Exportieren (0) Drucken
Alle erweitern

Verwalten von Identitäten für Hybridumgebungen mit einer Gesamtstruktur mithilfe von Cloud-Authentifizierung

Veröffentlicht: Januar 2014

Letzte Aktualisierung: September 2014

Betrifft: Windows Server 2012 R2

Benutzer im Unternehmen möchten von überall aus und auf beliebigen Geräten Anwendungen verwenden können, die sich in der Cloud befinden. Es ist Ihnen jedoch nicht möglich, da sie über keine Möglichkeit zur Authentifizierung verfügen.

Dieses Handbuch enthält ausführliche Richtlinien zur Verwendung Integration eines lokalen Verzeichnisses mit einem Cloudverzeichnis, damit Benutzer problemlos von überall aus und auf beliebigen Geräten auf die Anwendungen zugreifen können, die sich in der Cloud befinden. Dies wird durch die Cloudauthentifizierung erreicht. Ein Beispiel zur lokalen Authentifizierung finden Sie unter Verwalten von Identitäten für Einzelstruktur-Hybridumgebungen mithilfe der lokalen Authentifizierung.

Cloud-Authentifizierungsproblem

Inhalt dieses Lösungshandbuchs:

In diesem Abschnitt werden das Szenario, die Problemdarstellung und die Unternehmensziele beschrieben, die als Beispiele für dieses Handbuch hilfreich sind.

Ihre Organisation ist ein mittelständisches Unternehmen. Die Vertriebsmitarbeiter Ihres Unternehmens arbeiten an beliebigen Standorten. Wenn sie etwas verkaufen, müssen sie auf einen Computer zugreifen, der mit dem Unternehmensnetzwerk verbunden ist, entweder über einen Hubstandort oder über ein VPN. Auf diesem Computer geben Sie die Verkaufsdaten in eine benutzerdefinierte Anwendung ein, die im Unternehmensnetzwerk ausgeführt wird.

Da diese Verkaufsdaten nicht immer in Echtzeit aufgezeichnet werden, gestaltet sich die Verwaltung der Bestände recht schwierig. Dies hat zu Rückständen und Verzögerungen geführt. Außerdem haben sich die Vertriebsmitarbeitern beschwert, dass sie häufig nicht die Möglichkeit haben, auf das Unternehmensnetzwerk zugreifen, wenn sie sich beim Kunden befinden. Sie möchten in der Lage sein, die Daten über ihre Tablets oder Smartphones einzugeben.

Die Entwickler in Ihrem Unternehmen haben vor kurzem eine neue Anwendung für die Verwaltung von Kundenbeziehungen entwickelt, die es Außendienstmitarbeitern erleichtern soll, Aufträge über beliebige Geräte zu senden, die über einen Internetzugang verfügen.

Im Unternehmen wurde entschieden, dass diese Anwendung in der Cloud gehostet werden soll. Auf diese Weise können die Vertriebsmitarbeiter die Verkaufsdaten unmittelbar bei Vertragsabschluss und schnell über ihr Tablet oder Smartphone eingeben, ohne sich zuvor mit dem Unternehmensnetzwerk verbinden zu müssen. Ihr Unternehmen erwartet, dass sich die Bestandsverwaltung dadurch erheblich verbessert.

Ihr Unternehmen hat bestimmt, dass die neue Anwendung in Microsoft Azure gehostet wird. Ihr Unternehmen verfügt derzeit jedoch über keinen Authentifizierungsanbieter, der in der Lage ist, die Vertriebsmitarbeiter für die neue Anwendung zu authentifizieren, die in Azure gehostet wird.

Gesamtproblembeschreibung:

Wie können Sie als Systemarchitekt oder IT-Administrator den Benutzern eine gemeinsame Identität bereitstellen, wenn sie auf Ressourcen zugreifen, die lokal oder cloudbasiert gespeichert werden? Wie können Sie diese Identitäten verwalten und die Informationen über verschiedene Umgebungen synchronisieren, ohne zu viele IT-Ressourcen aufwenden zu müssen?

Die Bereitstellung des Zugriffs auf diese Anwendung erfordert die Möglichkeit, die Vertriebsmitarbeiter über einen Authentifizierungsanbieter zu authentifizieren. Ihr Unternehmen möchte den Zugriff auf die CRM-Anwendung auf die Vertriebsmitarbeiter beschränken, da sie derzeit die einzigen Personen sind, die darauf zugreifen müssen.

Die Optionen wurden im Unternehmen geprüft und es wurde vereinbart, die Cloudauthentifizierung über eine Instanz von Azure AD zu gestatten. Es wurde ermittelt, dass dies kostengünstiger und leichter zu realisieren ist, da lokal keine Instanzen der Active Directory-Verbunddienste (AD FS) verfügbar sind. Zudem bietet die Cloudauthentifizierung eine bessere Benutzererfahrung, insbesondere in Regionen mit geringerer Bandbreite, da die Vertriebsmitarbeiter weltweit verteilt sind. Ihr Unternehmen hat Bedenken hinsichtlich der Ressourcen, die zum Verwalten dieser Identitäten erforderlich sind. Es ist nur ein Active Directory-Administrator verfügbar, und dieser Administrator muss in der Lage sein, diese Lösung schnell einzurichten und freizugeben.

Die Entwickler im Unternehmen haben den Code bereitgestellt, um dies zu realisieren. Jetzt liegt es jedoch beim Active Directory-Administrator, diese Instanz von Azure AD einzurichten. Der Active Directory-Administrator muss das lokale Active Directory nutzen können, um seine Instanz von Azure AD füllen zu können. Zudem muss der Active Directory-Administrator dies schnell umsetzen können. Er hat nicht die Zeit, die aktuelle Active Directory-Umgebung zu bereinigen oder jedes Benutzerkonto in Azure neu zu erstellen. Außerdem sollen die Vertriebsmitarbeiter dasselbe Kennwort verwenden können, das sie für die Anmeldung am Unternehmensnetzwerk verwenden. Es ist nicht gewünscht, dass sich die Vertriebsmitarbeiter mehrere Kennwörter merken müssen.

Unternehmensziele für die Hybrididentitätslösung:

  • Die Möglichkeit, die Synchronisierung mit der lokalen Instanz von Active Directory schnell einzurichten.

  • Die Möglichkeit zur Kontrolle, wer und was mit Azure AD synchronisiert wird.

  • Die Möglichkeit, eine sichere Anmeldung bereitzustellen, die sich nicht von der aktuellen Anmeldung unterscheidet.

  • Die Möglichkeit, die lokalen Identitätssysteme schnell zu bereinigen und zu verwalten, damit sie als Quelle für Azure AD verwendet werden können.

In diesem Abschnitt wird der Lösungsentwurf beschrieben, der das im vorherigen Abschnitt beschriebene Problem behandelt und allgemeine Planungsüberlegungen für diesen Entwurf bereitstellt.

Mithilfe von Azure AD kann das Unternehmen die lokale Instanz von Active Directory mit der Azure AD-Instanz integrieren. Diese Instanz wird dann verwendet, um die Cloudauthentifizierung bereitzustellen, wie in den folgenden Diagrammen veranschaulicht.

Cloud-Authentifizierungslösung

In der folgenden Tabelle sind die Elemente enthalten, die Teil dieses Lösungsentwurfs sind. Zudem wird der Grund für die Auswahl dieses Entwurfs beschrieben.

 

Lösungsentwurfelement Warum ist es in dieser Lösung enthalten?

Azure Active Directory-Synchronisierungstool

Synchronisiert lokale Verzeichnisobjekte mit Azure AD. Eine Übersicht über diese Technologie finden Sie unter Roadmap für die Verzeichnissynchronisierung.

Kennwortsynchronisierung

Ein Feature des Azure Active Directory-Synchronisierungstools, das Benutzerkennwörter des lokalen Active Directory mit Azure AD synchronisiert. Eine Übersicht über diese Technologie finden Sie unter Implementieren der Kennwortsynchronisierung.

IdFix DirSync Error Remediation Tool

Bietet Kunden die Möglichkeit zur Identifizierung und Behebung der meisten Objektsynchronisierungsfehler in ihrer Active Directory-Gesamtstruktur. Eine Übersicht über diese Technologie finden Sie unter IdFix DirSync Error Remediation Tool.

Die Kennwortsynchronisierung ist ein Feature des Azure Active Directory-Synchronisierungstools, das Benutzerkennwörter des lokalen Active Directory mit Azure AD synchronisiert. Dieses Feature ermöglicht es den Benutzern, sich bei ihren Azure AD-Diensten (z. B. Office 365, Intune und CRM Online) mit demselben Kennwort anzumelden, das sie auch für die Anmeldung am lokalen Netzwerk verwenden. Dadurch erhalten die Benutzer eine Möglichkeit zur sicheren Anmeldung, die der Anmeldung am Unternehmensnetzwerk entspricht.

Mit dem IdFix DirSync Error Remediation Tool können als Vorbereitung auf die Migration die Identitätsobjekte und ihre Attribute in einer lokalen Active Directory-Umgebung erkannt und wiederhergestellt werden. Auf diese Weise können mögliche Probleme schnell erkannt werden, die möglicherweise bei der Synchronisierung auftreten können, bevor Sie die Synchronisierung starten. Mithilfe dieser Informationen können Sie Änderungen an der Umgebung vornehmen, damit diese Fehler vermieden werden.

Dieser Entwurf wird empfohlen, da er die Entwurfsziele Ihres Unternehmens behandelt. Das bedeutet, es gibt zwei Möglichkeiten, um die Authentifizierung für auf Azure basierende Ressourcen bereitzustellen: Cloudauthentifizierung oder lokale Authentifizierung mithilfe einer STS.

Das primäre Entwurfsziel des Unternehmens ist es, über die Möglichkeit zu verfügen, die Synchronisierung mit der lokalen Instanz von Active Directory schnell einzurichten. Dieser Entwurf stellt die schnellste Möglichkeit dar, um das lokale Active Directory mit Azure AD zu synchronisieren.

Zweitens war die Möglichkeit gefordert, eine sichere Anmeldung bereitzustellen, die sich nicht vom aktuellen Anmeldevorgang unterscheidet. Bei diesem Entwurf melden sich die Benutzer mit denselben Benutzernamen und Kennwörtern an, die sie heute bereits verwenden, und auch die Benutzererfahrung wird sich nicht unterscheiden.

Mithilfe der Schritte in diesem Abschnitt können Sie die Lösung implementieren. Stellen Sie sicher, dass Sie die entsprechende Implementierung der einzelnen Schritte überprüfen, bevor Sie mit dem nächsten Schritt fortfahren.

  1. Bereiten Sie die Verzeichnissynchronisierung vor.

    Überprüfen Sie die Systemanforderungen, erstellen Sie geeignete Berechtigungen und gestatten Sie Leistungsüberlegungen. Weitere Informationen finden Sie unter Vorbereiten der Verzeichnissynchronisierung. Nach Abschluss dieses Schritts stellen Sie sicher, dass Sie über ein abgeschlossenes Arbeitsblatt verfügen, dass die Optionen des ausgewählten Lösungsentwurfs zeigt.

  2. Aktivieren Sie die Verzeichnissynchronisierung.

    Aktivieren Sie die Verzeichnissynchronisierung für Ihr Unternehmen. Weitere Informationen finden Sie unter Aktivieren der Verzeichnissynchronisierung. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben.

  3. Richten Sie Ihren Computer für die Verzeichnissynchronisierung ein.

    Installieren Sie das Windows Azure AD-Synchronisierungstool. Wenn Sie das Tool bereits installiert haben, informieren Sie sich darüber, wie Sie es aktualisieren, deinstallieren oder auf einen anderen Computer verschieben können. Weitere Informationen finden Sie unter Einrichten des Computers für die Verzeichnissynchronisierung. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben.

  4. Synchronisieren Sie Ihre Verzeichnisse.

    Führen Sie eine anfängliche Synchronisierung aus und stellen Sie sicher, dass die Daten erfolgreich synchronisiert wurden. Außerdem erfahren Sie, wie Sie das Azure AD-Synchronisierungstool zum Einrichten der wiederkehrenden Synchronisierung konfigurieren, und wie Sie die Verzeichnissynchronisierung erzwingen können. Weitere Informationen finden Sie unter Verwenden des Konfigurations-Assistenten zum Synchronisieren der Verzeichnisse.Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben.

  5. Aktivieren Sie synchronisierte Benutzer.

    Aktivieren Sie die Benutzer im Office 365-Portal, bevor sie die von Ihnen abonnierten Dienste verwenden können. Dazu müssen Sie ihnen eine Lizenz für Office 365 zuweisen. Sie können dies für einzelne Benutzer oder als Massenvorgang durchführen. Weitere Informationen finden Sie unter Aktivieren synchronisierter Benutzer. Nachdem Sie diesen Schritt abgeschlossen haben, stellen Sie sicher, dass Sie die Features konfiguriert haben. Beachten Sie, dass dies ist ein optionaler Schritt ist, der nur erforderlich wird, wenn Sie Office 365 verwenden.

  6. Überprüfen Sie die Lösung.

    Nachdem die Benutzer synchronisiert wurden, testen Sie die Anmeldung bei: http://myapps.microsoft.com. Wenn Sie über Office 365-Anwendungen verfügen, werden diese dort angezeigt. Ein normaler Benutzer kann sich hier ohne Azure-Abonnement anmelden.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft