Управление удостоверениями для гибридных сред из одного леса с использованием проверки подлинности в облаке
Чем может помочь это руководство?
Корпоративные пользователи хотят иметь возможность использовать приложения, находящиеся в облаке, из любого места и с любого устройства, но не могут из-за отсутствия способа проверки подлинности.
Это руководство содержит проверенные инструкции касательно того, как интегрировать локальный каталог с каталогом облака, чтобы пользователи смогли использовать приложения, находящиеся в облаке, из любого места и с любого устройства. Для решения этой задачи используется облачная проверка подлинности. Пример использования локальной проверки подлинности см. в разделе Управление удостоверениями в гибридных средах с одним лесом с использованием локальной проверки подлинности.
В этом руководстве по решению:
Сценарий, постановка задачи и цели
Рекомендуемый подход к планированию и разработке для этого решения
Почему мы рекомендуем такую архитектуру?
Высокоуровневые действия для реализации этого решения
Сценарий, постановка задачи и цели
В этом разделе описаны сценарии, заявление проблемы и цели организации, используемые в данном руководстве в качестве примеров.
Сценарий
Ваша организация — предприятие среднего бизнеса. Специалисты по продажам в вашей организации работают повсеместно. При совершении сделки им необходим доступ (из расположения концентратора или через виртуальную частную сеть) к компьютеру, подсоединенному к корпоративной сети, чтобы внести сведения о сделке в пользовательское приложение, выполняющееся в корпоративной сети.
Поскольку сделки не всегда регистрируются в реальном времени, управлять запасами достаточно сложно. Это становится причиной невыполнения и задержек заказов. Кроме того, специалисты по продажам жалуются, что зачастую у них нет возможности войти в корпоративную сеть на объекте клиента или возможности вводить информацию со своих планшетов или смартфонов.
Разработчики вашей организации недавно создали новое приложение для управления взаимоотношениями с клиентами, которое упростит отправку заказов специалистами по продажам на местах с любого устройства, имеющего доступ к Интернету.
Ваша организация решила разместить это приложение в облаке. Это позволит специалистам по продажам быстро вводить сведения о сделке со своих планшетов или смартфонов в момент совершения сделки без необходимости сначала подключиться к корпоративной сети. Организация предполагает, что это значительно оптимизирует управление запасами.
Постановка задачи
Организация приняла решение, что новое приложение будет размещено в Microsoft Azure. Однако в настоящее время у организации отсутствует поставщик проверки подлинности, который сможет выполнять проверку подлинности специалистов по продаже в новом приложении, которое будет размещено в Azure.
В общем, требуется решить следующую проблему:
С точки зрения архитектора систем или ИТ-администратора, как можно предоставить пользователям общее удостоверение при доступе к ресурсам, которые являются локальными и облачными? Как управлять этими удостоверениями и сохранять информацию в разных средах синхронизированной, не расходуя на это слишком много ИТ-ресурсов?
Предоставление доступа к этому приложению возможно только при наличии у специалистов по продажам возможности выполнять аутентификацию с поставщиком аутентификации. Организация хочет ограничить круг лиц, имеющих доступ к приложению CRM, специалистами по продажам, потому что в настоящее время это единственная группа сотрудников, которой нужен доступ к приложению.
Ваша организация рассмотрела варианты и выбрала облачную аутентификацию в экземпляре Azure AD. Организация определила, что настроить такую аутентификацию будет экономичнее и проще, поскольку в настоящее время локальные экземпляры служб Active Directory Federation Services (AD FS) отсутствуют. Кроме того, поскольку специалисты по продажам работают по всему миру, облачная аутентификация обеспечит максимальное удобство работы, особенно в областях с пониженной пропускной способностью сети. Вашу организацию волнует вопрос ресурсов, необходимых для управления этими удостоверениями; на предприятии только один администратор Active Directory, и необходимо, чтобы он мог быстро настроить решение и запустить его в эксплуатацию.
Разработчики вашей организации создали дополнительный код, чтобы решить эту задачу. Теперь настройкой экземпляра Azure AD должен заняться администратор Active Directory. Администратор Active Directory должен иметь возможность использовать локальную версию Active Directory для заполнения соответствующего экземпляра Azure AD. Администратор Active Directory должен иметь возможность сделать это быстро. У него нет времени на очистку существующей среды Active Directory или воссоздание каждой учетной записи пользователя в Azure. Кроме того, организация хочет обеспечить специалистам по продажам возможность использовать тот же пароль, что и для входа в сеть предприятия. Нежелательно, чтобы специалистам по продажам приходилось помнить разные пароли.
Организационные цели
Цели организации в создании гибридного решения по идентификации следующие:
Возможность управлять удостоверениями в локальном каталоге и в облаке.
Возможность быстро настроить синхронизацию с локальным каталогом с одним лесом.
Возможность предоставить облачного поставщика проверки подлинности.
Возможность быстро настроить синхронизацию с локальным каталогом организации.
Возможность контролировать, кто выполняет синхронизацию с облаком и что с ним синхронизируется.
Возможность обеспечить безопасный вход, не отличающийся от существующего на сегодняшний день.
Возможность быстро получить чистые и хорошо управляемые локальные системы идентификации таким образом, чтобы они могли быть источником для облака.
Рекомендуемый подход к планированию и разработке для этого решения
В этом разделе описывается проектирование решения для этой проблемы, описанной в предыдущем разделе, и предоставляются важные сведения о планировании по проекту.
С помощью Azure AD организация способна интегрировать с экземпляром Azure AD локальный экземпляр службы каталогов Active Directory. Затем этот экземпляр будет использоваться для облачной проверки подлинности, как показано на следующей схеме.
В таблице ниже указаны элементы, которые являются частью структуры решения, и описываются причины, по которым было выбрано то или иное средство или приняты те или иные решения.
Элемент структуры решения |
Что входит в это решение? |
---|---|
Средство синхронизации Azure Active Directory Sync |
Используется для синхронизации объектов локального каталога с Azure AD Обзор этой технологии см. в разделе Стратегия синхронизации каталогов. |
Синхронизация паролей |
Функция средства синхронизации Azure Active Directory, синхронизирующая пользовательские пароли из локальной системы Active Directory в Azure AD. Обзор этой технологии см. в разделе Реализация синхронизации паролей. |
Инструмент исправления ошибок IdFix DirSync |
Предоставляет клиентам возможность находить и устранять большинство ошибок синхронизации объектов в лесах Active Directory. Обзор этой технологии см. в разделе Инструмент исправления ошибок IdFix DirSync. |
Синхронизация паролей — это функция средства синхронизации Azure Active Directory, синхронизирующая пользовательские пароли из локальной Active Directory в Azure AD. Благодаря этой функции пользователи могут осуществлять вход в службы Azure AD (например, Office 365, Intune и CRM Online) с использованием того же пароля, что и для входа в локальную сеть. Это обеспечит пользователям возможность осуществлять безопасный вход так же, как в корпоративную сеть.
Средство исправления ошибок DirSync IdFix можно использовать для обнаружения и исправления объектов удостоверений и их атрибутов в локальной среде Active Directory в процессе подготовки к миграции. Это позволит быстро определить проблемы, которые могут возникнуть при использовании синхронизации перед запуском синхронизации. Эти сведения помогут внести изменения в среде, чтобы избежать таких ошибок.
Почему мы рекомендуем такую архитектуру?
Такой подход рекомендуется, поскольку он решает задачи вашей организации. Так, существует два способа проверки подлинности в ресурсах на основе Azure: облачная и локальная проверка подлинности с использованием службы токенов безопасности (STS).
Основная цель организации в отношении разработки — обеспечить возможность быстрой настройки синхронизации с локальным экземпляром Active Directory. Подобный подход к разработке позволяет быстрее всего синхронизировать локальную службу Active Directory с Azure AD.
Во-вторых, организация желала предоставить пользователям возможность безопасного входа, не отличающегося от используемого сегодня. Благодаря этому подходу к разработке системы пользователи смогут выполнять вход с теми же учетными данными, что и сегодня, по той же схеме.
Высокоуровневые действия для реализации этого решения
Для реализации решения можно использовать шаги в этом разделе. Проверьте правильность развертывания каждого шага перед тем, как перейти к следующему.
Подготовьтесь к синхронизации каталогов.
Проверьте системные требования, создайте нужные разрешения и решите проблему производительности. Дополнительные сведения см. в разделе Подготовка к синхронизации каталогов. По завершении этого шага у вас должен быть заполненный лист с выбранными параметрами разработки решения.
Активируйте синхронизацию каталогов.
Активируйте синхронизацию каталогов для вашей компании. Дополнительные сведения см. в разделе Включение синхронизации каталогов. После завершения этого шага убедитесь, что у вас все компоненты настроены.
Настройте компьютер, на котором будет осуществляться синхронизация каталогов.
Установите средство синхронизации Windows Azure AD. Если вы уже сделали это, узнайте о том, как его обновлять, удалять или переносить на другие компьютеры. Дополнительные сведения см. в разделе Настройка компьютера синхронизации каталогов. После завершения этого шага убедитесь, что у вас все компоненты настроены.
Синхронизируйте каталоги.
Выполните первоначальную синхронизацию и убедитесь, что данные успешно синхронизированы. Кроме того, вы научитесь настраивать средство синхронизации Azure AD для повторяющейся синхронизации и принудительной синхронизации каталогов. Дополнительные сведения см. в разделе Использование мастера настройки для синхронизации каталогов. После завершения этого шага убедитесь, что у вас все компоненты настроены.
Активируйте синхронизированных пользователей.
Активируйте пользователей на портале Office 365, чтобы они могли пользоваться службами, на которые вы подписаны. Для этого им нужно назначить лицензию на использование Office 365. Активировать их можно по отдельности или массово. Дополнительные сведения см. в разделе Активация синхронизированных пользователей. После завершения этого шага убедитесь, что у вас все компоненты настроены. Учтите, что этот этап необязательный и является обязательным только в том случае, если вы используете Office 365.
Проверьте решение.
После синхронизации пользователей попробуйте войти на сайт https://myapps.microsoft.com. Если у вас имеются приложения Office 365, вы увидите их на сайте. Обычный пользователь может выполнить вход без подписки Azure.
См. также:
Тип содержимого |
Ссылок |
Оценка продукта и начало работы |
|
Планирование и разработка |
|
Развертывание |
|
Операции |
|
Поддержка |
Устранение неполадок синхронизации каталогов |
Ссылка |
Контрольный список: использование AD FS для внедрения и управления единым входом Определите, какой сценарий интеграции каталогов использовать |
Ресурсы сообщества |
|
Связанные решения |
Управление мобильными устройствами и ПК путем миграции на Configuration Manager с Windows Intune |
Связанные технологии |