Hvordan integrere ditt lokale Windows Server Active Directory med Windows Azure Active Directory, del 2: Integrasjon

Her er en oversikt over alle delene av denne artiklen:

Integrasjon

Du kan sette opp integrasjon mellom ditt lokale AD  og Windows Azure AD både via Office 365 portalen, Windows Intune portalen og Windows Azure AD portalen. Jeg kommer til å vise hvordan det gjøres fra Windows Azure AD portalen. Resultatet er det samme hvordan du enn velger å gjøre det. Som nevnt kan du sette opp kun Directory Sync, eller Single sign-on og Directory Sync. Å sette opp kun Single Sign On er ikke offisielt støttet og det forutsetter at du manuelt sørger for å koble sammen brukere fra ditt lokale AD og Windows Azure AD. Vi kommer til å sette opp begge, SSO og DirSync, i denne gjennomgangen.

  • Directory sync
    Brukes for å synkronisere objekter fra ditt lokale Active Directory til din Windows Azure AD tenant. Objekter som kan synkroniseres er brukere, grupper og kontakter. Etter at directory sync er satt opp vil nye og eksisterende objekter i ditt lokale AD automatisk synkroniseres til WAAD. Du kan ikke administrere synkroniserte objekter fra noen av portalene eller PowerShell. Disse må administreres fra ditt lokale AD. Passord kan ikke synkroniseres så enten må du sette egne passord i Windows Azure AD eller benytte deg av single sign-on.
  • Single sign-on
    I ditt lokale Active Directory har du allerede mekanismer for autentisering av brukere. Vanligvis logger brukerne på domenet via domenekontrollerne og får tilgang til lokale ressurser som feks mail, fil/print osv. Denne lokale autentiseringen kan utvides til også å gi tilgang til tjenester i Microsofts nettsky. Ved å benytte Active Directory Federation Services (ADFS) kan du etablere et tillitsforhold (trust) mellom ditt lokale Active Directory og skytjenestene. Et slikt tillitsforhold kalles et federation trust, og denne typen kobling mellom to parter kalles for føderasjon. I Microsoft-skyen finnes det en Security Token Service (STS) som du kan konfigure til å stole på ditt lokale Active Directory. Det betyr at når en bruker et autentisert av en av dine lokale domenekontrollere får denne utstedt en billett (token) som kan avlederes til Microsoft-skyen for å få tilgang til ressurser der uten å måtte logge på en gang til. For å få dette til trenger du en lokal STS, og det er det ADFS er.

Oppsett

Det er under Integration valget i menyen du setter opp integrasjonen. Før noe er konfigurert ser det slik ut:

clip_image001

Det er anbefalt å starte med å sette opp single-sign on og det er tema for neste del.