Správa identit pro hybridní prostředí s jednou doménovou strukturou pomocí místního ověřování

Jak vám tento průvodce může pomoct?

Uživatelé v rámci organizace chtějí používat aplikace umístěné v cloudu odkudkoliv a na jakémkoliv zařízení, ale kvůli chybějící možnosti ověřování to není možné. IT oddělení jim chce ověřování k těmto cloudovým aplikacím umožnit, ale současně mít i v reálném čase kontrolu nad tím, kteří uživatelé se přihlašují.

V tomto průvodci najdete doporučený postup, jak jim díky integraci místního a cloudového adresáře takový přístup k aplikacím umožnit. Využívá se při něm místní ověřování. Příklad použití cloudového ověřování najdete v tématu Správa identit pro hybridní prostředí s jednou doménovou strukturou pomocí cloudového ověřování.

Co najdete v tomto průvodci:

• Scénář, formulace problému a cíle

• Jaký je doporučený postup při plánování a návrhu tohoto řešení?

• Proč takový návrh doporučujeme?

• Jaké jsou hlavní kroky při implementaci tohoto řešení?

Scénář, formulace problému a cíle

Tato část popisuje scénář, formulaci problémů a cíle pro ukázkovou organizaci.

Scénář

Vaše organizace je velký podnik s pobočkami po celém světě včetně Severní a Jižní Ameriky, Evropy a Asie. Týmy pro výzkum a vývoj pracují hlavně v Severní Americe a Evropě. Vyvíjejí receptury, které nachází své využití ve výrobních centrech soustředěných ponejvíc v Asii.

Při vývoji nových a vylepšování stávajících receptur týmy úzce spolupracují. Na pobočkách v Severní Americe a Evropě provádějí shodné standardizované testy a jejich výsledky si navzájem sdílejí. Podle těchto výsledků pak vyvinou konečné nebo nové receptury. Ty mají status obchodního tajemství a jsou patentované. Po dokončení tohoto procesu se receptury odešlou do výrobních závodů, kde začíná výroba.

Pokud chce člen týmu pro výzkum a vývoj v současné době sdílet výsledky se svými protějšky v jiné pobočce nebo recepturu poslat jednomu z asijských výrobních závodů, používá systém souborů EFS, který slouží k šifrování e-mailů a souborů. Příjemce potom tyto soubory dešifruje.

Organizace má k dosavadní podobě tohoto procesu několik výhrad:

• Soukromí: Data se přenáší přes e-maily, které jsou sice šifrované, ale i přesto náchylné k hackerským útokům. Mnoho pracovníků se navíc k e-mailu přihlašuje na svých vlastních zařízeních, jejichž zabezpečení nejde zaručit.

• Integrita: Certifikát EFS sloužící k šifrování souborů se musí vyexportovat a odeslat do cílového místa. Uživatelé ho posílají pomocí e-mailu, což ale může narušit jeho integritu.

• Důvěrnost: K šifrování výsledků testů i receptur se často používá stejný certifikát. Pracovníci ve výrobních závodech proto můžou dešifrovat i omylem poslané výsledky.

Tyto problémy se organizace rozhodla vyřešit zřízením Office 365 SharePointu v cloudu, který chce využívat jako portál pro sdílení výsledků testů a receptur. Jako zprostředkovatel ověřování má ale sloužit místní služba Active Directory – organizace totiž nechce používat cloudové ověřování.

Formulace problému

Organizace už v současnosti má zprostředkovatele ověřování, a to místní službu Active Directory. Ta ale nejde použít k ověřování pracovníků při přihlašování k webům Office 365 SharePointu hostovaným v Azure.

Celkový problém, který vaše organizace potřebuje vyřešit, je takový:

Jak můžete jako systémový architekt nebo správce informačních technologií poskytovat uživatelům při přístupu k místním i cloudovým prostředkům společnou identitu? A jak tyto identity spravovat a umožnit synchronizaci informací ve více prostředích, aniž by bylo potřeba použít přemíru IT prostředků?

Poskytnutí přístupu k sharepointovým webům organizace bude vyžadovat schopnost ověřovat zaměstnance pomocí zprostředkovatele ověřování, tedy místní instance Active Directory. Organizace chce kromě toho zpřístupnit weby jedině pracovníkům oddělení výzkumu a vývoje a výrobního oddělení. Jen oni totiž tyto weby v současné době potřebují.

Po prostudování všech možností jste zjistili, že k místnímu ověřování pomocí Azure můžete využívat stávající instanci služby AD FS (Active Directory Federation Services). Tuto službu organizace zřídila už před několika lety. Ušetří se tak čas i finanční prostředky, protože pracovníci oddělení informačních technologií se s ní už nemusí seznamovat.

Vedení organizace schválilo nákup předplatných Office 365 a Azure. Správci Active Directory teď musí nainstalovat instanci Azure AD a vytvořit její federaci s místní službou Active Directory.

Správci Active Directory musí pomocí místní služby Active Directory naplnit její instanci v Azure AD. Tuto činnost je potřeba vykonat rychle. Kromě toho musí správci vytvořit federaci místní instance Active Directory s Azure AD. Dalším z požadavků organizace je, aby se pracovníci přihlašovali k webům SharePointu skutečným jednotným přihlašováním a aby k nim měli přístup jen přes podnikovou sít. Přístup k těmto webům z externích počítačů nebo zařízení není žádoucí. Organizace si přeje, aby šlo v případě odchodu zaměstnance rychle zakázat jeho účet a on tak neměl k webům SharePointu přístup. A konečně si organizace přeje přizpůsobit přihlašovací obrazovku tak, aby uživatelé věděli, že se přihlašují k podnikovému webu.

Cíle organizace

Cíle organizace pro toto hybridní řešení identit jsou:

• Možnost rychle nastavit synchronizaci s místní instancí Active Directory

• Kontrola nad tím, jací uživatelé a jaká zařízení se budou s Azure AD synchronizovat

• Možnost jednotného přihlašování Zasílání výstrah v případě nefungující synchronizace nebo jednotného přihlašování

• Možnost omezení přístupu jen pro pracovníky oddělení výzkumu a vývoje a výrobního oddělení, kteří se přihlašují ze zabezpečených místních umístění

• Možnost zamezit přístupu uživatelů ke cloudovým prostředkům v reálném čase v případě jejich odchodu

• Možnost rychlého vyčištění a dobrého uspořádání místních systémů identit, aby mohly sloužit jako zdroj pro Azure AD

• Možnost přizpůsobit přihlašovací stránku tak, aby vyjadřovala podnikovou identitu

Jaký je doporučený postup při plánování a návrhu tohoto řešení?

V této části najdete návrh řešení problému nastíněného v odstavcích výše a nejdůležitější aspekty plánování tohoto návrhu.

Díky Azure AD může organizace spojit místní instanci Active Directory s instancí Azure AD. Tato instance pak bude sloužit k přesměrování uživatelů na přihlašovací stránku AS FS, kde se jim vystaví token, který se předloží Azure AD a uživatel tak získá pověření.

V následující tabulce najdete prvky, které jsou součástí návrhu řešení, a důvody, proč je zvolit.

AD FS je funkcí Windows Serveru 2012 R2, která umožňuje federaci mezi místní službou Active Directory a službou Azure AD. Uživatelé se tak můžou přihlašovat ke službám Azure AD (jako je Office 365, Intune a CRM Online) jednotným přihlašováním. Při tomto jednotném přihlašování slouží jako zprostředkovatel ověřování místní služba Active Directory.

Nástroj IdFix DirSync pro opravu chyb můžete v průběhu přípravy migrace používat k hledání a opravě objektů identity a jejich atributů v prostředí místní služby Active Directory. To vám umožní rychle identifikovat jakékoliv problémy se synchronizací, které se můžou objevit ještě před jejím zahájením. Díky těmto informacím budete moct změnit prostředí tak, aby se chybám zabránilo.

Proč takový návrh doporučujeme?

Tento návrh doporučujeme proto, že splňuje cíle vytyčené vaší organizací. To znamená, že jsou k dispozici dvě možnosti ověřování v prostředcích v Azure: cloudovým ověřováním nebo místním ověřováním pomocí služby tokenů zabezpečení.

Jedním z hlavních cílů organizace je možnost okamžitého zablokování přístupu ke cloudovým prostředků uživatelům, kteří společnost opustí. Synchronizační nástroj služby Microsoft Azure Active Directory a cloudové ověřování má totiž až tříhodinovou prodlevu. To znamená, že pokud na místě zablokujete uživatelský účet, může se tato změna projevit v Azure až po třech hodinách. Tento problém nevzniká ve chvíli, kdy uživatel musí získat ověření v místním (ne v cloudovém) prostředí. Pokud se uživatelský účet zablokuje v místním prostředí, nebude uživatel moct získat token a přístup ke cloudovým prostředkům se neověří.

Organizace požaduje zajištění jednotného přihlašování. To je možné jen vytvořením federace mezi místní instancí Active Directory a službou Azure AD.

Přizpůsobit přihlašovací obrazovku můžete jen pomocí AD FS a vlastního nastavení této služby.

Jaké jsou hlavní kroky při implementaci tohoto řešení?

Řešení můžete implementovat podle kroků uvedených v této části. Než přejdete k dalšímu kroku, nezapomeňte zkontrolovat, že je aktuální krok správně implementovaný.

1. Příprava jednotného přihlašování

   Než s přípravou začnete, zkontrolujte, že vaše prostředí splňuje požadavky na jednotné přihlašování a že váš klient Active Directory a Azure AD je s těmito požadavky kompatibilní. Další informace najdete v tématu Příprava jednotného přihlašování.

2. Nastavení místní služby tokenů zabezpečení – AD FS

   Jakmile připravíte prostředí pro jednotné přihlašování, bude potřeba nastavit novou místní infrastrukturu AD FS, která umožní místním i vzdáleným uživatelům Active Directory přístup ke cloudovým službám prostřednictvím jednotného přihlašování. Pokud ve výrobním prostředí už AD FS máte, můžete ji spíš než k nastavení nové infrastruktury použít k nasazení jednotného přihlašování (za předpokladu, že ji podporuje Azure AD). Další informace o nastavení služby tokenů zabezpečení AD FS najdete v pokynech v tématu Kontrolní seznam: Implementace a správa jednotného přihlašování pomocí služby AD FS 2.0.

3. Instalace Windows PowerShellu pro jednotné přihlašování pomocí AD FS

   Modul Azure AD pro Windows PowerShell je k dispozici ke stažení a používá se pro správu dat organizace v Azure AD. Tento modul nainstaluje soubor rutin Windows PowerShellu, díky kterým budete moct nastavit přístup jednotným přihlašováním k Azure AD, a tím i všem předplaceným cloudovým službám. Další informace najdete v tématu Instalace prostředí Windows PowerShell pro jednotné přihlašování se službou AD FS 2.0.

4. Nastavení vztahu důvěryhodnosti mezi službami AD FS a Azure AD

   Mezi službou Azure AD a místní službou Active Directory je potřeba nastavit vztah důvěryhodnosti. Každou doménu ve federaci musíte přidat buď jako doménu s jednotným přihlašováním, nebo převést jako doménu s jednotným přihlašováním ze standardní domény. Přidáním nebo převedením domény vytvoříte vztah důvěryhodnosti mezi službami AD FS a Azure AD. Další informace najdete v tématu Nastavení důvěryhodnosti mezi AD FS 2.0 a Windows Azure AD.

5. Příprava synchronizace adresářů

   Zkontrolujte požadavky na systém, vytvořte správná oprávnění a vezměte v úvahu důležité aspekty výkonu. Další informace najdete v tématu Příprava synchronizace adresářů. Po provedení tohoto kroku zkontrolujte, že jste vyplnili tabulku, do které se zaznamenávají zvolené možnosti návrhu řešení.

6. Aktivace synchronizace adresářů

   Synchronizaci adresářů organizace je potřeba aktivovat. Další informace najdete v tématu Aktivace synchronizace adresářů. Po provedení tohoto kroku zkontrolujte, že jste nakonfigurovali potřebné funkce.

7. Nastavení počítače, na kterém bude probíhat synchronizace adresářů

   Nainstalujte nástroj pro synchronizaci služby Azure AD. Pokud už jste ho už nainstalovali, přečtěte si, jak ho upgradovat, odinstalovat nebo přesunout na jiný počítač. Další informace najdete v tématu Nastavení počítače, na kterém bude probíhat synchronizace adresářů. Po provedení tohoto kroku zkontrolujte, že jste nakonfigurovali potřebné funkce.

8. Synchronizace adresářů

   Proveďte počáteční synchronizaci a zkontrolujte, že se data synchronizovala úspěšně. Přečtěte si taky, jak pomocí konfigurace nástroje pro synchronizaci služby Azure AD nastavit opakovanou synchronizaci a jak synchronizaci adresářů vynutit. Další informace najdete v článku Synchronizace adresářů pomocí Průvodce konfigurací. Po provedení tohoto kroku zkontrolujte, že jste nakonfigurovali potřebné funkce.

9. Aktivace synchronizovaných uživatelů

   Ještě než budou uživatelé moct používat předplacené služby, aktivujte je na portálu Office 365. Součástí aktivace je i udělení licencí k používání Office 365. Tento krok můžete provést jednotlivě nebo hromadně. Další informace najdete v tématu Aktivace synchronizovaných uživatelů. Po provedení tohoto kroku zkontrolujte, že jste nakonfigurovali potřebné funkce. Tento krok je volitelný a je potřeba ho provést jen v případě, že používáte Office 365.

10. Ověřte řešení.

    Po synchronizaci uživatelů se zkuste přihlásit k webu https://myapps.microsoft.com. Měli byste být přesměrovaní na přihlašovací obrazovku AD FS. Po přihlášení a ověření uživatele službou AD FS dojde k jeho přesměrování zpátky na web https://myapps.microsoft.com. Pokud používáte aplikace Office 365, uvidíte je tam. Běžný uživatel se může přihlásit i bez předplatného Azure.

Viz taky