Esporta (0) Stampa
Espandi tutto

Gestire le identità per gli ambienti ibridi a foresta singola con l'autenticazione cloud

Pubblicato: gennaio 2014

Aggiornamento: settembre 2014

Si applica a: Windows Server 2012 R2

Gli utenti aziendali hanno l'esigenza di usare le applicazioni residenti nel cloud da qualsiasi luogo e da qualsiasi dispositivo, ma non sono in grado di farlo perché non è disponibile un meccanismo di autenticazione.

Questa guida fornisce una progettazione rigorosa e testata su come integrare una directory locale con una directory cloud per fare in modo che le applicazioni che risiedono nel cloud siano facilmente accessibili da parte degli utenti, ovunque si trovino e da qualunque dispositivo. Questo accesso viene raggiunto mediante l'autenticazione cloud. Per un esempio sull'uso dell'autenticazione locale, vedere Gestire le identità per ambienti ibridi a foresta singola mediante l'autenticazione locale.

Problema di autenticazione cloud

Contenuto della guida alla soluzione:

Questa sezione descrive lo scenario, il problema e gli obiettivi dell'organizzazione utili come esempi per questa guida.

L'organizzazione è una azienda di medie dimensioni. Gli addetti alle vendite dell'organizzazione lavorano in tutto il mondo. Quando concludono una vendita, devono accedere a un computer che fa parte di una rete aziendale da una posizione hub oppure tramite VPN, quindi inserire la vendita in un'applicazione personalizzata in esecuzione sulla rete aziendale.

Dato che queste vendite non vengono sempre registrate in tempo reale, l'inventario è diventato difficile da gestire. Questo ha portato a ordini arretrati e ritardi. Inoltre, il personale di vendita spesso lamenta di non poter accedere alla rete aziendale quando si trova presso la sede di un cliente e vorrebbe poter immettere le informazioni tramite tablet o smartphone.

Gli sviluppatori dell'organizzazione hanno sviluppato una nuova applicazione CRM che consentirà agli addetti alle vendite di inviare ordini con la massima semplicità mediante qualsiasi dispositivo che sia connesso a Internet.

L'organizzazione ha deciso di ospitare l'applicazione nel cloud. Questo consentirà al team di vendita di usare un tablet o smartphone per immettere rapidamente una vendita nel momento stesso in cui viene effettuata, senza la necessità di connettersi prima alla rete aziendale. L'organizzazione prevede che ciò migliorerà notevolmente la gestione dell'inventario.

L'organizzazione ha stabilito che la nuova applicazione verrà ospitata in Microsoft Azure. Attualmente, però, l'organizzazione non dispone di un provider di autenticazione in grado di autenticare il personale di vendita per la nuova applicazione che verrà ospitata in Azure.

Problema generale da risolvere:

In che modo un architetto di sistema o un amministratore IT può fornire agli utenti un'identità comune per l'accesso alle risorse locali e basate sul cloud? Come fa a gestire queste identità e mantenere sincronizzate le informazioni in diversi ambienti senza usare troppe risorse IT?

Fornire l'accesso a questa applicazione richiede la possibilità di autenticare il personale di vendita con un provider di autenticazione. L'organizzazione desidera limitare l'accesso all'applicazione CRM agli addetti alle vendite perché attualmente solo gli unici dipendenti che hanno l'esigenza di accedervi.

L'organizzazione ha esaminato le opzioni e ha deciso di consentire l'autenticazione cloud per un'istanza di Azure AD. L'organizzazione ha stabilito che sarà una soluzione meno costosa e più semplice da configurare perché attualmente non dispone di istanze locali di Active Directory Federation Services (ADFS). Inoltre, dato che il personale di vendita è dislocato in varie parti del tutto il mondo, l'autenticazione cloud fornirà un'esperienza migliore, soprattutto nelle aree in cui la di larghezza di banda è inferiore. L'organizzazione è preoccupata per le risorse necessarie per gestire queste identità: è presente un solo amministratore di Active Directory, che deve essere in grado di rendere operativa questa soluzione con la massima rapidità.

Gli sviluppatori dell'organizzazione hanno aggiunto il codice necessario a questo scopo, ma l'amministratore di Active Directory deve configurare la propria istanza di Azure AD. L'amministratore di Active Directory deve poter sfruttare l'istanza locale di Active Directory per popolare la propria istanza di Azure AD e deve essere in grado di farlo rapidamente. Non ha il tempo per pulire l'ambiente Active Directory corrente o per ricreare i singoli account utente in Azure. Inoltre, l'organizzazione vuole che il personale di vendita possa usare la stessa password usata per accedere alla rete aziendale, evitando così di dover ricordare più password.

Gli obiettivi dell'organizzazione per la soluzione con identità ibrida sono:

  • Possibilità di gestire le identità nella directory locale e nel cloud.

  • Possibilità di configurare rapidamente la sincronizzazione con la directory locale a foresta singola.

  • Possibilità di fornire un provider di autenticazione cloud.

  • Possibilità di configurare rapidamente la sincronizzazione con la directory locale.

  • Possibilità di controllare chi e cosa viene sincronizzato nel cloud.

  • Possibilità di fornire un'esperienza di accesso sicuro analoga a quella attuale.

  • Possibilità di ottenere rapidamente la pulizia e la corretta gestione dei sistemi di identità locali in modo che possano essere usati come fonte per il cloud.

In questa sezione viene illustrato il progetto di soluzione per il problema descritto nella sezione precedente e vengono presentate alcune considerazioni generali sulla relativa progettazione.

Grazie ad Azure AD, l'organizzazione è in grado di integrare l'istanza locale di Active Directory con l'istanza di Azure AD. Questa istanza verrà quindi usata per fornire l'autenticazione cloud come illustrato nella figura seguente.

Soluzione di autenticazione cloud

La tabella seguente elenca gli elementi che fanno parte della progettazione della soluzione e descrive i motivi della scelta.

 

Elemento del progetto di soluzione Perché è incluso nella soluzione?

Strumento di sincronizzazione di Azure Active Directory

Consente di sincronizzare gli oggetti della directory locale con Azure AD. Per una panoramica di questa tecnologia, vedere Roadmap sulla sincronizzazione della directory.

Sincronizzazione password

Funzionalità dello strumento di sincronizzazione di Azure Active Directory che consente di sincronizzare le password utente tra l'istanza locale di Active Directory e Azure AD. Per una panoramica di questa tecnologia, vedere Implementazione della sincronizzazione delle password.

Strumento IdFix per la correzione degli errori di DirSync

Consente ai clienti di identificare e correggere la maggior parte degli errori di sincronizzazione degli oggetti nelle foreste di Active Directory. Per una panoramica di questa tecnologia, vedere la pagina di download dello strumento IdFix per la correzione degli errori di DirSync.

Sincronizzazione password è una funzionalità dello strumento di sincronizzazione di Azure Active Directory che consente di sincronizzare le password utente tra l'istanza locale di Active Directory e Azure AD. Questa funzionalità permette agli utenti di accedere ai servizi Azure AD, ad esempio Office 365, Intune e CRM Online, usando la stessa password che usano per accedere alla rete locale. L'esperienza di accesso sarà quindi analoga a quella dell'accesso alla rete aziendale.

Lo strumento IdFix per la correzione degli errori di DirSync consente di individuare e correggere gli oggetti identità e i relativi attributi in un ambiente Active Directory locale in preparazione della migrazione. In questo modo è possibile identificare rapidamente i problemi che possono verificarsi durante la sincronizzazione prima di avviare il processo. Sulla base di queste informazioni è possibile apportare modifiche all'ambiente tali da evitare questi errori.

Questo progetto è consigliato perché consente di realizzare gli obiettivi di progettazione dell'organizzazione. Esistono due modi per fornire l'autenticazione per le risorse basate su Azure: autenticazione cloud o autenticazione locale tramite un servizio token di sicurezza.

L'obiettivo di progettazione principale dell'organizzazione è la possibilità di configurare rapidamente la sincronizzazione con l'istanza locale di Active Directory. Si tratta del modo più rapido per sincronizzare l'istanza locale di Active Directory con Azure AD.

In secondo luogo, l'organizzazione voleva avere la possibilità di fornire un'esperienza di accesso sicuro analoga a quella attuale. Gli utenti potranno così accedere con lo stesso nome utente e la stessa password che usano già, con un'esperienza del tutto simile.

Per implementare la soluzione è possibile eseguire i passaggi descritti in questa sezione. Verificare la corretta esecuzione di ogni passaggio prima di procedere al successivo.

  1. Preparare la sincronizzazione della directory

    Verificare i requisiti di sistema, creare le autorizzazioni appropriate e tenere conto delle considerazioni relative alle prestazioni. Per altre informazioni, vedere Preparazione della sincronizzazione della directory. Al termine di questo passaggio, assicurarsi di disporre di un foglio di lavoro compilato recante le opzioni di progettazione della soluzione selezionate.

  2. Attivare la sincronizzazione della directory.

    Attivare la sincronizzazione della directory per l'azienda. Per altre informazioni, vedere Attivazione della sincronizzazione della directory. Al termine di questo passaggio, verificare che le funzionalità siano configurate.

  3. Configurare il computer di sincronizzazione della directory.

    Installare lo strumento di sincronizzazione di Windows Azure AD. Se lo strumento è già stato installato, è possibile apprendere informazioni sull'aggiornamento, la disinstallazione o lo spostamento in un altro computer. Per altre informazioni, vedere Configurazione del computer di sincronizzazione della directory. Al termine di questo passaggio, verificare che le funzionalità siano configurate.

  4. Sincronizzare le directory.

    Eseguire una sincronizzazione iniziale e verificare che i dati vengano sincronizzati correttamente. Verrà anche descritto come configurare lo strumento di sincronizzazione di Azure AD per impostare la sincronizzazione periodica e come forzare la sincronizzazione della directory. Per altre informazioni, vedere Utilizzo della configurazione guidata per la sincronizzazione delle directory. Al termine di questo passaggio, verificare che le funzionalità siano configurate.

  5. Attivare gli utenti sincronizzati.

    Attivare gli utenti nel portale di Office 365 affinché possano usare i servizi sottoscritti. A questo scopo occorre assegnare loro una licenza per l'uso di Office 365. È possibile eseguire queste operazioni singolarmente o in blocco. Per altre informazioni, vedere Attivazione degli utenti sincronizzati. Al termine di questo passaggio, verificare che le funzionalità siano configurate. Tenere presente che questo passaggio è facoltativo ed è richiesto solo se si usa Office 365.

  6. Verificare la soluzione.

    Dopo la sincronizzazione degli utenti, testare l'accesso a http://myapps.microsoft.com. Verranno visualizzate le applicazioni di Office 365 di cui si dispone. Un utente normale può effettuare l'accesso senza la necessità di una sottoscrizione di Azure.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft