Hantera identiteter för sammanhållna hybridmiljöer med molnautentisering

Hur kan den här guiden hjälpa dig?

Företagsanvändare vill kunna använda program som finns i molnet från var som helst och med vilken enhet som helst, men det kan de inte eftersom det saknas ett sätt att autentisera.

Den här guiden presenterar förslag på en beprövad design för integration av en lokal katalog med en molnkatalog så att användarna enkelt kan nå program som finns i molnet var som helst ifrån och med vilken enhet som helst. Denna åtkomst möjliggörs med autentisering i molnet. Ett exempel på lokal autentisering finns i Hantera identiteter för sammanhållna hybridmiljöer med lokal autentisering.

I den här lösningsguiden:

• Scenario, problembeskrivning och mål

• Hur ska man gå tillväga vid planering och design för denna lösning?

• Varför rekommenderar vi den här designen?

• Vilka övergripande åtgärder bör utföras när man implementerar denna lösning?

Scenario, problembeskrivning och mål

I det här avsnittet tillhandahålls scenario, problembeskrivning och de organisationsmål som är användbara exempel för den här handboken.

Scenario

Organisationen är ett medelstort bolag. Företagets säljare arbetar över hela tiden. När de genomför en försäljning måste de ha tillgång till en dator som är ansluten till företagsnätverket, antingen från en plats i navet eller via VPN, och måste registrera försäljningen i ett anpassat program som körs i företagsnätverket.

Eftersom dessa försäljningar inte alltid registreras i realtid försvårar de inventeringsarbetet. Detta leder till restordrar och förseningar. Säljpersonalen har även klagat över att de ofta saknar åtkomst till företagsnätverket när de arbetar ute hos kund och vill kunna registrera informationen via sina surfplattor eller smartphones

Utvecklarna i din organisation har nyligen utvecklat ett nytt kundrelationshanteringsprogram som gör det enklare för säljarna ute på fältet att skicka in order från vilken enhet som som helst som är ansluten till internet.

Organisationen har beslutat sig att köra det här programmet i molnet. Detta gör att säljarna snabbt kan registrera försäljningar från sina surfplattor eller telefoner direkt vid försäljningstillfället utan att behöva koppla upp sig mot företagsnätverket först. Organisationen räknar med att detta kommer att underlätta lagerhanteringen avsevärt.

Problembeskrivning

Din organisationen har bestämt att Microsoft Azure ska vara värd för det nya programmet. För närvarande har din organisation dock inte någon autentiseringsprovider som kan autentisera säljpersonalen för det nya programmet som Azure ska vara värd för.

Det övergripande problemet som du vill lösa kan beskrivas så här:

Hur kan du som systemarkitekt eller IT-administratör ge användarna en gemensam identitet vid åtkomst till resurser som finns på lokalt och i molnet? Hur kan du hantera dessa identiteter och synkronisera informationen över flera miljöer utan att använda alltför stora IT-resurser?

Om man ska tillhandahålla åtkomst till det här programmet måste man ha möjlighet att autentisera säljpersonalen hos en autentiseringsprovider. Din organisation vill begränsa åtkomsten till CRM-programmet för säljarna, eftersom de för närvarande är de enda anställda som behöver åtkomst till det.

Din organisationen har tittat på alternativen och beslutat sig för att tillåta molnautentisering mot en AD Azure-instans. Din organisationen har kommit fram till att detta blir billigare och enklare att konfigurera eftersom de inte har några lokala instanser av AD FS (Active Directory Federation Services). Eftersom man dessutom har säljare över hela världen kommer molnautentiseringen att ge en bättre upplevelse, särskilt i områden med begränsad bandbredd. Organisationen är bekymrad över de resurser som krävs för att hantera dessa identiteter. Det finns bara en Active Directory-administratör och denna administratör måste snabbt kunna få igång lösningen.

Utvecklarna i organisationen har lagt till kod för att göra detta. Det är nu upp till Active Directory-administratören att installera sin Azure AD-instans. Active Directory-administratören måste även kunna hantera den lokala Active Directory-katalogen och fylla i sin Azure AD-instans. Active Directory-administratören måste kunna göra detta snabbt. Han eller hon har inte tid att rensa upp sin aktuella Active Directory-miljö eller återskapa varje användarkonto i Azure. Din organisation vill också att säljpersonalen ska kunna använda samma lösenord som de använder när de loggar in till företagsnätverket. Organisationen vill inte att säljpersonalen ska behöva hålla reda på en massa olika lösenord.

Organisatoriska mål

Organisationens mål för hybrididentitetslösningen är:

• Möjlighet att hantera identiteter i den lokala katalogen och i molnet.

• Möjlighet att snabbt kunna konfigurera synkronisering med den lokala sammanhållna katalogen.

• Möjlighet att kunna tillhandahålla en autentiseringsprovider i molnet.

• Möjlighet att snabbt kunna konfigurera synkronisering med den lokala katalogen.

• Möjlighet att kunna styra vem och vad som synkroniseras med molnet.

• Möjlighet att tillhandahålla en säker inloggningsupplevelse inte skiljer sig från dagens.

• Möjlighet att snabbt kunna rensa lokala identitetssystem och att dessa ska vara väl hanterade så att de kan vara källan för molnet.

Hur ska man gå tillväga vid planering och design för denna lösning?

Det här avsnittet beskriver en designlösning som löser problemet som beskrivs i föregående avsnitt och ger en överblickande planering för den här designen.

Genom att använda Azure AD kan organisationen integrera den lokala instansen av Active Directory med Azure AD-instansen. Den här instansen kommer sedan att användas för att tillhandahålla molnautentisering så som visas i följande diagram.

Följande tabell visar element som är en del av denna lösningsdesign och beskriver anledningarna till valet av design.

Lösenordssynkronisering är en funktion i verktyget Active Directory-synkronisering i Azure som synkroniserar lösenord från din lokala Active Directory-katalog till Windows Azure-AD Den här funktionen gör det möjligt för användarna att logga in på sina Azure AD-tjänster (t.ex. Office 365, Intune och CRM Online) med samma lösenord de använder för att logga in på sitt lokala nätverk. Detta ger dem möjlighet att ha en säker inloggning som är densamma som de använder för att logga in på företagsnätverket.

Reparationsverktyget för IdFix DirSync-fel kan användas för att identifiera och reparera identitetsobjekt och tillhörande attribut i en lokal Active Directory-miljö inför en migrering. Det gör att du snabbt kan identifiera eventuella problem som kan uppstå med synkroniseringen innan du startar synkroniseringen. Med den här informationen kan du göra ändringar i din miljö så att du kan undvika dessa fel.

Varför rekommenderar vi den här designen?

Detta rekommenderas eftersom det uppfyller designmålen för din organisation. Det finns med andra ord två sätt att tillhandahålla autentisering på för Azure-baserade resurser: dels via molnet och dels genom lokal autentisering med hjälp av en säkerhetstokentjänst (STS).

Organisationens första designmål är att snabbt kunna konfigurera synkronisering med lokala instanser av Active Directory. Den här designen är det snabbaste sättet att synkronisera lokala AD med Azure AD.

För det andra önskade din organisation ha möjlighet att kunna tillhandahålla en säker inloggningsupplevelse som inte skiljer sig från dagens. Med den här designen loggar användarna in med samma användarnamn och lösenord som de använder idag, och upplevelsen kommer att vara densamma.

Vilka övergripande åtgärder bör utföras när man implementerar denna lösning?

Du kan använda instruktionerna i det här avsnittet för att implementera lösningen. Se till att kontrollera rätt distributionen av varje steg innan du fortsätter till nästa steg.

1. Förbereda för katalogsynkronisering.

   Kontrollera systemkraven, skapa rätt behörigheter och notera prestandaövervägandena. Mer information finns i Förbereda för katalogsynkronisering. När du har slutfört det här steget kan du kontrollera att du har ett slutfört kalkylblad som visar designalternativen för den valda lösningen.

2. Aktivera katalogsynkronisering.

   Aktivera katalogsynkronisering för ditt företag. Mer information finns i Aktivera katalogsynkronisering. När du har slutfört det här steget kan du kontrollera att du har de funktioner som har konfigurerats.

3. Konfigurera datorn för katalogsynkronisering.

   Installera verktyget för Windows Azure AD-synkronisering. Om du redan har gjort det, lär du dig hur du uppgraderar, avinstallerar eller flyttar det till en annan dator. Mer information finns i Konfigurera datorn för katalogsynkronisering. När du har slutfört det här steget kan du kontrollera att du har de funktioner som har konfigurerats.

4. Synkronisera dina kataloger.

   Genomför en inledande synkronisering och kontrollera att data korrekt. Du får också lära dig hur du konfigurerar verktyget Azure AD-synkroniseringen för att konfigurera återkommande synkronisering och tvinga katalogsynkronisering. Mer information finns i Använda konfigurationsguiden för att synkronisera dina kataloger. När du har slutfört det här steget kan du kontrollera att du har de funktioner som har konfigurerats.

5. Aktivera synkroniserade användare.

   Aktivera användarna på Office 365-portalen innan de kan använda de prenumererade tjänsterna. Detta innebär att tilldela en licens för att använda Office 365. Du kan göra individuellt eller i grupp. Mer information finns i Aktivera synkroniserade användare. När du har slutfört det här steget kan du kontrollera att du har de funktioner som har konfigurerats. Observera att detta är ett valfritt steg som endast krävs om du använder Office 365.

6. Kontrollera lösningen.

   När användarna har synkroniserats testar du att logga in på https://myapps.microsoft.com Om du har Office 365-program ska de visas här. En vanlig användare kan logga in här utan att behöva en Azure-prenumeration.

Se även