostředkovatelem ověření. Organizace chce umožnit přístup k této aplikaci jen pracovníkům obchodního oddělení, protože nikdo jiný ji v současnosti nevyužívá.

Po zvážení všech možností se organizace rozhodla umožnit cloudové ověřování proti instanci Azure AD. Tato možnost je totiž levnější a snáz nastavitelná, protože organizace v současnosti nemá žádné místní instance AD FS (Active Directory Federation Services). Dalším důvodem je fakt, že cloudové ověřování bude pro uživatele pracující po celém světě pohodlnější, hlavně v oblastech s menší šířkou pásma. Problémem jsou prostředky, které správa těchto identit vyžaduje – v organizaci pracuje jen jeden správce Active Directory a ten potřebuje toto řešení rychle vytvořit a spustit.

Vývojáři ve vaší organizaci doplnili kód, který to umožní. Správce Active Directory teď musí nastavit instanci Azure AD. Správce Active Directory musí pomocí místní služby Active Directory naplnit její instanci v Azure AD. Tuto činnost ale musí vykonat rychle. Nemá totiž čas čistit aktuální prostředí Active Directory nebo znovu vytvářet všechny uživatelské účty v Azure. Organizace si kromě toho přeje, aby pracovníci prodejního oddělení mohli používat stejné heslo, jako při přihlašování k podnikové síti. Není žádoucí, aby si tito uživatelé museli pamatovat více hesel.

Cíle organizace

Cíle organizace pro toto hybridní řešení identit jsou:

  • Možnost spravovat identity v místním adresáři a v cloudu

  • Možnost rychle nastavit synchronizaci s místním adresářem s jednou doménovou strukturou

  • Možnost poskytnout cloudového zprostředkovatele ověřování

  • Možnost rychle nastavit synchronizaci s jejím místním adresářem

  • Kontrola nad tím, jací uživatelé a jaká zařízení se budou s cloudem synchronizovat

  • Možnost poskytovat zabezpečené přihlašování, které se neliší od dosavadního přihlašování

  • Možnost rychlého vyčištění a dobrého uspořádání místních systémů identit, aby mohly sloužit jako zdroj pro cloud

Jaký je doporučený postup při plánování a návrhu tohoto řešení?

V této části najdete návrh řešení problému nastíněného v odstavcích výše a nejdůležitější aspekty plánování tohoto návrhu.

Díky Azure AD může organizace spojit místní instanci Active Directory s instancí Azure AD. Tato instance pak bude sloužit ke cloudovému ověřování (viz následující diagram).

Řešení ověřování cloudu

V následující tabulce najdete prvky, které jsou součástí návrhu řešení, a důvody, proč je zvolit.

Prvek pro návrh řešení

Proč je součástí řešení?

Synchronizační nástroj služby Microsoft Azure Active Directory

Používá se k synchronizaci místních objektů adresáře s Azure AD. Informace o této technologii najdete v tématu Synchronizace adresářů: rozcestník.

Synchronizace hesla

Funkce synchronizačního nástroje služby Microsoft Azure Active Directory, která slouží k synchronizaci hesel uživatelů mezi místní službou Active Directory a službou Azure AD. Informace o této technologii najdete v tématu Implementace synchronizace hesla.

Nástroj IdFix DirSync pro opravu chyb

Pomocí tohoto nástroje můžou uživatelé ve svých doménových strukturách Active Directory identifikovat a opravit většinu chyb synchronizace objektů. Přehled této technologie najdete na stránce Nástroj IdFix DirSync pro opravu chyb.

Synchronizace hesla je funkcí synchronizačního nástroje služby Microsoft Azure Active Directory, která slouží k synchronizaci hesel uživatelů mezi místní službou Active Directory a službou Azure AD. Umožňuje uživatelům přihlašovat se ke službám Azure AD (Office 365, Intune, CRM Online a dalším) stejným heslem, jako používají k přihlašování k místní síti. Uživatelé tak budou moct využívat zabezpečené přihlašování shodné s přihlašováním k podnikové síti.

Nástroj IdFix DirSync pro opravu chyb můžete v průběhu přípravy migrace používat k hledání a opravě objektů identity a jejich atributů v prostředí místní služby Active Directory. To vám umožní rychle identifikovat jakékoliv problémy se synchronizací, které se můžou objevit ještě před jejím zahájením. Díky těmto informacím budete moct změnit prostředí tak, aby se chybám zabránilo.

Proč takový návrh doporučujeme?

Tento návrh doporučujeme proto, že splňuje cíle vytyčené vaší organizací. To znamená, že jsou k dispozici dvě možnosti ověřování v prostředcích založených na Azure: cloudové ověřování nebo místní ověřování pomocí služby tokenů zabezpečení (STS).

Prvním cílem bylo získat možnost rychlé synchronizace s místní instancí Active Directory. Tento návrh představuje nejrychlejší způsob, jak místní službu Active Directory synchronizovat s Azure AD.

Druhým cílem bylo poskytovat zabezpečené přihlašování, které se neliší od dosavadního přihlašování. Díky tomuto návrhu se uživatelé budou moct přihlašovat stejným uživatelským jménem a heslem, jaké už používají. Jednotlivá přihlašování se tak nebudou navzájem lišit.

Jaké jsou hlavní kroky při implementaci tohoto řešení?

Řešení můžete implementovat podle kroků uvedených v této části. Než přejdete k dalšímu kroku, nezapomeňte zkontrolovat, že je aktuální krok správně implementovaný.

  1. Připravte synchronizaci adresářů.

    Zkontrolujte požadavky na systém, vytvořte správná oprávnění a vezměte v úvahu důležité aspekty výkonu. Další informace najdete v tématu Příprava synchronizace adresářů. Po provedení tohoto kroku zkontrolujte, že jste vyplnili tabulku, do které se zaznamenávají zvolené možnosti návrhu řešení.

  2. Aktivujte synchronizaci adresářů.

    Synchronizaci adresářů organizace je potřeba aktivovat. Další informace najdete v tématu Aktivace synchronizace adresářů. Po provedení tohoto kroku zkontrolujte, že jste nakonfigurovali potřebné funkce.

  3. Nastavte počítač, na kterém bude probíhat synchronizace adresářů.

    Nainstalujte nástroj pro synchronizaci služby Windows Azure AD. Pokud už jste ho už nainstalovali, přečtěte si, jak ho upgradovat, odinstalovat nebo přesunout na jiný počítač. Další informace najdete v tématu Nastavení počítače, na kterém bude probíhat synchronizace adresářů. Po provedení tohoto kroku zkontrolujte, že jste nakonfigurovali potřebné funkce.

  4. Synchronizujte adresáře.

    Proveďte počáteční synchronizaci a zkontrolujte, že se data synchronizovala úspěšně. Přečtěte si taky, jak pomocí konfigurace nástroje pro synchronizaci služby Azure AD nastavit opakovanou synchronizaci a jak synchronizaci adresářů vynutit. Další informace najdete v článku Synchronizace adresářů pomocí Průvodce konfigurací. Po provedení tohoto kroku zkontrolujte, že jste nakonfigurovali potřebné funkce.

  5. Aktivujte synchronizované uživatele.

    Ještě než budou uživatelé moct používat předplacené služby, aktivujte je na portálu Office 365. Součástí aktivace je i udělení licencí k používání Office 365. Tento krok můžete provést jednotlivě nebo hromadně. Další informace najdete v tématu Aktivace synchronizovaných uživatelů. Po provedení tohoto kroku zkontrolujte, že jste nakonfigurovali potřebné funkce. Tento krok je volitelný a je potřeba ho provést jen v případě, že používáte Office 365.

  6. Ověřte řešení.

    Po synchronizaci uživatelů se zkuste přihlásit k webu https://myapps.microsoft.com. Pokud používáte aplikace Office 365, uvidíte je tam. Běžný uživatel se může přihlásit i bez předplatného Azure.

Viz taky

Typ obsahu

Odkazy

Hodnocení produktu/Začínáme

Průvodce testovací laboratoří: Vytvoření prostředí s Windows Azure AD a Windows Server AD pomocí DirSync se synchronizací hesel

Průvodce testovací laboratoří: Vytvoření prostředí s Windows Azure AD a Windows Server AD ve federaci (jednotné přihlašování)

Plánování a návrh

Průvodce návrhem služby AD FS ve Windows Serveru 2012

Přehled integrace adresářů

Nasazení

Průvodce nasazením AD FS ve Windows Server 2012 R2

Synchronizace adresářů: rozcestník

Jednotné přihlašování: rozcestník

Provoz

Provoz AD FS

Podpora

Odstraňování potíží se synchronizací adresářů

Fórum pro produkt Forefront Identity Manager

Fóra pro systém Windows Azure

Referenční materiály

Kontrolní seznam: Implementace a správa jednotného přihlašování pomocí služby AD FS

Scénáře integrace adresářů

Komunitní zdroje

Cloudová identita

Související řešení

Správa mobilních zařízení a počítačů jejich migrací do nástroje Configuration Manager s Windows Intune

Související technologie

Azure

Forefront Identity Manager 2010 R2

Služba AD FS