使用云身份验证管理单个林混合环境的身份

 

公司用户希望能够在任何设备上从任何位置使用位于云中的应用程序,但是他们无法做到这一点,因为他们没有进行身份验证的方法。

本指南提供了有关如何集成本地目录与云目录,以便用户可以轻松在任何设备从任何位置访问位于云中的应用程序的规范且经过测试的设计。使用云身份验证可完成此访问。有关使用本地身份验证的示例,请参阅使用本地身份验证管理单个林混合环境的身份

云身份验证问题

本解决方案指南的内容:

本部分介绍了作为示例对本指南有用的方案、问题说明和组织目标。

方案

你的组织是一家中型公司。你的组织的销售人员遍布世界各地。当他们开展销售时,他们需要从中心位置或通过 VPN 访问已加入公司网络的计算机,并在公司网络上运行的自定义应用程序中输入该销售。

由于并不总是实时记录这些销售,因此它使库存难以管理。这导致了订单退回或延期。此外,销售人员一直抱怨他们经常无法在客户的办公地点访问公司网络,并且他们希望能够通过其平板电脑或智能手机输入信息。

你的组织的开发人员最近开发了一个新的客户关系管理应用程序,可使现场销售代理更轻松地从具有 Internet 访问权限的任何设备中提交订单。

你的组织已决定在云中托管此应用程序。这将使销售人员在销售时通过其平板电脑或智能手机输入销售,而无需先连接到公司网络。你的组织预计这将大大改善库存管理。

问题说明

你的组织已确定将在 Microsoft Azure 中托管新的应用程序。但是,针对将在 Azure 中托管的新应用程序,你的组织当前没有可对销售人员进行身份验证的身份验证提供程序。

你希望解决的总体问题如下:

作为系统架构师或 IT 管理员,如何向用户提供访问本地和基于云的资源时的通用身份?如何管理这些身份并使信息在多个环境中保持同步,而不使用过多的 IT 资源?

提供对此应用程序的访问权限将能够使用身份验证提供程序对销售人员进行身份验证。你的组织希望将对 CRM 应用程序的访问权限限制在销售人员,因为他们是目前唯一需要访问它的员工。

你的组织已经查看了各个选项并同意根据 Azure AD 的实例允许使用云身份验证。你的组织确定了此方案成本较低且易于设置,因为当前他们没有任何 Active Directory 联合身份验证服务 (AD FS) 的本地实例。此外,由于他们的销售人员遍布世界各地,因此云身份验证将提供更好的体验,对于带宽较低的区域尤其如此。你的组织与管理这些身份所需的资源相连接 — 只有一个 Active Directory 管理员,而且该管理员需要能够使本解决方案快速上手。

你的组织的开发人员已添加代码来实现此操作。现在 Active Directory 管理员可决定是否设置 Azure AD 实例。Active Directory 管理员需要能够利用本地 Active Directory 填充其 Azure AD 实例。Active Directory 管理员必须能够快速执行此操作。他没有时间清理当前的 Active Directory 环境或在 Azure 中重新创建每个用户帐户。此外,你的组织希望销售人员能够使用他们在登录公司网络时使用的相同密码。你的组织不希望出现销售人员必须记住多个密码的情况。

组织目标

你的组织对其混合身份解决方案的目标如下:

  • 能够管理在本地目录和云中的标识。

  • 能够快速设置与本地单林目录的同步。

  • 能够提供云身份验证提供程序。

  • 能够快速设置与其本地目录的同步。

  • 能够控制与云同步的人员和内容。

  • 能够提供与它现在所具有的体验完全相同的安全登录体验。

  • 能够快速清理并良好地管理本地身份系统,以便它们可以成为云的源。

本部分介绍了用于处理上一部分中所述的问题的解决方案设计,并为此设计提供了高级别规划注意事项。

通过使用 Azure AD,你的组织能够将 Active Directory 的本地实例与 Azure AD 实例集成。然后此实例将用于提供云身份验证,如下图所示。

云身份验证解决方案

下表列出了本解决方案设计中所包含的元素,并介绍了选择每个设计的原因。

解决方案设计元素

为何将其包括在本解决方案中?

Azure Active Directory 同步工具

用于将本地目录对象与 Azure AD 同步。有关此项技术的概述,请参阅目录同步路线图

密码同步

Azure Active Directory 同步工具的一项功能,可将用户密码从本地 Active Directory 同步到 Azure AD。有关此项技术的概述,请参阅实现密码同步

IdFix DirSync 错误修正工具

使客户能够在他们的 Active Directory 林中标识和修正大多数对象同步错误。有关此项技术的概述,请参阅 IdFix DirSync 错误修正工具

密码同步是 Azure Active Directory 同步工具的一项功能,可将用户密码从本地 Active Directory 同步到 Azure AD。此功能使你的用户可以使用登录本地网络时所使用的相同密码来登录他们的 Azure AD 服务(例如 Office 365、Intune 和 CRM Online)。这将使你的用户能够进行安全登录,如同他们之前登录公司网络一样。

IdFix DirSync 错误修正工具可用在准备迁移时在本地 Active Directory 环境中执行身份对象及其特性的发现和修正。这将使你可以在开始同步前快速标识可能在同步时发生的任何问题。通过使用此信息,你可以对你的环境进行更改,以便可以避免这些错误。

建议使用此设计,因为它可处理你的组织的设计目标。即,有两种向基于 Azure 的资源提供身份验证的方法:通过云身份验证或通过使用安全令牌 serviceSTS 的本地身份验证。

你的组织的第一个设计目标是能够快速设置与其 Active Directory 的本地实例的同步。此设计表示将本地 Active Directory 与 Azure AD 同步的最快方法。

你的组织希望能够提供与它现在所具有的体验完全相同的安全登录体验。通过使用此设计,用户将使用与它们现在所使用的同一用户名和密码进行登录,并且体验将完全相同。

你可以使用本部分中的步骤来实现解决方案。请确保验证每一步的部署是否正确,然后再继续下一步。

  1. 准备进行目录同步。

    验证系统要求、创建正确的权限,并考虑性能注意事项。有关详细信息,请参阅准备进行目录同步。完成此步骤后,验证你是否具有一个显示了所选解决方案选项的已完成工作表。

  2. 激活目录同步。

    为你的公司激活目录同步。有关详细信息,请参阅激活目录同步。完成此步骤后,验证是否已配置功能。

  3. 设置目录同步计算机。

    安装 Windows Azure AD 同步工具。如果已完成此操作,请了解如何进行升级、卸载或将其移动到其他计算机。有关详细信息,请参阅设置目录同步计算机。完成此步骤后,验证是否已配置功能。

  4. 同步目录。

    执行初始同步并验证数据同步是否成功。你还将了解如何配置 Azure AD 同步工具以设置定期同步以及如何强制目录同步。有关详细信息,请参阅使用配置向导同步目录。完成此步骤后,验证是否已配置功能。

  5. 激活同步用户。

    激活 Office 365 门户中的用户,然后他们才能使用你已订阅的服务。这包括向他们分配许可证以使用 Office 365。可以逐个激活,也可以批量激活。有关详细信息,请参阅激活同步用户。完成此步骤后,验证是否已配置功能。请注意,这是一个可选步骤,仅在使用 Office 365 时需要此步骤。

  6. 验证该解决方案。

    在用户已同步后,测试登录到 http://myapps.microsoft.com。如果你有 Office 365 应用程序,你将在此处看到它们。常规用户可以在此处登录,而无需 Azure 订阅。

显示: