Gerenciar identidades para ambientes híbridos de floresta única usando a autenticação de nuvem

  • Artigo

 

Como este guia pode ajudar você?

Usuários corporativos querem ser capazes de usar aplicativos que residam na nuvem de qualquer lugar e em qualquer dispositivo, mas eles não podem porque não têm uma maneira de se autenticar.

Este guia apresenta um design testado prescritivo sobre como integrar um diretório local a um diretório de nuvem para que os usuários possam acessar facilmente aplicativos que residam na nuvem de qualquer lugar e em qualquer dispositivo. Este acesso é feito usando-se a autenticação de nuvem. Para obter um exemplo do uso da autenticação local, consulte Gerenciar identidades para ambientes híbridos de floresta única usando a autenticação local.

Problema de autenticação da nuvem

Neste guia de solução:

  • Cenário, descrição do problema e metas

  • Qual é a abordagem de planejamento e design recomendada para esta solução?

  • Por que estamos recomendando este design?

  • Quais são as etapas de alto nível para implementar esta solução?

Cenário, descrição do problema e metas

Esta seção descreve o cenário, o problema e as metas organizacionais que são úteis como exemplos para este guia.

Cenário

A organização é uma empresa de médio porte. A equipe de vendas da organização participa de tudo. Quando fazem uma venda, eles são necessários para acessar um computador integrado à rede corporativa, em um local de hub ou por meio de VPN, e inserir essa venda em um aplicativo personalizado executado na rede corporativa.

Como essas vendas nem sempre são registradas em tempo real, isso dificulta o gerenciamento dos estoques. Isso causou ordens pendentes e atrasos. Além disso, a equipe de vendas tem reclamado de que não costumam ter a capacidade de acessar a rede corporativa quando estão no local de negócios do cliente e gostaria de poder inserir as informações por meio de seus tablets ou smartphones.

Os desenvolvedores da organização desenvolveram recentemente um novo aplicativo de gerenciamento de relações com o cliente que facilitará para agentes de vendas em campo enviarem pedidos de qualquer dispositivo com acesso à Internet.

A organização optou por hospedar esse aplicativo na nuvem. Isso permitirá que a força de vendas insira rapidamente uma venda no seu tablet ou smartphone no momento da venda sem precisar se conectar à rede corporativa primeiro. A organização prevê que isso melhorará muito o gerenciamento de estoques.

Descrição do problema

A organização determinou que o novo aplicativo será hospedado no Microsoft Azure. No entanto, no momento, a organização não tem um provedor de autenticação que será capaz de autenticar a equipe de vendas para o novo aplicativo que será hospedado no Azure.

O problema geral a resolver é:

Como um ou arquiteto de sistema ou um administrador de TI, como você pode oferecer aos usuários uma identidade em comum durante o acesso a recursos locais e baseados em nuvem? Como você pode gerenciar essas identidades e manter as informações sincronizadas entre vários ambientes sem o uso excessivo de recursos de TI?

Dar acesso a esse aplicativo exigirá a capacidade de autenticar o pessoal de vendas com um provedor de autenticação. A organização deseja restringir o acesso ao aplicativo CRM para a equipe de vendas porque eles são os únicos funcionários que precisarão acessá-lo.

A organização analisou as opções e concorda em permitir a autenticação de nuvem em uma instância do Azure AD. A organização determinou que isso será mais barato e mais fácil de configurar, pois não tem todas as instâncias dos Serviços de Federação do Active Directory (AD FS) local. Além disso, como eles têm a equipe de vendas em todo o mundo, a autenticação de nuvem proporcionará uma experiência melhor, especialmente nas áreas de largura de banda baixa. A organização está preocupada com os recursos necessários para gerenciar essas identidades. Existe apenas um administrador do Active Directory e o administrador precisa ser capaz de colocar essa solução em funcionamento rapidamente.

Os desenvolvedores da sua organização adicionaram o código para que isso aconteça. Agora, ficará a cargo do administrador do Active Directory configurar sua instância do Azure AD. O administrador do Active Directory precisa ser capaz de usufruir o Active Directory local para popular a instância do Azure AD. O administrador do Active Directory deve ser capaz de fazer isso rapidamente. Ele não tem tempo para limpar o ambiente atual do Active Directory ou recriar todas as contas de usuário no Azure. Além disso, a organização deseja que a equipe de vendas seja capaz de usar a mesma senha usada ao fazer logon na rede corporativa. A organização não deseja que a equipe de vendas precise se lembrar de várias senhas.

Metas da organização

As metas da organização para a solução de identidade híbrida são:

  • Capacidade de gerenciar identidades no diretório local e na nuvem.

  • Capacidade de configurar rapidamente a sincronização com o diretório de floresta única local.

  • Capacidade de fornecer um provedor de autenticação de nuvem.

  • Capacidade de configurar rapidamente a sincronização com seu diretório local.

  • Capacidade de controlar quem e o que é sincronizado com o nuvem.

  • Capacidade de proporcionar uma experiência de logon seguro não diferente do atual.

  • Capacidade de limpar e gerenciar rapidamente sistemas de identidade local para que eles possam ser a fonte da nuvem.

Qual é a abordagem de planejamento e design recomendada para esta solução?

Esta seção descreve o design de solução que aborda o problema descrito na seção anterior e apresenta considerações de planejamento de alto nível para esse design.

Usando o Azure AD, a organização é capaz de integrar a instância local do Active Directory à instância do Azure AD. Essa instância será usada para fornecer autenticação de nuvem conforme mostra o diagrama a seguir.

Solução de autenticação de nuvem

A tabela a seguir lista os elementos que fazem parte do design da solução e descreve os motivos da escolha de cada design.

Elemento de design da solução

Por que isso está incluído nesta solução?

Ferramenta de sincronização do Active Directory do Azure

É usada para sincronizar objetos do diretório local com o Azure AD. Para obter uma visão geral dessa tecnologia, consulte Mapa da sincronização do diretório.

Sincronização de senha

Um recurso da ferramenta de sincronização do Active Directory do Azure que sincroniza as senhas de usuário do Active Directory local com o Azure AD. Para obter uma visão geral dessa tecnologia, consulte Implementar a sincronização de senha.

Ferramenta de correção de erros IdFix DirSync

Oferece aos clientes a possibilidade de identificar e corrigir a maioria dos erros de sincronização de objeto nas florestas do Active Directory. Para obter uma visão geral dessa tecnologia, consulte Ferramenta de correção de erros IdFix DirSync.

Sincronização de senha é um recurso da ferramenta de sincronização do Active Directory do Azure que sincroniza senhas de usuário do Active Directory local com o Azure AD. Esse recurso permite que os usuários façam logon nos serviços do Azure AD (como Office 365, Intune e CRM Online) usando a mesma senha que usam para fazer logon na rede local. Isso dará aos usuários a possibilidade de ter um logon seguro que seria o mesmo se estivessem fazendo logon na rede corporativa.

A ferramenta de correção de erros IdFix DirSync pode ser usada para realizar a detecção e a correção de objetos de identidade e seus atributos em um ambiente do Active Directory local em preparação para a migração. Isso permitirá identificar rapidamente qualquer problema que possa ocorrer com a sincronização antes de iniciá-la. Usando essas informações, você pode fazer alterações no ambiente de forma que você possa evitar esses erros.

Por que estamos recomendando este design?

Esse design é recomendado porque abrange as metas de design da organização. Ou seja, há duas maneiras de fornecer autenticação aos recursos baseados no Azure: por meio da autenticação de nuvem ou da autenticação local usando um STS (serviço de token de segurança).

A primeira metal do design da organização é ter a capacidade de configurar rapidamente a sincronização com a instância local do Active Directory. Esse design representa a maneira mais rápida de sincronizar o Active Directory local com o Azure AD.

Segundo, a organização queria a capacidade de fornecer uma experiência de logon segura, não diferente da atual. Usando esse design, os usuários farão logon usando o mesmo nome de usuário e senha que usam hoje, e a experiência não será diferente.

Quais são as etapas de alto nível para implementar esta solução?

É possível usar as etapas nesta seção para implementar a solução. Não se esqueça de verificar a implantação correta de cada etapa antes de passar à próxima etapa.

  1. Prepare-se para a sincronização de diretório.

    Verifique os requisitos de sistema, crie as permissões corretas e possibilite as considerações de desempenho. Para obter mais informações, consulte Preparar a sincronização de diretórios. Depois de concluir esta etapa, verifique se que você tem uma planilha preenchida, mostrando as opções de design da solução selecionadas.

  2. Ative a sincronização de diretório.

    Ative a sincronização de diretórios para a empresa. Para obter mais informações, consulte Ativar a sincronização de diretórios. Depois de concluir esta etapa, verifique se os recursos estão configurados.

  3. Configure o computador de sincronização de diretório.

    Instale a ferramenta de sincronização do Microsoft Azure AD. Se você já a instalou, saiba como atualizá-la, desinstalá-la ou movê-la para outro computador. Para obter mais informações, consulte Configurar o computador de sincronização de diretórios. Depois de concluir esta etapa, verifique se os recursos estão configurados.

  4. Sincronize os diretórios.

    Realize uma sincronização inicial e verifique se os dados estão sincronizados com êxito. Você também aprenderá a configurar a ferramenta de sincronização do AD Azure para configurar a sincronização recorrente e forçar a sincronização de diretórios. Para obter mais informações, consulte Usar o assistente de configuração para sincronizar os diretórios. Depois de concluir esta etapa, verifique se os recursos estão configurados.

  5. Ative usuários sincronizados.

    Ative os usuários no portal do Office 365 para que eles possam usar os serviços os quais você assinou. Isso envolve a atribuição de uma licença de uso do Office 365 a eles. É possível fazer isso individualmente ou em massa. Para obter mais informações, consulte Ative os usuários sincronizados. Depois de concluir esta etapa, verifique se os recursos estão configurados. Esta é uma etapa opcional e só será necessária se você estiver usando o Office 365.

  6. Verifique a solução.

    Depois que os usuários forem sincronizados, teste o logon em https://myapps.microsoft.com. Se tiver aplicativos do Office 365, você os verá aqui. Um usuário normal pode fazer logon aqui sem a necessidade de uma assinatura do Azure.

Consulte também

Tipo de conteúdo

Referências

Avaliação/introdução ao produto

Guia do laboratório de teste: Criando um ambiente do Microsoft Azure AD e do Windows Server AD usando DirSync com sincronização de senha

Guia do laboratório de teste: Criando um ambiente do Microsoft Azure AD e do Windows Server AD com federação (SSO)

Planejamento e design

Guia de design do AD FS no Windows Server 2012

Integração do diretório

Implantação

Guia de implantação do Windows Server 2012 R2 AD FS

Roteiro de sincronização de diretórios

Mapa de logon único

Operações

Operações do AD FS

Suporte

Solucionar problemas da sincronização de diretórios

Fórum do Forefront Identity Manager

Fóruns do Microsoft Azure

Referência

Lista de verificação: Usar o AD FS para implementar e gerenciar logon único

Determinar qual cenário de integração do diretório usar

Recursos da comunidade

Identidade da nuvem

Soluções relacionadas

Gerenciar dispositivos móveis e PCs migrando para o Gerenciador de Configurações com o Windows Intune

Tecnologias relacionadas

Azure

Forefront Identity Manager 2010 R2

Serviços de Federação do Active Directory