Identiteiten voor een hybride omgeving met één forest beheren met cloudverificatie
Hoe kan deze handleiding u helpen?
Zakelijke gebruikers willen toepassingen in de cloud overal en vanaf ieder apparaat gebruiken, maar kunnen dit niet omdat ze zich niet kunnen verifiëren.
Deze handleiding biedt een duidelijk, getest ontwerp voor het integreren van een map op locatie met een map in de cloud zodat gebruikers eenvoudig toegang hebben tot toepassingen in cloud, overal en via ieder apparaat. Deze toegang wordt uitgevoerd met cloud-verificatie. Zie voor een voorbeeld van het gebruik van lokale verificatie Manage identities for single-forest hybrid environments using on-premises authentication (Identiteiten voor een hybride omgeving met één forest beheren met lokale verificatie).
.jpeg "Cloudauthenticatieprobleem")
In deze handleiding met oplossingen vindt u:
Scenario, probleemoverzicht en doelstellingen
Wat is de aanbevolen plannings- en ontwerpmethode voor deze oplossing?
Waarom bevelen we dit ontwerp aan?
Wat zijn de stappen op hoog niveau om deze oplossing te implementeren?
Scenario, probleemoverzicht en doelstellingen
Deze sectie beschrijft het scenario, de probleemstelling en de organisatiedoelstellingen die handig zijn als voorbeelden voor deze handleiding.
Scenario
Uw organisatie is een middelgroot bedrijf. Verkopers van uw organisatie werken overal. Bij een verkoop hebben ze toegang nodig tot een computer die aangesloten is bij het bedrijfsnetwerk vanaf een hublocatie of via VPN, en moeten ze deze verkoop invoeren in een aangepaste toepassing op het bedrijfsnetwerk.
Omdat deze verkopen niet altijd real-time worden opgenomen, zijn inventarissen moeilijk te beheren. Dit heeft geleid tot backorders en vertragingen. De verkoopmedewerkers klagen ook dat ze vaak geen toegang hebben tot het bedrijfsnetwerk wanneer ze bij de klant op locatie zijn en ze zouden graag de gegevens invoeren via hun tablets of smartphones.
De ontwikkelaars van uw organisatie hebben onlangs een nieuwe klantrelatiebeheertoepassing ontwikkeld waarmee het eenvoudiger is voor verkopers om ter plaatse bestellingen in te dienen, vanaf elk apparaat dat toegang tot internet heeft.
Uw organisatie heeft besloten deze toepassing te hosten in de cloud. Hierdoor kunnen de verkopers snel verkopen invoeren vanaf hun tablet of smartphone op het moment van de verkoop, zonder eerst verbinding te maken met het bedrijfsnetwerk. Uw organisatie verwacht dat dit het inventarisbeheer aanzienlijk zal verbeteren.
Probleemstelling
Uw organisatie heeft bepaald dat de nieuwe toepassing zal worden gehost in Microsoft Azure. Uw organisatie heeft op het moment echter geen verificatieprovider die de verkoopmedewerkers kan verifiëren in de nieuwe toepassing die wordt gehost in Azure.
Het algemene probleem dat u wilt oplossen is:
Hoe kunt u als systeemarchitect of IT-beheerder gebruikers dezelfde identiteit bieden bij de toegang tot lokale en cloud-bronnen? Hoe kunt u deze identiteiten beheren en de informatie synchroniseren tussen de verschillende omgevingen zonder overmatig gebruik van IT-bronnen?
Om toegang te krijgen tot deze toepassing moet het verkooppersoneel worden geverifieerd door een verificatieprovider. Uw organisatie wil de toegang tot de CRM-toepassing beperken tot de verkoopmedewerkers, omdat zij momenteel de enige werknemers zijn die deze toegang nodig hebben.
Uw organisatie heeft de mogelijkheden bekeken en gaat akkoord met de cloud-verificatie door een exemplaar van Azure AD. Uw organisatie heeft bepaald dat dit goedkoper en gemakkelijker is om in te stellen, omdat er momenteel geen lokale exemplaren van Active Directory Federation Services (AD FS) zijn. Daarnaast is het zo dat cloud-verificatie met name op gebieden met lagere bandbreedte een betere ervaring zal opleveren, aangezien de afdeling verkoop wereldwijd actief is. Uw organisatie is betrokken bij de bronnen die nodig zijn om deze identiteiten te beheren: er is maar één Active Directory-beheerder, en de beheerder moet deze oplossing snel kunnen inschakelen.
Ontwikkelaars van uw organisatie hebben de code toegevoegd die hiervoor nodig is. Het is nu aan de Active Directory-beheerder om zijn of haar exemplaar van Azure AD in te stellen. De Active Directory-beheerder moet gebruikmaken van de lokale Active Directory om het exemplaar van Azure AD te vullen. De Active Directory-beheerder moeten dit snel kunnen doen. Hij heeft geen tijd om zijn huidige Active Directory-omgeving op te ruimen of om elke gebruikersaccount in Azure opnieuw aan te maken. Uw organisatie wil ook dat de verkoopmedewerkers hetzelfde wachtwoord kunnen gebruiken als ze zich aanmelden op het bedrijfsnetwerk. Uw organisatie wil niet dat de verkopers meerdere wachtwoorden moeten onthouden.
Doelstellingen van de organisatie
De doelstellingen van uw organisatie voor de hybride identiteitsoplossing zijn:
Mogelijkheid voor het beheren van identiteiten in de on-premises directory en in de cloud.
De mogelijkheid om synchronisatie in te stellen met een lokale map met één forest.
De mogelijkheid om een cloud-verificatieprovider te bieden.
De mogelijkheid om synchronisatie met een lokale map in te stellen.
De mogelijkheid om te bepalen wie en wat er wordt gesynchroniseerd met de cloud.
De mogelijkheid om een beveiligde aanmeldervaring te bieden die niet anders is dan de huidige.
De mogelijkheid om lokale identiteitssystemen snel op te schonen en te beheren zodat ze als bron voor de cloud kunnen dienen.
Wat is de aanbevolen plannings- en ontwerpmethode voor deze oplossing?
Deze sectie beschrijft het oplossingsontwerp voor het probleem uit de vorige sectie en biedt overwegingen op hoog niveau voor de planning voor dit ontwerp.
Met behulp van Azure AD kan uw organisatie het lokale exemplaar van Active Directory integreren met het Azure AD-exemplaar. Dit exemplaar wordt vervolgens gebruikt voor verificatie van de cloud, zoals in het volgende diagram wordt weergegeven.
.jpeg "Cloudauthenticatieoplossing")
De volgende tabel bevat de elementen die deel uitmaken van dit oplossingsontwerp en geeft uitleg over iedere ontwerpkeuze.
Element oplossingsontwerp |
Waarom is het onderdeel van deze oplossing? |
|---|---|
Hulpprogramma voor Azure Active Directory-synchronisatie |
Wordt gebruikt voor het synchroniseren van lokale directory-objecten met Azure AD. Zie voor een overzicht van deze technologie Directory synchronization roadmap (Routekaart voor adreslijstsynchronisatie). |
Password Sync (Wachtwoordsynchronisatie) |
Een functie van het hulpprogramma Azure Active Directory-synchronisatie waarmee wachtwoorden van uw lokale Active Directory met Azure AD worden gesynchroniseerd. Zie voor een overzicht van deze technologie Implement Password Synchronization (Wachtwoordsynchronisatie implementeren). |
Hulpprogramma IdFix DirSync-foutherstel |
Biedt klanten de mogelijkheid om het grootste gedeelte van de synchronisatiefouten te identificeren en te verhelpen in hun Active Directory-forests. Zie voor een overzicht van deze technologie IdFix DirSync Error Remediation Tool (Hulpprogramma IdFix DirSync-foutherstel). |
Wachtwoordsynchronisatie is een functie van het hulpprogramma Azure Active Directory-synchronisatie waarmee wachtwoorden van uw lokale Active Directory naar Azure AD worden gesynchroniseerd. Met deze functie kunnen uw gebruikers zich aanmelden bij hun Azure AD-services (zoals Office 365, Intune en CRM Online) met hetzelfde wachtwoord dat ze gebruiken voor het aanmelden bij uw lokale netwerk. Hiermee kunt u uw gebruikers beveiligde aanmelding bieden die hetzelfde werkt als het aanmelden bij het bedrijfsnetwerk.
Het hulpprogramma IdFix DirSync-foutherstel kan worden gebruikt om identiteitsobjecten en de bijbehorende kenmerken op te sporen en te herstellen in een lokale Active Directory-omgeving ter voorbereiding op de migratie. Hierdoor kunt u problemen die bij synchronisatie kunnen optreden snel opsporen, voordat u begint met het synchroniseren. Met deze informatie kunt u wijzigingen aanbrengen aan uw omgeving om deze fouten te voorkomen.
Waarom bevelen we dit ontwerp aan?
Dit ontwerp wordt aanbevolen, omdat het zich richt op de ontwerpdoelstellingen van uw organisatie. Dat betekent dat er twee manieren zijn om verificatie te bieden voor bronnen op basis van Azure: via cloudverificatie of via lokale verificatie met behulp van een STS (Security Token Service).
Het eerste ontwerpdoel van uw organisatie is de mogelijkheid om snel synchronisatie in te kunnen stellen met het lokale exemplaar van Active Directory. Dit ontwerp vertegenwoordigt de snelste manier om uw lokale Active Directory te synchroniseren met Azure AD.
Ten tweede wilde uw organisatie een beveiligde aanmeldervaring bieden die niet anders is dan de huidige. Met dit ontwerp kunnen gebruikers zich aanmelden met dezelfde gebruikersnaam en hetzelfde wachtwoord dat ze op dit moment gebruiken en zal de ervaring hetzelfde zijn.
Wat zijn de stappen op hoog niveau om deze oplossing te implementeren?
U kunt de stappen in deze sectie gebruiken om de oplossing te implementeren. Controleer of elke stap goed is uitgevoerd, voordat u doorgaat met de volgende stap.
Adreslijstsynchronisatie voorbereiden.
Controleer de systeemvereisten, maak de juiste machtigingen aan en sta prestatieoverwegingen toe. Zie voor meer informatie Prepare for directory synchronization (Voorbereiden voor adreslijstsynchronisatie). Nadat u deze stap hebt voltooid, controleert u of u een voltooid werkblad hebt met de door u geselecteerde ontwerpopties voor oplossing.
Adreslijstsynchronisatie activeren.
Adreslijstsynchronisatie activeren voor uw bedrijf. Zie voor meer informatie Activate directory synchronization (Adreslijstsynchronisatie activeren). Nadat u deze stap hebt voltooid, controleert u of u beschikt over de functies die zijn geconfigureerd.
Stel uw computer in voor synchronisatie van de directory.
Installeer het hulpprogramma Windows Azure AD-synchronisatie. Als u dit al gedaan hebt, kunt u leren hoe u het kunt upgraden, verwijderen of verplaatsen naar een andere computer. Zie voor meer informatie Set up your directory sync computer (Uw computer voor adreslijstsynchronisatie instellen). Nadat u deze stap hebt voltooid, controleert u of u beschikt over de functies die zijn geconfigureerd.
Synchroniseer uw mappen.
Voor een eerste synchronisatie uit en controleer of de gegevens correct zijn gesynchroniseerd. U leert ook hoe u het hulpprogramma Azure AD-synchronisatie configureert voor het instellen van periodieke synchronisatie en het afdwingen van synchronisatie van de directory. Zie voor meer informatie Use the Configuration Wizard to sync your directories (De wizard Configuratie gebruiken voor het synchroniseren van uw adreslijsten). Nadat u deze stap hebt voltooid, controleert u of u beschikt over de functies die zijn geconfigureerd.
Gesynchroniseerde gebruikers activeren
Activeer de gebruikers in de Office 365-portal voordat ze de services kunnen gebruiken waarop u bent geabonneerd. Hiervoor is het nodig ze een licentie toe te wijzen voor het gebruik van Office 365. U kunt dit individueel doen, of gelijktijdig. Zie voor meer informatie Activate synced users (Gesynchroniseerde gebruikers activeren). Nadat u deze stap hebt voltooid, controleert u of u beschikt over de functies die zijn geconfigureerd. Houd er rekening mee dat deze stap optioneel is en alleen is vereist als u Office 365 gebruikt.
Controleer de oplossing.
Nadat de gebruikers zijn gesynchroniseerd, test u aanmelden bij https://myapps.microsoft.com. Als u Office 365 toepassingen hebt, ziet u deze hier. Een gewone gebruiker kan zich hier aanmelden zonder een Azure-abonnement.
Zie ook
Content type |
Verwijzingen |
Product evaluation/Getting started |
|
Plannen en ontwerpen |
|
Implementatie |
|
Bewerkingen |
|
Ondersteuning |
Troubleshoot directory synchronization (Synchronisatie van probleemoplossingsdirectory) |
Naslaginformatie |
Checklist: Eenmalige aanmelding implementeren en beheren met AD FS 2.0 |
Communitybronnen |
|
Verwante oplossingen |
|
Verwante technologieën |