27
Fotogalerie

Azure AD Connect – budoucnost hybridních scénářů

Jeden z klíčových problémů při nasazení cloud služeb je správa identit a ověření uživatelů. Mnoho novinek do oblasti hybridní správy uživatelů přináší nový nástroj Azure AD Connect.

Hybridní identity

Jeden z klíčových problémů při nasazení cloud služeb je správa identit a ověření uživatelů. Z pohledu Office 365 bylo od jeho „zrození“ možné nasadit synchronizaci identit pomocí DirSync a SSO pomocí ADFS. Později přibyla možnost synchronizovat i „hashe hashů hesel“ tzn., dosáhli jsme stejného hesla v AD OnPrem a Azure AD. V září 2014 byla potom uvolněna nová kompletně přepracovaná verze DirSyncu pod názvem Azure AD Sync.

Takže pokud to shrneme tak existují tři možnosti jak přistoupit ke správě identit pro Office 365 potažmo Azure Active Directory:

  1. Cloud identity – správa identit i ověření je v cloudu. Uživatele spravujeme manuálně, pomocí PowerShell nebo REST API. Obecně vhodné pro malé společnosti, nebo pro společnosti, které nemají OnPrem AD.
  2. Synchronizované identity (včetně hesel) - uživatele spravujeme v OnPrem AD, ověření probíhá v cloudu, ale synchronizace hesel zajistí stejné heslo v OnPrem Ad a v AzureAD. Vhodné pro všechny velikosti společností pokud nevadí, že to není skutečné SSO, ale ověření stejným heslem.
  3. Federované identity – správa identit i ověření probíhá přes Onprem AD. Nejkomplexnější implementace. Výhoda je ve skutečném SSO, kdy např. pro webové aplikace dosáhneme Windows Integrated Authentication - tedy automatické ověření aniž by byla nutný vstup od uživatele. Dále můžeme nasadit například MFA ověření jiné než poskytuje Azure AD, ověření pomocí certifikátů, omezení přístupů k cloud zdrojům na základě umístění klienta, typicky Intranet/Internet.
clip_image002_136684A4.jpg

Azure AD connect

Nasazení třetí varianty, tedy federovaných identit bylo a dodnes je poměrně komplexní záležitost. To nyní změní nástroj Azure AD connect, který "wizard" způsobem umožní nastavení druhé nebo třetí varianty a dokonce podporuje i multi forest implementace.

Azure AD connect je dnes v Preview, pojdme si tedy podívat co umí dnešní verze.

Co budeme potřebovat:

  1. Office 365 tenant
  2. Onprem AD DC, ADFS a ADFS proxy - všechno Windows 2012 R2 - nemusíme kromě DC instalovat žádné role ani další komponenty
  3. SSL certifikát
  4. Veřejnou doménu
  5. Azure AD connect spustíme na serveru, kde chceme instalovat synchronizaci identit - Azure AD sync

Nejprve doménu ověříme v Office 365 tenantu

clip_image004_4D77E234.png

Poté pokud je jméno AD forestu odlišné od veřejné domény - v mém případě je AD forest d.local, veřejná doména je o365cz.us - tak přidáme tuto domény jako alternativní UPN suffix v AD Domains and Trusts. To nám umožní nastavit uživatelské účty v AD v "mail formátu". Pozor na případné závislosti při přejmenování (PKI atp.)

clip_image006_7618DEEC.jpg

Azure AD Connect můžeme stáhnout zde

Po stažení spustíme průvodce instalací

clip_image008_0C04E1EE.jpg

Automaticky se nainstalují komponenty, které bylo nutné dříve manuálně dohledat, stáhnout a nainstalovat

clip_image010_6D5088B3.jpg
clip_image012_20AEDCC1.jpg

Zadáme Office 365 global admin účet a heslo

clip_image014_463D7B84.jpg

Express settings je jednoduché nastavení, kdy by došlo k implementaci druhé varianty z úvodu článku, tedy synchronizace identit i se synchronizací hesel.

Zkusíme zajímavější variantu ADFS SSO - tedy Customize

clip_image016_20D618C7.jpg

A dále vybereme Single Sign On - tedy implementaci ADFS

clip_image018_3ACC699A.jpg

Zadáme uživatelské jméno a heslo k OnPrem forestu. Pokud nebudeme synchronizovat, žádné attributy z Cloudu do OnPrem tak stačí obyčejný Domain User. Pokud budeme chtít synchronizovat i tímto směrem z Cloud do Onprem attributy tak musí mít tento účet příslušná práva k zápisu. V tomto dialogu můžeme zadat více zdrojových forestů.

clip_image020_310992D3.jpg
clip_image022_3D99D0A0.jpg

Dle preferencí vybereme volitelné vlastnosti. Exchange Hybrid deployment znamená synchronizaci Exchange attributů. Password write-back umožní uživatelům změnu hesla v Cloudu a jeho následnou synchronizaci do OnPrem AD. Tato funkcionalita vyžaduje Azure AD Premium.

clip_image024_2CB7BD61.jpg

V dalším okně vybereme, jak jsou uživatelé reprezentování ve zdrojových adresářích. To je podstatné pro multi-forest scénáře, kdy musíme synchronizačnímu nástroji sdělit, zda již máme nějakou formu synchronizace účtů mezi zdrojovými adresáři.

clip_image026_2288B3A5.jpg

V dalším okně je opět volba podstatné pro multi-forest scénáře – SOURCE ANCHOR a USER PRINCIPAL NAME, které doporučuji nechat na default UPN pokud nejsou nějaké zásadní důvody pro změnu. Popis alternate UPN je zde ke stažení

clip_image028_79391DB9.jpg

Dále vybereme certifikát pro ADFS a subject name, které chceme použít pro ADFS farmu.

clip_image030_5A84C47F.jpg

Dále vybereme server, na který chceme nainstalovat ADFS roli.

clip_image032_108BD43E.jpg

A server na, který chceme nainstalovat ADFS proxy roli. ADFS proxy role musí být dostupná z Internetu na portu 443 a musí mít dostupný interní ADFS server na portu 443.

clip_image034_5CE5F890.jpg

Zadáme účet pro získání certifikátu z ADFS serveru.

clip_image036_305F595B.jpg

Pokud máme DC alespoň Windows 2012 tak můžeme vybrat group Managed Service Account

clip_image038_3F9852D9.jpg

Vybereme registrovanou doménu pro, kterou chceme nastavit federaci.

clip_image040_6760E9A7.jpg

Zkontrolujeme stav domény před konfigurací

clip_image042_4B554C1E.png

A nakonec vybereme Install. Pokud je potřeba nastavit např. synchronizaci pouze několika OU tak zvolíme nesynchronizovat AD objekty.

clip_image044_7FAE20B9.jpg

Konfigurace doběhla úspěšně a wizard ještě zkontroluje interní a externí DNS záznamy.

clip_image046_3CD46CF0.jpg
clip_image048_42456E45.jpg

Zkontrolujeme nastavení domény v Office 365 tenantu a je nastavena správně na federated.

clip_image050_18678AC1.png

V Azure AD sync nastavíme synchronizaci pouze na zvolená OU.

clip_image052_087FF810.jpg

A na závěr spustíme synchronizaci

clip_image053_5716A51E.png

Azure AD connect je nástroj, který do budoucna přinese výrazné zjednodušení nastavení hybridních identit pro jednoduché i komplexní prostředí.

- Ondřej Štefka, Microsoft

Určitě si přečtěte

Články odjinud