Synchronizacja tożsamości z rozłączonych środowisk AD do Azure AD

January 2, 2020  ‐ 4 minut(a) czytania

Na początku grudnia, Alex Simons opublikował wpis na Azure Active Directory Identity Blog opisujący aprowizację (Managed provisioning). Warto zwrócić uwagę na możliwości dostarczane w ramach nowej funkcjonalności i sugerowane scenariusze użycia. 

Jeśli pracujesz w dużym środowisku, najprawdopodobniej wiesz jak wiele wyzwań stwarza zakup, połączenie lub przejęcie innej organizacji (oraz jej środowiska IT, w szczególności katalogu użytkowników oraz usług).

Rozważasz migrację lub (przynajmniej czasowe) współistnienie środowisk, zasady dostępu, przepuszczenia komunikacji sieciowej, kierunki relacji zaufania oraz licencjonowanie. To, co w lokalnych środowiskach on-premises może zająć nawet kilka lat, w chmurze udaje się osiągnąć w znacznie krótszym czasie i to z wielu powodów, z których najważniejszymi wydają mi się być:

  • większa (względem wieloletnich środowisk on-premises) homogeniczność oprogramowania;
  • konwergencja rozwiązań technologicznych oraz protokołów;
  • mniejszy rozmiar środowiska (statystycznie chmura w polskim przedsiębiorstwie to wciąż dodatek lub hybryda, a nie główne lub równoważne środowisko);
  • brak wymogu kompatybilności z przestarzałymi systemami (te zwykle zostają w on-premises i z czasem tracą na znaczeniu, aby ostatecznie zostać wygaszone).

Azure AD Connect od początku obsługuje możliwość synchronizacji kont z wielu lasów Active Directory, choć nie wszystkie scenariusze takiej synchronizacji są wspierane (z uwagi na możliwe problemy). Większość organizacji jest w stanie zsynchronizować wiele katalogów użytkowników do pojedynczego tenanta. 

image

Dzięki usłudze aprowizacji, administratorzy mogą zaopatrywać katalogi AAD w użytkowników z katalogów AD z wielu lasów Active Directory ze środowisk, które z różnych względów są odizolowane od funkcjonującej infrastruktury usług synchronizacyjnych Azure AD Connect. Jednocześnie przesuwając ciężar synchronizacji z AD do Azure AD za pomocą lekkich agentów instalowanych w źródłowym środowisku. 

Jakie z tego korzyści? Kiedy stosować aprowizację?

  • Aprowizacja z rozłączonych lasów AD do Azure AD – Rozłączone lasy mogą być pozostałością przejęć lub podziałów w przedsiębiorstwie, a nawet obsługi zewnętrznych lokacji i oddziałów. Niezależnie od powodu, aprowizacja w chmurze pozwala na szybką integrację katalogów z Azure AD.
  • Zmniejsza nakłady pracy i zużycie zasobów on-premises – Agent aprowizacji ma niewielkie wymagania i szerokie możliwości synchronizacji (konfiguracja i przetwarzanie w chmurze).
  • Wysoką dostępność – Można wdrożyć wielu agentów aprowizacji, aby zapewnić ich redundancję, w szczególności dla synchronizacji skrótów haseł (Password Hash Sync, PHS).

Czego nie załatwia aprowizacja? Kiedy nie stosować?

  • Aprowizacja nie może być stosowana równolegle z usługami synchronizacji Azure AD Connect – Konkretny las Active Directory może dostarczać użytkowników tylko jedną metodą. Nie jest wspierana synchronizacja za pomocą obu rozwiązań, podobnie z resztą, jak nie wspierane jest stosowanie dwóch lub więcej aktywnych serwerów Azure AD Connect.  
  • Nie należy stosować aprowizacji jako zapasowe rozwiązanie w scenariuszach odzyskiwania (Disaster Recovery Procedure, DRP) lub utrzymania ciągłości działania dla usług synchronizacji – W celu zwiększenia dostępności usług synchronizacji powinno się wykorzystywać architekturę z serwerami działającymi w trybie zapasowym (staging mode) oraz wysokodostępnościową instancję serwera bazodanowego.  
  • Aprowizacja nie nadaje się do testowania nowych reguł synchronizacji Azure AD Connect – Zmiany w konfiguracji katalogów oraz reguł synchronizacji najlepiej testować w dedykowanym środowisku lub na serwerze działającym w trybie staging.
  • Nie ma narzędzia, które automatyzuje migrację reguł z Azure AD Connect. 

Jakie możliwości daje aprowizacja w chmurze?

  • Synchronizacja użytkowników, w tym filtrowanie po jednostkach organizacyjnych oraz członkostwie w grupie (pilot).
  • Synchronizacja skrótów haseł (Password Hash Sync, PHS).
  • Koegzystencja z usługami synchronizacji Azure AD Connect Sync, przy czym użytkownik może przynależeć tylko do zakresu jednego narzędzia (synchronizacji albo aprowizacji).
  • Obsługa wielu modeli uwierzytelniania, w tym: synchronizacji haseł (PHS), federacji (AD FS) oraz bezproblemowego jednokrotnego logowania (Seamless SSO).
  • Rejestrowanie i podgląd zdarzeń.
  • Azure Monitor workbooks for provisioning.
  • Automatyczna aktualizacja agenta aprowizacji (Auto-upgrade).
  • Podstawowe transformacje atrybutów z użycie Microsoft Graph API.

Jak skonfigurować aprowizację? I zainstalować agenta?

Uruchomienie cloud provisioningu jest procesem dwuetapowym. W pierwszym kroku instaluje się oprogramowanie agenckie na serwerze członkowskim w domenie. Następnie konfiguruje się opcje synchronizacji w portalu Azure.

Krok 1: Pobranie i instalacja agenta aprowizacji.

1. Przed instalacją agenta należy zweryfikować wymagania wstępne, w tym:

  • Dostęp do konta z uprawnieniami globalnego administratora w docelowym tenancie Azure AD.
  • Dostępność serwera w lokalnym katalogu AD z Windows Server 2012 R2 lub nowszym.
  • Dostęp do internetu (konfiguracja zapory ogniowej oraz serwerów pośredniczących).

2. Aby pobrać pakiet instalacyjny należy przejść do Azure AD Provisioning (Preview) i zaakceptować warunki użycia i licencję.

image
image

Instalacja rozpakowuje oprogramowanie i automatycznie uruchamia kreatora pierwszego uruchomienia. 

image

W którym wskazujemy nazwę tenanta oraz zaopatrujemy agenta w odpowiednie uprawnienia w celu skonfigurowania komunikacji. 

image

Krok 2: Konfiguracja aprowizacji.

1. W sekcji Azure AD Connect należy przejść do Manage provisioning (preview).

2. Następnie zainicjować nową konfigurację za pomocą opcji New configuration.

image

3. Wynikową konfigurację należy zatwierdzić przesuwając opcję w stan Enable.

Aprowizacja użytkowników będzie wykonywana co 2 minuty zgodnie z zachowaną konfiguracją. Dodatkowe informacje znajdują się w artykule Azure AD Connect cloud provisioning tutorials. Przed wdrożeniem zachęcam do zapoznania się z całą dokumentacją online, Azure AD Connect cloud provisioning.

Jeśli macie pomysły na ulepszenia lub marzy wam się jakaś niedostępna (jeszcze) opcja możecie przesyłać propozycje w ramach Azure AD UserVoice feedback forum.

Źródło i część zrzutów ekranu: Bring identities from disconnected ADs into Azure AD with just a few clicks!

Twoje okno na chmurę

Grzegorz Głogowski

Społeczności

Dla wydawców

Dla programistów

O ile nie stwierdzono inaczej, opublikowane materiały autorskie udostępniane są na licencji Creative Commons Uznanie autorstwa-Użycie niekomercyjne-Na tych samych warunkach 4.0. W przypadku przedruków oraz tłumaczeń pewne prawa są zastrzeżone na rzecz oryginalnych twórców lub dystrybutorów.

Witrynę zasilają Netlify, Hugo i Doks.