使用本地身份验证管理单个林混合环境的身份

 

公司用户希望能够在任何设备上从任何位置使用位于云中的应用程序,但是他们无法做到这一点,因为他们没有进行身份验证的方法。公司 IT 部门希望用户能够对这些云应用程序进行身份验证,它还希望能够实时控制可以访问这些应用程序的人员。

本指南提供了有关如何集成本地目录与云目录,以便用户可以轻松在任何设备从任何位置访问位于云中的应用程序的规范性指南。使用本地身份验证可完成此操作。有关使用云身份验证的示例,请参阅使用云身份验证管理单个林混合环境的身份

本地问题

本解决方案指南的内容:

本部分介绍了某个示例组织的方案、问题说明和目标。

方案

你的组织是一家在全世界(包括北美、南美、欧洲和亚洲)都设有办事处的大型公司。研究和开发 (R&D) 团队主要在北美和欧洲工作。他们开发的方案将由主要位于亚洲的制造中心使用。

R&D 团队在开发新方案或改进现有方案时紧密合作。通过以下方式可完成此操作:在北美和欧洲的设施中运行类似的、标准化的测试,然后共享结果。然后制定最终结果并开发新方案。这些方案将被视为商业机密,并且取得了专利权。在完成此过程后,将这些方案发送到制造设施以开始生产。

当前,如果 R&D 团队的一个成员希望与公司另一部门的同事共享结果,或者希望将方案发送到亚洲的一个工厂,则团队使用加密文件系统 (EFS) 加密这些文件并通过电子邮件发送它们。然后另一端的人员将解密这些文件。

你的组织在当前的过程中有多个问题:

  • 隐私:数据通过电子邮件传输,尽管已加密,但它仍然容易受到通过 Internet 发起的黑客攻击。此外,很多员工可从他们自己的设备访问电子邮件,无法保证这些设备是安全的。

  • 完整性:必须导出用于加密文件的 EFS 证书并将其发送到目标。用户使用电子邮件发送这些证书,这可能侵害证书的完整性。

  • 保密性:相同的证书通常用于加密测试结果和方案。如果制造工厂的员工错误地获得了这些结果的副本,他们能够解密这些结果。

为了解决这些问题,你的组织已决定在云中设置 Office 365 SharePoint 并将其用作它用于共享测试结果和方案的门户。但是,你的组织希望使用其本地 Active Directory 作为身份验证提供程序,并且不希望使用云身份验证。

问题说明

你的组织当前有一个身份验证提供程序,即本地 Active Directory,但是此提供程序当前无法针对将在 Azure 中托管的新 Office 365 SharePoint 站点验证员工身份。

你的组织希望解决的总体问题如下:

作为系统架构师或 IT 管理员,如何向用户提供访问本地和基于云的资源时的通用身份?如何管理这些身份并使信息在多个环境中保持同步,而不使用过多的 IT 资源?

提供对你的组织的 SharePoint 站点的访问权限将需要能够使用身份验证提供程序、Active Directory 的本地实例对员工进行身份验证。此外,你的组织希望将访问权限仅限于需要访问这些站点的 R&D 和制造员工。他们是当前唯一需要访问这些站点的人员。

查看各个选项后,你已确定你可以利用 Active Directory 联合身份验证服务 (AD FS) 的现有实例来结合使用本地身份验证和 Azure。你的组织在多年前设置了 AD FS。这将节省时间和金钱,因为 IT 员工已经熟悉 AD FS 的使用。

管理人员有权购买 Office 365 和 Azure 订阅。现在 Active Directory 管理员可决定是否设置 Azure AD 实例并将其与本地 Active Directory 联合。

Active Directory 管理员需要能够利用本地 Active Directory 填充 Azure AD 实例。Active Directory 管理员必须能够快速执行此操作。接下来,Active Directory 管理员需要将 Azure AD 的本地实例与 Azure AD 联合。此外,你的组织希望将访问 SharePoint 站点的员工拥有真正的单一登录体验,并且仅能够在登录到公司网络后访问这些站点。你的组织不希望用户从外部计算机或设备访问这些站点。你的组织希望能够在发生分隔时快速禁用某个用户,以便在该用户在其帐户被禁用后无法访问 SharePoint 站点。最后,你的组织希望能够自定义登录页面,以便使用户知道他们正在登录公司站点。

组织目标

你的组织对其混合身份解决方案的目标如下:

  • 能够快速设置与 Active Directory 的本地实例的同步。

  • 能够控制与 Azure AD 同步的人员和内容。

  • 能够提供单一登录 (SSO)。在同步或 SSO 发生故障时收到警报

  • 能够将访问权限仅限于从安全的本地位置登录的 R&D 和制造用户。

  • 能够在发生分隔时阻止对云资源的实时用户访问。

  • 能够快速清理并良好地管理本地身份系统,以便它们可以成为 Azure AD 的源。

  • 能够自定义登录页面,以便它可显示公司标识。

本部分介绍了用于处理上一部分中所述的问题的解决方案设计,并为此设计提供了高级别规划注意事项。

通过使用 Azure AD,你的组织能够将 Active Directory 的本地实例与 Azure AD 实例集成。然后,使用此实例将用户重定向到 AD FS 登录页面,将在该页面中向他们颁发一个随后呈现给已授权 Azure AD 和身份验证的令牌。

本地解决方案

下表列出了本解决方案设计中所包含的元素,并介绍了选择此设计的原因。

解决方案设计元素

为何将其包括在本解决方案中?

Azure Active Directory 同步工具

用于将本地目录对象与 Azure AD 同步。有关此项技术的概述,请参阅目录同步路线图

Active Directory 联合身份验证服务

Windows Server 2012 R2 的一项功能,它是将 Active Directory 用作其身份存储的安全令牌服务 (STS)。AD FS 中的 STS 可以使用各种协议(包括 OAuth、WS-Trust、WS-Federation 和安全声明标记语言 (SAML) 2.0)向调用方颁发安全令牌。有关此项技术的概述,请参阅 Active Directory 联合身份验证服务概述

IdFix DirSync 错误修正工具

使客户能够在他们的 Active Directory 林中标识和修正大多数对象同步错误。有关此项技术的概述,请参阅 IdFix DirSync 错误修正工具

AD FS 是 Windows Server 2012 R2 的一项功能,可允许联合本地 Active Directory 和 Azure AD。此功能使用户能够通过使用 SSO 体验登录到他们的 Azure AD 服务(例如 Office 365、Intune 和 CRM Online)。这将使用户能够具有可将本地 Active Directory 实例用作身份验证提供程序的 SSO。

IdFix DirSync 错误修正工具可用在准备迁移时在本地 Active Directory 环境中执行身份对象及其特性的发现和修正。这将使你可以在开始同步前快速标识可能在同步时发生的任何问题。通过使用此信息,你可以对你的环境进行更改,以便可以避免这些错误。

建议使用此设计,因为它可处理你的组织的设计目标。即,有两种向基于 Azure 的资源提供身份验证的方法:通过云身份验证或使用 STS 的本地身份验证。

你的组织的主要顾虑之一是他们能够实时防止可能已离开公司的用户访问基于云的资源。最多有三个小时的与使用 Azure Active Directory 同步工具和云身份验证相关联的延迟。即,如果你在本地禁用一个用户帐户,该更改可能需要最多三个小时才能在 Azure 中显示。如果用户必须回到本地环境并进行身份验证,则不存在这种情况。如果在本地禁用了某个用户帐户,该用户将无法收到令牌,并不会得到访问云资源的授权。

你的组织需要能够提供 SSO。只需将 Active Directory 的本地实例与 Azure AD 联合即可实现此目标。

仅当使用 AD FS 和 AD FS 自定义时才能自定义登录页面。

你可以使用本部分中的步骤来实现解决方案。请确保验证每一步的部署是否正确,然后再继续下一步。

  1. 准备单一登录 (SSO)

    若要进行准备,你必须确保你的环境符合 SSO 的要求,并验证已采用与 SSO 要求兼容的方式设置 Active Directory 和 Azure AD 租户。有关详细信息,请参阅准备单一登录

  2. 设置本地安全令牌服务 - AD FS

    为 SSO 准备好环境后,你将需要设置新的本地 AD FS 基础结构,以向本地和远程 Active Directory 用户提供对云服务的 SSO 访问。如果你当前在生产环境中具有 AD FS,则可将其用于 SSO 部署,而不是设置新的基础结构(只要它受 Azure AD 支持)。有关如何开始设置 AD FS STS 的详细信息,请按照以下部分中提供的步骤操作:清单:使用 AD FS 实现和管理单一登录。

  3. 为 AD FS 单一登录安装 Windows PowerShell

    若要在 Azure AD 中管理你的组织的数据,请下载 Windows PowerShell 的 Azure AD 模块。此模块可在 Windows PowerShell 中安装一组 cmdlet,你可以运行它们以设置 Azure AD 以及你订阅的所有云服务的 SSO 访问。有关详细信息,请参阅为 AD FS 单一登录安装 Windows PowerShell

  4. 设置 AD FS 和 Azure AD 之间的信任

    你需要建立 Azure AD 和本地 Active Directory 之间的信任。你想要联盟的每个域必须或者作为单一登录域添加,或者从标准域转换为单一登录域。添加或转换域可设置 ADFS 和 Azure AD 之间的信任。有关详细信息,请参阅设置 AD FS 和 Azure AD 之间的信任

  5. 准备进行目录同步

    验证系统要求、创建正确的权限,并考虑性能注意事项。有关详细信息,请参阅准备进行目录同步。完成此步骤后,验证你是否具有一个显示了所选解决方案选项的已完成工作表。

  6. 激活目录同步

    为你的公司激活目录同步。有关详细信息,请参阅激活目录同步。完成此步骤后,验证是否已配置功能。

  7. 设置目录同步计算机

    安装 Azure AD 同步工具。如果已完成此操作,请了解如何进行升级、卸载或将其移动到其他计算机。有关详细信息,请参阅设置目录同步计算机。完成此步骤后,验证是否已配置功能。

  8. 同步目录

    执行初始同步并验证数据同步是否成功。你还将了解如何配置 Azure AD 同步工具以设置定期同步以及如何强制目录同步。有关详细信息,请参阅使用配置向导同步目录。完成此步骤后,验证是否已配置功能。

  9. 激活同步用户

    激活 Office 365 门户中的用户,然后他们才能使用你已订阅的服务。这包括向他们分配许可证以使用 Office 365。可以逐个激活,也可以批量激活。有关详细信息,请参阅激活同步用户。完成此步骤后,验证是否已配置功能。请注意,这是一个可选步骤,仅在使用 Office 365 时需要此步骤。

  10. 验证该解决方案。

    在用户已同步后,测试登录到 http://myapps.microsoft.com。你应该重定向到 AD FS 登录页面。在你已登录并且 AD FS 已对用户进行身份验证后,该用户将重定向回 http://myapps.microsoft.com。如果你有 Office 365 应用程序,你将在此处看到它们。常规用户可以在此处登录,而无需 Azure 订阅。

显示: