Azure AD Connect – budoucnost hybridních scénářů

Jeden z klíčových problémů při nasazení cloud služeb je správa identit a ověření uživatelů. Mnoho novinek do oblasti hybridní správy uživatelů přináší nový nástroj Azure AD Connect.

Hybridní identity

Jeden z klíčových problémů při nasazení cloud služeb je správa identit a ověření uživatelů. Z pohledu Office 365 bylo od jeho „zrození“ možné nasadit synchronizaci identit pomocí DirSync a SSO pomocí ADFS. Později přibyla možnost synchronizovat i „hashe hashů hesel“ tzn., dosáhli jsme stejného hesla v AD OnPrem a Azure AD. V září 2014 byla potom uvolněna nová kompletně přepracovaná verze DirSyncu pod názvem Azure AD Sync.

Takže pokud to shrneme tak existují tři možnosti jak přistoupit ke správě identit pro Office 365 potažmo Azure Active Directory:

  1. Cloud identity – správa identit i ověření je v cloudu. Uživatele spravujeme manuálně, pomocí PowerShell nebo REST API. Obecně vhodné pro malé společnosti, nebo pro společnosti, které nemají OnPrem AD.
  2. Synchronizované identity (včetně hesel) - uživatele spravujeme v OnPrem AD, ověření probíhá v cloudu, ale synchronizace hesel zajistí stejné heslo v OnPrem Ad a v AzureAD. Vhodné pro všechny velikosti společností pokud nevadí, že to není skutečné SSO, ale ověření stejným heslem.
  3. Federované identity – správa identit i ověření probíhá přes Onprem AD. Nejkomplexnější implementace. Výhoda je ve skutečném SSO, kdy např. pro webové aplikace dosáhneme Windows Integrated Authentication - tedy automatické ověření aniž by byla nutný vstup od uživatele. Dále můžeme nasadit například MFA ověření jiné než poskytuje Azure AD, ověření pomocí certifikátů, omezení přístupů k cloud zdrojům na základě umístění klienta, typicky Intranet/Internet.
Klepněte pro větší obrázek

Azure AD connect

Nasazení třetí varianty, tedy federovaných identit bylo a dodnes je poměrně komplexní záležitost. To nyní změní nástroj Azure AD connect, který "wizard" způsobem umožní nastavení druhé nebo třetí varianty a dokonce podporuje i multi forest implementace.

Azure AD connect je dnes v Preview, pojdme si tedy podívat co umí dnešní verze.

Co budeme potřebovat:

  1. Office 365 tenant
  2. Onprem AD DC, ADFS a ADFS proxy - všechno Windows 2012 R2 - nemusíme kromě DC instalovat žádné role ani další komponenty
  3. SSL certifikát
  4. Veřejnou doménu
  5. Azure AD connect spustíme na serveru, kde chceme instalovat synchronizaci identit - Azure AD sync

Nejprve doménu ověříme v Office 365 tenantu

Klepněte pro větší obrázek

Poté pokud je jméno AD forestu odlišné od veřejné domény - v mém případě je AD forest d.local, veřejná doména je o365cz.us - tak přidáme tuto domény jako alternativní UPN suffix v AD Domains and Trusts. To nám umožní nastavit uživatelské účty v AD v "mail formátu". Pozor na případné závislosti při přejmenování (PKI atp.)

Klepněte pro větší obrázek

Azure AD Connect můžeme stáhnout zde

Po stažení spustíme průvodce instalací

Klepněte pro větší obrázek

Automaticky se nainstalují komponenty, které bylo nutné dříve manuálně dohledat, stáhnout a nainstalovat

Klepněte pro větší obrázek
Klepněte pro větší obrázek

Zadáme Office 365 global admin účet a heslo

Klepněte pro větší obrázek

Express settings je jednoduché nastavení, kdy by došlo k implementaci druhé varianty z úvodu článku, tedy synchronizace identit i se synchronizací hesel.

Zkusíme zajímavější variantu ADFS SSO - tedy Customize

Klepněte pro větší obrázek

A dále vybereme Single Sign On - tedy implementaci ADFS

Klepněte pro větší obrázek

Zadáme uživatelské jméno a heslo k OnPrem forestu. Pokud nebudeme synchronizovat, žádné attributy z Cloudu do OnPrem tak stačí obyčejný Domain User. Pokud budeme chtít synchronizovat i tímto směrem z Cloud do Onprem attributy tak musí mít tento účet příslušná práva k zápisu. V tomto dialogu můžeme zadat více zdrojových forestů.

Klepněte pro větší obrázek
Klepněte pro větší obrázek

Dle preferencí vybereme volitelné vlastnosti. Exchange Hybrid deployment znamená synchronizaci Exchange attributů. Password write-back umožní uživatelům změnu hesla v Cloudu a jeho následnou synchronizaci do OnPrem AD. Tato funkcionalita vyžaduje Azure AD Premium.

Klepněte pro větší obrázek

V dalším okně vybereme, jak jsou uživatelé reprezentování ve zdrojových adresářích. To je podstatné pro multi-forest scénáře, kdy musíme synchronizačnímu nástroji sdělit, zda již máme nějakou formu synchronizace účtů mezi zdrojovými adresáři.

Klepněte pro větší obrázek

V dalším okně je opět volba podstatné pro multi-forest scénáře – SOURCE ANCHOR a USER PRINCIPAL NAME, které doporučuji nechat na default UPN pokud nejsou nějaké zásadní důvody pro změnu. Popis alternate UPN je zde ke stažení

Klepněte pro větší obrázek

Dále vybereme certifikát pro ADFS a subject name, které chceme použít pro ADFS farmu.

Klepněte pro větší obrázek

Dále vybereme server, na který chceme nainstalovat ADFS roli.

Klepněte pro větší obrázek

A server na, který chceme nainstalovat ADFS proxy roli. ADFS proxy role musí být dostupná z Internetu na portu 443 a musí mít dostupný interní ADFS server na portu 443.

Klepněte pro větší obrázek

Zadáme účet pro získání certifikátu z ADFS serveru.

Klepněte pro větší obrázek

Pokud máme DC alespoň Windows 2012 tak můžeme vybrat group Managed Service Account

Klepněte pro větší obrázek

Vybereme registrovanou doménu pro, kterou chceme nastavit federaci.

Klepněte pro větší obrázek

Zkontrolujeme stav domény před konfigurací

Klepněte pro větší obrázek

A nakonec vybereme Install. Pokud je potřeba nastavit např. synchronizaci pouze několika OU tak zvolíme nesynchronizovat AD objekty.

Klepněte pro větší obrázek

Konfigurace doběhla úspěšně a wizard ještě zkontroluje interní a externí DNS záznamy.

Klepněte pro větší obrázek
Klepněte pro větší obrázekKlepněte pro větší obrázek

Zkontrolujeme nastavení domény v Office 365 tenantu a je nastavena správně na federated.

Klepněte pro větší obrázek

V Azure AD sync nastavíme synchronizaci pouze na zvolená OU.

Klepněte pro větší obrázek

A na závěr spustíme synchronizaci

Klepněte pro větší obrázek

Azure AD connect je nástroj, který do budoucna přinese výrazné zjednodušení nastavení hybridních identit pro jednoduché i komplexní prostředí.

- Ondřej Štefka, Microsoft

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Váš názor Další článek: Intel přejmenuje úsporné čipy s nižším výkonem na Atom x3, x5 a x7

Témata článku: Software, Budoucnost, Microsoft, Cloud, Azure, Hybrid, Office.com, Úvod článku, Klíčový problém, Jednoduché nastavení, Jednoduchý NAS, Rest, Komplexní prostředí, Synchronizace, MFA, Komplexní záležitost, Přepracovaná verze, Azur Active Directory, Connect, CON, Scénář


Určitě si přečtěte

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

** Loni ajťáky vystrašilo přetečení GPS čítače týdnů ** Nemělo se stát vůbec nic, ale svět opět nebyl připravený ** Za 18 let nás ale čeká ještě něco mnohem většího

Jakub Čížek | 62

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

** Představte si biblickou potopu ** Nejprve zaniknou Děčín a Břeclav, pak i Brno a Praha ** Hlavním městem se stane Jihlava a zbytky Čechů přežijí na Kvildě

Jakub Čížek | 93

Co je TikTok: Svérázná sociální síť chytla mladé uživatele, už jich má už 1,5 miliardy

Co je TikTok: Svérázná sociální síť chytla mladé uživatele, už jich má už 1,5 miliardy

** Sociální síť TikTok získala stamiliony uživatelů a stále roste ** Jaký obsah na ní najdete a co můžete v jejím rámci čekat? ** Je to zábava pro mladé, nebo platforma pro úchyláky?

Karel Kilián | 37

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 42

Wi-Fi 6 konečně začíná dostávat smysl. Poradíme, jak ji využít

Wi-Fi 6 konečně začíná dostávat smysl. Poradíme, jak ji využít

** Na trh míří první levné Wi-Fi 6 routery ** Nabídka zařízení, zejména notebooků, každý den roste ** Poradíme, jak nejlépe přejít s domácností na Wi-Fi 6

Tomáš Holčík | 31



Aktuální číslo časopisu Computer

Test 9 bezdrátových reproduktorů

Jak ovládnout Instagram

Test levných 27" herních monitorů

Jak se zbavit nepotřebných věcí na internetu