使用內部部署驗證管理單一樹系混合式環境的身分識別

本指南可提供您哪些協助？

公司使用者想要能夠從任何地方和任何裝置使用在雲端中的應用程式，但他們因為沒有驗證的方式而無法這麼做。公司的 IT 想要能夠允許使用者針對這些雲端應用程式執行驗證，而且也想要有能夠即時控制可存取這些應用程式之人員的能力。

此指南提供如何將內部部署的目錄與雲端目錄整合的指引，以便使用者可以從任何地方與任何裝置輕易地存取位於雲端的應用程式。這可以使用內部部署驗證來完成。如需使用雲端驗證的範例，請參閱使用雲端驗證，管理單一樹系混合式環境的身分識別。

在本解決方案指南中：

• 案例、問題陳述和目標

• 此解決方案的建議規劃與設計方式為何？

• 為什麼我們會建議這種設計？

• 實作此解決方案的整體步驟為何？

案例、問題陳述和目標

本節描述範例組織的案例、問題陳述和目標。

案例

您的組織是在世界各地 (包括北美洲與南美洲、歐洲及亞洲) 設有辦公室的大型公司。研究與開發 (R&D) 團隊主要在北美洲與歐洲工作。他們負責開發將由主要位於亞洲的製造中心使用的配方。

R&D 團隊會在開發新配方或改善現有配方時緊密合作。合作方式是透過在北美洲與歐洲的廠房執行相同、標準化的測試，然後分享結果。然後就可以取得最終結果並開發出新的配方。這些配方被視為商業機密並且已申請專利。在完成此程序之後，配方將會被傳送至製造廠以開始生產。

目前，如果 R&D 團隊成員想要和公司中另一部門的同事分享結果，或想要將配方傳送給亞洲的其中一間廠房，團隊會使用加密檔案系統 (EFS) 來將檔案加密並使用電子郵件傳送檔案。然後另一端的人員會將檔案解密。

您的組織在目前的程序中有幾個問題：

• 隱私權： 資料是透過電子郵件傳送，並且雖然已經加密，但還是容易在網際網路上受到駭客攻擊。而且，許多員工也會從他們自己的裝置存取電子郵件，但您無法保證那些裝置都是安全的。

• 完整性： 用來將檔案加密的 EFS 憑證必須匯出並傳送至目的地。使用者使用電子郵件傳送那些憑證可能會破壞憑證的完整性。

• 機密性： 通常會使用相同的憑證將測試結果與配方加密。製造廠的員工如果因為錯誤而取得這些結果的複本，他們將能夠把這些結果解密。

為解決這些問題，您的組織已決定在雲端設定 Office 365 SharePoint，並以此做為其分享測試結果和配方的入口網站。但是，您的組織想要使用其內部部署 Active Directory 做為驗證提供者，而不想使用雲端驗證。

問題陳述

您的組織目前有驗證提供者，也就是內部部署 Active Directory，但這個提供者目前無法驗證要存取將裝載於 Azure 之新 Office 365 SharePoint 網站的員工。

您的組織想要解決的整體問題為：

身為系統架構設計師或 IT 系統管理員，您要如何在使用者存取內部部署與雲端架構資源時，為使用者提供一般身分識別？此外，您要如何管理這些身分識別，並且在不過度使用 IT 資源的情況下維持數個環境的資訊同步？

提供對您組織之 SharePoint 網站的存取權需要有透過驗證提供者 (Active Directory 的內部部署執行個體) 驗證員工的能力。而且，您的組織想要限制只有需要網站存取權的 R&D 與製造部門員工才能存取。他們目前是唯一需要存取網站的人員。

在研究過這些選項之後，您已經決定您可以利用 Active Directory Federation Services (AD FS) 的現有執行個體來搭配 Azure 使用內部部署驗證。您的組織在幾年前就已經安裝了 AD FS。這將可以節省時間與金錢，因為 IT 人員已經很熟悉 AD FS 的使用方式。

管理階層已經授權採購 Office 365 與 Azure 訂閱。現在需由 Active Directory 系統管理員設定 Azure AD 的執行個體，並將它與內部部署 Active Directory 結合。

Active Directory 系統管理員必須能夠利用內部部署 Active Directory 來填入 Azure AD 的執行個體。Active Directory 系統管理員必須能夠快速完成此作業。接下來，Active Directory 系統管理員必須在 Active Directory 的內部部署執行個體與 Azure AD 之間建立同盟。而且，您的組織想要讓將會存取 SharePoint 網站的員工擁有真正的單一登入體驗，並且只能在登入公司網路時才能存取那些網站。您的組織不想讓外部電腦或裝置存取這些網站。您的組織希望能夠在發生隔離事件時快速停用使用者，讓使用者在其帳戶被停用之後無法再存取 SharePoint 網站。最後，您的組織希望能夠自訂登入頁面，讓使用者知道他們正在登入公司網站。

組織目標

您的組織在混合式身分識別解決方案上的目標為：

• 能夠快速設定與 Active Directory 之內部部署執行個體同步。

• 能夠控制可與 Azure AD 同步的人員和內容。

• 能夠提供單一登入 (SSO)。能夠在同步或 SSO 失敗時收到警示。

• 能夠限制只有從安全、內部部署位置登入的 R&D 與製造部門使用者才能存取。

• 能夠在發生隔離事件時即時阻止使用者存取雲端資源。

• 能夠將內部部署的身分識別系統快速清除並妥善管理，使之成為 Azure AD 的來源。

• 能夠自訂登入頁面，讓頁面提供公司身分識別。

此解決方案的建議規劃與設計方式為何？

本節說明可解決上一節所述問題的解決方案設計，並提供此設計的整體規劃考量。

透過使用 Azure AD，您的組織就能夠將 Active Directory 的內部部署執行個體與 Azure AD 執行個體整合。然後此執行個體將用來把使用者重新導向至 AD FS 登入頁面，使用者將自該頁面取得之後要提供給 Azure AD 的權杖並通過驗證。

下表列出此解決方案設計的元素，並說明選擇該設計的理由。

AD FS 為 Windows Server 2012 R2 的功能，可讓您在內部部署 Active Directory 與 Azure AD 之間建立同盟。這項功能可讓使用者透過使用 SSO 體驗來登入他們的 Azure AD 服務 (例如 Office 365、Intune 及 CRM Online)。這將會讓您的使用者能夠擁有使用您的內部部署 Active Directory 執行個體做為驗證提供者的 SSO。

IdFix DirSync 錯誤補救工具可以用來在準備移轉時，尋找及修補內部部署 Active Directory 環境中的身分識別物件及其屬性。這可讓您在開始同步處理之前，快速識別任何可能因為同步而發生的問題。您可以使用此資訊來變更您的環境，以避免發生這些錯誤。

為什麼我們會建議這種設計？

會建議使用這種設計，是因為它可以符合您的組織的設計目標。也就是有兩種方式可以針對以 Azure 為基礎的資源提供驗證：使用 STS 透過雲端驗證或內部部署驗證。

您組織的其中一個主要考量是他們希望能夠即時停止已經從公司隔離的使用者存取雲端架構。使用 Azure Active Directory 同步作業工具與雲端驗證時，這會有最多三個小時的延遲時間。也就是說，如果您停用內部部署的使用者帳戶，該變更最多可能需要三個小時才會在 Azure 中出現。這與使用者必須回到內部部署環境並驗證的情況不同。如果內部部署的使用者帳戶被停用，該使用者將無法收到權杖，且將不會獲得存取雲端資源的授權。

您的組織希望能夠提供 SSO。只有將您 Active Directory 的內部部署執行個體與 Azure AD 建立聯盟才能達到此目標。

只有使用 AD FS 與 AD FS 自訂才能提供自訂登入頁面功能。

實作此解決方案的整體步驟為何？

您可以使用本節中的步驟來實作解決方案。在進行下一個步驟之前，請務必確認每個步驟都已正確部署。

1. 準備單一登入 (SSO)

   準備時，您必須確定您的環境符合 SSO 的需求，並確認您是使用符合 SSO 需求的方式設定 Active Directory 與 Azure AD 租用戶。如需詳細資訊，請參閱為單一登入做好準備。

2. 設定您的內部部署安全性權杖服務—AD FS

   在您準備好使用 SSO 的環境之後，您必須設定一個新的內部部署 AD FS 基礎結構来為本機和遠端 Active Directory 使用者提供雲端服務的 SSO 存取。如果您目前的生產環境中有 AD FS，只要 Azure AD 有支援，您就可以將它用於 SSO 部署，不需要設定新的基礎結構。如需如何開始設定 AD FS STS 的詳細資訊，請依照以下檢查清單中提供的步驟執行作業：檢查清單：使用AD FS 實作和管理單一登入。

3. 安裝 Windows PowerShell 以搭配 AD FS 使用單一登入

   適用於 Windows PowerShell 的 Azure AD 模組是用來在 Azure AD 中管理您的組織資料的下載項目。此模組會在 Windows PowerShell 中安裝一組 Cmdlet，您可以執行該組 Cmdlet 來設定 Azure AD 的 SSO 存取，並藉以存取您訂閱的所有雲端服務。如需詳細資訊，請參閱安裝 Windows PowerShell 以搭配 AD FS 使用單一登入。

4. 設定 AD FS 與 Azure AD 之間的信任

   您必須在 Azure AD 與您的內部部署 Active Directory 之間建立信任。您要建立同盟的每一個網域都必須新增為單一登入網域，或是從標準網域轉換成單一登入網域。新增或轉換網域會設定 AD FS 與 Azure AD 之間的信任。如需詳細資訊，請參閱在 AD FS 與 Azure AD 之間設定信任。

5. 為目錄同步作業做好準備

   驗證系統需求、建立正確的權限，並且納入效能考量。如需詳細資訊，請參閱為目錄同步作業做好準備。在您完成這個步驟之後，確認您已完成顯示所選取解決方案設計選項的工作表。

6. 啟用目錄同步作業

   啟動公司的目錄同步作業。如需詳細資訊，請參閱啟動目錄同步作業。在您完成這個步驟之後，請確認功能已設定完成。

7. 設定您的目錄同步作業電腦

   安裝 Azure AD 同步作業工具。如果您已經安裝此工具，請瞭解如何升級、解除安裝或將它移至另一部電腦。如需詳細資訊，請參閱設定目錄同步作業電腦。在您完成這個步驟之後，請確認功能已設定完成。

8. 同步處理您的目錄

   執行初始同步作業並確認已成功同步資料。您也將會學到如何設定 Azure AD 同步作業工具來設定週期性同步作業，並學到如何強制執行目錄同步作業。如需詳細資訊，請參閱使用設定精靈同步處理您的目錄。在您完成這個步驟之後，請確認功能已設定完成。

9. 啟用同步處理的使用者

   請先在 Office 365 入口網站中啟用使用者，他們才能使用您已經訂閱的服務。這牽涉到指派使用 Office 365 的授權給他們。您可以個別或大量啟用使用者。如需詳細資訊，請參閱啟用同步處理的使用者。在您完成這個步驟之後，請確認功能已設定完成。請注意，此為選擇性步驟，只有在您使用 Office 365 時才是必要步驟。

10. 驗證解決方案。

    在使用者已經同步之後，測試登入 https://myapps.microsoft.com。您應該會被重新導向到 AD FS 登入頁面。在您已經登入且 AD FS 已經驗證使用者之後，使用者將會被重新導向回 https://myapps.microsoft.com。如果您有 Office 365 應用程式，將會出現在該處。一般使用者可在這裡登入，不需要 Azure 訂閱。

另請參閱