Управление удостоверениями для гибридных сред из одного леса с использованием локальной проверки подлинности

 

Чем может помочь это руководство?

Корпоративные пользователи хотят иметь возможность использовать приложения, находящиеся в облаке, из любого места и с любого устройства, но не могут из-за отсутствия способа проверки подлинности. Корпоративная ИТ-служба хочет предоставить пользователям возможность проверки подлинности в этих приложениях в облаке, а также хочет иметь возможность в режиме реального времени контролировать, кто имеет доступ к этим приложениям.

Это руководство содержит проверенные инструкции касательно того, как интегрировать локальный каталог с каталогом облака, чтобы пользователи смогли использовать приложения, находящиеся в облаке, из любого места и с любого устройства. Это можно сделать с помощью локальной проверки подлинности. Пример использования проверки подлинности в облаке см. в статье Управление удостоверениями для гибридных сред из одного леса с использованием проверки подлинности облака.

Локальная проблема

В этом руководстве по решению:

  • Сценарий, постановка задачи и цели

  • Рекомендуемый подход к планированию и разработке для этого решения

  • Почему мы рекомендуем такую архитектуру?

  • Высокоуровневые действия для реализации этого решения

Сценарий, постановка задачи и цели

В этом разделе описаны сценарий, проблемы и цели вымышленной организации.

Сценарий

Ваша организация — корпорация большого размера с офисами по всему миру, включая Северную и Южную Америку, Европу и Азию. Отделы исследований и разработки (R & D) работают в основном в Северной Америке и Европе. Они разрабатывают формулы, которые будут использоваться в центрах производства, расположенных в основном в Азии.

Команды R & D работают в тесном контакте, когда разрабатывают новые формулы или совершенствуют существующие. Это включает выполнение аналогичных, стандартизированных тестов на оборудовании в Северной Америке и Европе, а затем общее обсуждение результатов. Результаты затем утверждаются, и разработка новых формул завершается. Эти формулы считаются секретными и защищаются патентами. После завершения процесса формулы отправляются на предприятие для начала производства.

В настоящее время, если член команды R&D хочет поделиться результатами с другими подразделениями компании или отправить формулы на производство в Азии, команда использует шифрованную файловую систему (EFS) для шифрования и отправки файлов по электронной почте . Сотрудник на противоположном конце расшифровывает файлы.

У вашей организации есть несколько проблем при выполнении текущего процесса.

  • Конфиденциальность: данные передаются по электронной почте и, хотя они зашифрованы, по-прежнему подвержены взлому через Интернет. Кроме того, многие сотрудники получают доступ к электронной почты с собственных устройств и не гарантируется, что эти устройства защищены.

  • Целостность: сертификат файловой системы EFS, используемый для шифрования файлов, необходимо экспортировать и переслать по месту назначения. Пользователи применяют электронную почту для отправки этих сертификатов, что может нарушить целостность сертификата.

  • Конфиденциальность: для шифрования результатов тестов и формул часто используется одинаковый сертификат. Сотрудники на производственных фабриках будут иметь возможность расшифровать эти результаты, даже если получат их копию по ошибке.

Для решения этих проблем вашей организацией решено настроить Office 365 SharePoint в облаке и использовать его в качестве портала для совместного использования результатов тестов и формул. Однако организация хочет использовать свою локальную Active Directory в качестве службы проверки подлинности и не использовать проверку подлинности в облаке.

Постановка задачи

У организации имеется в данный момент поставщик проверки подлинности, локальная служба Active Directory, но этот поставщик не способен выполнить проверку подлинности сотрудников на новых сайтах Office 365 SharePoint, которые будут размещаться в Azure.

Общая проблема, которую организации нужно решить:

С точки зрения архитектора систем или ИТ-администратора, как можно предоставить пользователям общее удостоверение при доступе к ресурсам, которые являются локальными и облачными? И как можно управлять эти удостоверения и сохранять данные синхронизированными в нескольких средах без использования большого числа ИТ-ресурсов?

Предоставление доступа к сайтам SharePoint вашей организации потребует возможности проверки подлинности сотрудников поставщиком проверки подлинности, локальным экземпляром службы каталогов Active Directory. Кроме того, организации необходимо ограничить доступ только сотрудниками R&D и производства, которым требуется доступ к сайтам. В настоящее время они являются единственными, кому потребуется доступ к сайтам.

После рассмотрения вариантов решено, что можно использовать существующий экземпляр служб федерации Active Directory (AD FS) для использования локальной проверки подлинности и с Azure. Организация настроила AD FS несколько лет назад. Это сэкономит время и средства, так как ИТ-специалисты уже знакомы с использованием Служб федерации Active Directory.

Управление утвердило покупку подписок на Office 365 и Azure. Теперь задача администраторов Active Directory — настроить экземпляр Azure AD и создать его федерацию с локальной службой Active Directory.

Администраторы Active Directory должны иметь возможность использовать локальную Active Directory для заполнения экземпляра Azure AD. Администраторы Active Directory должны иметь возможность сделать это быстро. Далее администраторам Active Directory необходимо создать федерацию локального экземпляра службы каталогов Active Directory с Azure AD. Кроме того, организация хочет, чтобы у сотрудников, которые будут осуществлять доступ на сайты SharePoint, был по-настоящему единый вход. Кроме того, нужно, чтобы после входа в корпоративную сеть они имели доступ только к этим сайтам. Организации не нужно, чтобы эти сайты были доступны с внешних компьютеров или устройств. Организации нужна возможность быстрого отключения учетной записи пользователя в случае разделения таким образом, чтобы пользователь не имел доступа к сайту SharePoint после отключения его учетной записи. Наконец, вашей организации хотелось бы иметь возможность настроить страницы входа в систему, чтобы пользователи понимали, что они входят в сеть предприятия.

Организационные цели

Цели организации в создании гибридного решения по идентификации следующие:

  • Возможность управлять удостоверениями в локальном каталоге с удостоверениями в облаке.

  • Возможность быстро настроить синхронизацию с локальным каталогом с одним лесом.

  • Возможность предоставления локального каталога проверки подлинности.

  • Возможность контролировать, кто выполняет синхронизацию с облаком и что с ним синхронизируется.

  • Возможность предоставления единого входа (SSO). Получение оповещений при сбое процессов синхронизации или единого входа.

  • Возможность ограничить доступ только пользователями R&D и производства, которые входят с защищенного локального расположения.

  • Возможность предотвращения доступа пользователя в режиме реального времени к облачным ресурсам при разделении.

  • Возможность быстро получить чистые и хорошо управляемые локальные системы идентификации таким образом, чтобы они могли быть источником для облака.

  • Возможность настройки страницы входа в систему, чтобы она отражала корпоративную систему удостоверений.

Рекомендуемый подход к планированию и разработке для этого решения

В этом разделе описывается проектирование решения для этой проблемы, описанной в предыдущем разделе, и предоставляются важные сведения о планировании по проекту.

С помощью Azure AD организация способна интегрировать с экземпляром Azure AD локальный экземпляр службы каталогов Active Directory. Этот экземпляр будет использоваться для перенаправления пользователей на страницу входа в AD FS, где им будут выдаваться токены, которые затем представляются Azure AD, после чего проверка подлинности будет считаться пройденной.

Локальное решение

В следующей таблице перечислены элементы, которые являются частью структуры этого решения, и описана причина выбора того или иного элемента.

Элемент структуры решения

Что входит в это решение?

Средство синхронизации Azure Active Directory Sync

Используется для синхронизации объектов локального каталога с Azure AD Обзор этой технологии см. в разделе Стратегия синхронизации каталогов.

Службы федерации Active Directory

Компонент Windows Server 2012 R2, называемый службой маркеров безопасности (STS), использует Active Directory в качестве хранилища своих удостоверений. Служба токенов безопасности в AD FS может выдавать токены безопасности при вызове с помощью различных протоколов, включая OAuth, WS-Trust, WS-Federation и язык разметки проверочного утверждения безопасности (SAML) 2.0. Общие сведения об этой технологии см. в разделеОбзор служб федерации Active Directory.

Инструмент исправления ошибок IdFix DirSync

Предоставляет пользователям возможность идентифицировать и исправить большинство ошибок синхронизации объектов в их лесах Active Directory. Обзор этой технологии см. в разделе Инструмент исправления ошибок IdFix DirSync.

Службы федерации Active Directory — это компонент Windows Server 2012 R2, который позволяет создать федерацию между локальными службами Active Directory и Azure AD. Эта возможность позволяет пользователям регистрироваться в их службах Azure AD (например, Office 365, Intune и CRM Online) с помощью единого входа. Это предоставит пользователям возможность единого входа, использующего локальный экземпляр службы каталогов Active Directory в качестве службы проверки подлинности.

Средство исправления ошибок DirSync IdFix можно использовать для обнаружения и исправления объектов удостоверений и их атрибутов в локальной среде Active Directory в процессе подготовки к миграции. Это позволит быстро определить проблемы, которые могут возникнуть при использовании синхронизации перед запуском синхронизации. Эти сведения помогут внести изменения в среде, чтобы избежать таких ошибок.

Почему мы рекомендуем такую архитектуру?

Такой подход рекомендуется, поскольку он решает задачи вашей организации. То есть существует два способа для предоставления проверки подлинности при доступе к ресурсам Azure: через облачную или локальную проверку подлинности с помощью STS.

Одной из основных забот вашей организации является наличие возможности в режиме реального времени остановить доступ пользователя к ресурсам на основе облака при разделении корпорации. Имеется задержка до трех часов, связанная с использованием средства синхронизации Azure Active Directory и проверкой подлинности в облаке. То есть при отключении учетной записи локального пользователя выполнение отключения может занять до трех часов для отражения в Azure. Это не так, если пользователь должен вернуться к локальной среде и проверке подлинности. При локальном отключении учетной записи пользователя этот пользователь не сможет получать маркер и не будет авторизован для доступа к ресурсам облака.

Ваша организация хочет получить возможность единого входа. Это можно сделать только путем интеграции локального экземпляра службы каталогов Active Directory с Azure AD.

Настраивать страницу входа можно только с помощью средств настройки служб федерации Active Directory и AD FS.

Высокоуровневые действия для реализации этого решения

Для реализации решения можно использовать шаги в этом разделе. Проверьте правильность развертывания каждого шага перед тем, как перейти к следующему.

  1. Подготовка для единого входа (SSO)

    Чтобы подготовиться, необходимо убедиться, что ваша среда соответствует требованиям для единого входа, и проверить, что настройки Active Directory и клиента Azure AD соответствуют требованиям единого входа. Дополнительные сведения см. в разделе Подготовка к использованию единого входа.

  2. Настройка локальной службы маркеров безопасности — AD FS

    После подготовки среды для единого входа необходимо настроить новую локальную инфраструктуру служб федерации Active Directory для предоставления локальным и удаленным пользователям Active Directory доступа в облачную службу с единым входом. Если вы используете службы федерации Active Directory в производственной среде, их можно использовать для развертывания единого входа, а не настраивать новую инфраструктуру, поскольку они поддерживаются Azure AD. Для получения дополнительных сведений о том, как приступить к работе с настройкой службы токенов безопасности AD FS, выполните действия, описанные в разделе Контрольный список: использование AD FS для внедрения и управления единым входом.

  3. Установите Windows PowerShell для создания единого входа с помощью служб федерации Active Directory

    Можно загрузить модуль AD Azure для Windows PowerShell для управления данными вашей организации в Azure AD. Этот модуль устанавливает набор командлетов Windows PowerShell для настройки доступа с единым входом к Azure AD и, в свою очередь, ко всем облачным службам, на которые вы подписаны. Дополнительные сведения см. в разделе Установка Windows PowerShell для единого входа с помощью AD FS.

  4. Установите доверие между AD FS и Azure AD

    Необходимо установить доверие между Azure AD и локальными службами Active Directory. Каждый домен, который требуется объединить в федерацию, нужно добавить как домен с единым входом или преобразовать в домен с единым входом из стандартного домена. Добавление или преобразование домена устанавливает доверие между AD FS и Azure AD. Дополнительные сведения см. в разделе Установка доверия между AD FS и Azure AD.

  5. Подготовка к синхронизации службы каталогов

    Проверьте системные требования, создайте нужные разрешения и решите проблему производительности. Дополнительные сведения см. в разделе Подготовка к синхронизации каталогов. По завершении этого шага у вас должен быть заполненный лист с выбранными параметрами разработки решения.

  6. Включение синхронизации службы каталогов

    Активируйте синхронизацию каталогов для вашей компании. Дополнительные сведения см. в разделе Включение синхронизации каталогов. После завершения этого шага убедитесь, что у вас все компоненты настроены.

  7. Настройте компьютер синхронизации каталогов

    Установите средства синхронизации Azure AD Synchronization Tool. Если вы уже сделали это, узнайте о том, как его обновлять, удалять или переносить на другие компьютеры. Дополнительные сведения см. в разделе Настройка компьютера синхронизации каталогов. После завершения этого шага убедитесь, что у вас все компоненты настроены.

  8. Синхронизация служб каталогов

    Выполните первоначальную синхронизацию и убедитесь, что данные успешно синхронизированы. Кроме того, вы научитесь настраивать средство синхронизации Azure AD для повторяющейся синхронизации и принудительной синхронизации каталогов. Дополнительные сведения см. в разделе Использование мастера настройки для синхронизации каталогов. После завершения этого шага убедитесь, что у вас все компоненты настроены.

  9. Активация синхронизированных пользователей

    Активируйте пользователей на портале Office 365, чтобы они могли пользоваться службами, на которые вы подписаны. Для этого им нужно назначить лицензию на использование Office 365. Активировать их можно по отдельности или массово. Дополнительные сведения см. в разделе Активация синхронизированных пользователей. После завершения этого шага убедитесь, что у вас все компоненты настроены. Учтите, что этот этап необязательный и является обязательным только в том случае, если вы используете Office 365.

  10. Проверьте решение.

    После синхронизации пользователей проверьте вход на сайт http://myapps.microsoft.com. Вы должны быть перенаправлены на страницу входа служб федерации Active Directory. После входа и проверки AD FS подлинности пользователя он будет перенаправлен на http://myapps.microsoft.com. Если у вас имеются приложения Office 365, вы увидите их на сайте. Обычный пользователь может выполнить вход без подписки Azure.

Дополнительные сведения

Тип содержимого

Ссылок

Оценка продукта / начало работы

Руководство по лаборатории тестирования: создание среды служб Azure AD и Windows Server AD с использованием функции синхронизации каталогов и паролей 

Руководство по лаборатории тестирования: создание среды служб Azure AD и Windows Server AD с функцией федерации (единый вход)

Планирование и разработка

Руководство по разработке служб AD FS в Windows Server 2012

Интеграция каталогов

Развертывание

Руководстве по развертыванию AD FS Windows Server 2012 R2

Схема синхронизации каталогов

Стратегия внедрения единого входа

Операции

Операции AD FS

Поддержка

Устранение неполадок синхронизации каталогов

Форум по Forefront Identity Manager

Форумы Azure

Ссылка

Контрольный список: использование AD FS для внедрения и управления единым входом

Определите, какой сценарий интеграции каталогов использовать

Ресурсы сообщества

Управление удостоверениями в облаке

Связанные решения

Оптимизированное управление для мобильных устройств и компьютеров в гибридной среде

Связанные технологии

Azure

Forefront Identity Manager 2010 R2

Службы федерации Active Directory