Hvordan integrere ditt lokale Windows Server Active Directory med Windows Azure Active Directory, del 1: Introduksjon
Her er en oversikt over alle delene av denne artiklen:
- Del 1: Introduksjon
- Del 2: Integrasjon
- Del 3: Single Sign On (SSO)
- Del 4: Directory sync
- Del 5: Test og feilsøking
Introduksjon
Helt siden lanseringen av Office 365 har Microsoft tilbudt et identitetslager i nettskyen. Først var dette en integrert del av Office 365 tjenesten, men nå er den re-lansert under navnet Windows Azure Active Directory (WAAD) , og fungerer nå på tvers av alle Microsofts skytjenester. Dette betyr at du nå har ett felles identitetslager i Microsofts nettsky for Office 365, Windows Azure, Windows Intune og Dynamics. Det er meget sannsynlig at fremtidige tjenester også vil benytte dette lageret til sine identitetsbehov. Så nå kan du etablere en bruker i Windows Azure Active Directory, logge på Office 365 portalen, gi brukeren en postboks, gå til Windows Azure portalen og gi tilgang til tjenester der for den samme brukeren, osv. osv. På denne måten er det nå mye enklere å gi tilgang på tvers av alle Microsofts skytjenester.
En ekstra god nyhet er at Microsoft tilbyr denne tjenesten gratis og at den en basert på veletablerte web-standarder som OAUTH og JSON. Det første betyr at du nå har fått et enterprise-klasse identitetslager helt kostnadsfritt. Det andre at du kan benytte deg av denne tjenesten nesten uansett hvor du velger å bygge applikasjonen eller tjenesten din. Uansett om din løsning kjører on-premise, i en hosted cloud eller public cloud kan du benytte deg av WAAD for alle identitetsbehov.
I Mirosofts nettsky leser nå alle tjenestene fra samme WAAD instans som er koblet til din organisasjons leietaker (tenant). Portalene for Office 365, Windows Intune og Windows Azure Active Directory er alle front-ends til denne instansen og alle endringer er derfor globale. I tillegg kan du også laste ned PowerShell cmdlets som lar det administrere WAAD fra kommandolinjen. Se slutten av denne posten for lenker.
Det er viktig å være klar over at selv om Windows Azure Active Directory deler navn med Windows Server Active Directory Directory Service (AD DS), som du mest sannsynlig kjører i ditt lokale nettverk, så har de veldig forskjellig egenskaper. Faktisk er de så forskjellige at det er enklere å forklare hva som er likt enn hva som er forskjellig. Så derfor:
Windows Server Active Directory (AD DS) og Windows Azure Active Directory (WAAD) kan begge:
- Lage, behandle og slette brukerobjekter
- Lage, behandle og slette grupper
- Lagre kontaktobjekter
- Melde brukere inn i grupper
Ingenting av det andre som AD DS kan, er foreløpig mulig i WAAD; Group Policy, OUer, maskinobjekter osv.
For å komme i gang med WAAD kan du gå til https://activedirectory.windowsazure.com/. Hvis du allerede har et Office 365 eller Windows Intune abonnement vil du kunne logge rett på med en admin-bruker derfra. Hvis ikke kan du opprette et nytt abonnement. Som sagt er dette helt kostnadsfritt.
Etter at du er logget på vil du få opp denne siden:
Du har følgende valg i menyen til venstre:
· Services
Dette er standardsiten og her får du en oversikt over hvilke tjenester du har i ditt abonnement, feks Exchange, SharePoint eller Office Desktop Apps.
· Users & Group
Her ser du alle brukerne og gruppene som er opprettet i din WAAD instans. Du kan også gjenopprette slettede brukere herfra.
· Domains
Gir deg en oversikt over alle de eksterne domene som du har registrert i WAAD. Dette inkluderer alle domener du evt tidligere har lagt til i Office 365. Du kan også administrere DNS innstillinger herfra. Hvis du ikke har registrert noen domener er denne listen tom og du benytter bare domenet du har fått tildelt av Microsoft; <din organisasjon>.onmicrosoft.com.
· Licensing
Viser det alle tilgjengelige lisenser som du kan tildele til brukere. Feks vises dine Office 365 planer her.
· Integration
Lar deg sette opp integrasjon mellom ditt lokale Windows Server Active Directory (AD DS) og Windows Azure Active Directory (WAAD). Hvis du har satt dette opp tidligere i Office 365 eller Intune vises status her. Du kan sette opp single sign-on og directory sync, eller bare directory sync.
Ditt Windows Azure Active Directory vil også være synlig i Windows Azure portalen:
Det er en stor forbedring at vi nå har fått en felles katalog for alle skytjenestene fra Microsoft, men for at vi virkelig skal kunne dra nytte av nettskyen må den kunne integreres med vårt lokale nettverk og tjenester. Det er ikke et praktisk alternativ å måtte lage hundrevis av brukere på nytt i Windows Azure Active Directory eller å forlange at alle brukerne skal ha et passord for lokale tjenester og et annet for nettskyen. Heldigvis har Microsoft en løsning på begge disse problemene og det er det vi skal se nærmere på i denne blogserien.