Active Directory в облаке (часть 2)

Опубликовано: 7 Марта, 2023
Active Directory в облаке (часть 2)

Введение

В этой статье, состоящей из двух частей, мы подробно рассмотрим службы каталогов в целом и Azure Active Directory в частности, а также то, что принесет Windows 10 с точки зрения интеграции с Azure AD. В части 1 мы рассмотрели историю и эволюцию служб каталогов в Windows, начиная с NTDS еще в Windows NT 3.1 и заканчивая появлением облачных служб каталогов, таких как Azure AD.

Интеграция вашей локальной AD с Azure AD

«Гибридная сеть» на протяжении многих лет имела много разных значений. ИТ — это постоянно меняющаяся область, и терминология меняется вместе с технологией. Я помню, когда гибридной сетью называли сеть, включающую компьютеры с разными операционными системами (серверы Windows и Linux, клиенты Windows и Mac и т. д.). Сейчас, в эпоху BYOD, почти сети поддерживают несколько вычислительных платформ. Для специалистов по инфраструктуре «гибрид» когда-то означал сеть, объединяющую клиентские устройства Ethernet и Wi-Fi. Опять же, сегодня это относится к большинству бизнес-сетей.

Это эра облака, и большинство ссылок на «гибридную сеть» означают сеть, которая работает с комбинацией локальных и облачных сервисов. Это также называется «гибридным облаком». Если у вас есть локальная служба каталогов вместе с подпиской Azure с Azure AD, вы можете интегрировать их, чтобы упростить административные задачи и управлять как облачными, так и локальными приложениями, удостоверениями и устройствами из одного интерфейса, а также предоставить своим пользователям более простой и удобный вход в систему с помощью единого входа.

Первый шаг — определить, какой тип синхронизации каталогов лучше всего подходит для нужд вашей организации. Ваши варианты включают синхронизацию каталогов (DirSync) с синхронизацией паролей, DirSync с единым входом или DirSync с несколькими лесами с единым входом. Они используют средство DirSync, которое создает копию локального каталога, а затем распространяется на Azure AD. Вы устанавливаете DirSync на сервер, который является членом домена, будь то локальный сервер или сервер, работающий в Azure.

Примечание:
Не путайте DirSync от Microsoft с утилитой с открытым исходным кодом под названием DirSync Pro, которая представляет собой инструмент синхронизации и резервного копирования для Windows, Linux, Mac и других операционных систем, работающих под управлением Java.

DirSync с синхронизацией паролей

Этот метод позволит автоматически синхронизировать новых пользователей, контакты и группы, созданные в локальной Active Directory, с Azure AD, а также синхронизировать добавочные обновления, которые вы вносите в существующие учетные записи в локальной AD. Вы также сможете настроить арендатора для гибридных сценариев Office 365 (которые я подробно рассматриваю в серии статей под названием на нашем родственном веб-сайте www.cloudcomputingadmin.com). Пользователи смогут входить в систему и использовать свои локальные пароли для доступа к облачным службам, а вы можете включить облачные решения для многофакторной проверки подлинности (не локально). Вы также сможете управлять политиками паролей из локального AD.

DirSync с единым входом

Если вам нужно немного больше функциональности, то, возможно, вам лучше всего подойдет DirSync с единым входом. С его помощью вы можете включить локальные решения для многофакторной проверки подлинности, а также убедиться, что проверка подлинности пользователя выполняется в локальной AD. Вы можете внедрить единый вход с использованием корпоративных учетных данных, настроить страницу входа пользователя и ограничить доступ к облачным службам в зависимости от местоположения, типа клиента или конечной точки Exchange клиента.

DirSync с несколькими лесами и единым входом

Наличие нескольких лесов AD усложняет задачу при переходе в облако Azure. Корпорация Майкрософт рекомендует настроить единый вход перед настройкой синхронизации Active Directory с помощью FIM 2010 и соединителя Azure AD. Если вы этого не сделаете, пароль учетной записи не будет синхронизирован с учетной записью, когда учетная запись синхронизируется с Azure AD из локальной AD. Вам потребуется развернуть AD FS для единого входа.

Важной частью развертывания DirSync с несколькими лесами с единым входом является выбор уникального идентификатора для каждого пользователя, а не использование AD objectGUID, чтобы предотвратить дублирование или двусмысленность. Это важно, если пользователь перемещается из одного леса в другой. Этот уникальный идентификатор должен оставаться неизменным в течение всего времени существования объекта и должен быть заполнен в Active Directory при создании объекта. Этот уникальный идентификатор также должен быть сохранен, если/когда объект перемещается из одного леса в другой.

Интеграция ваших приложений с Azure AD

Есть большая вероятность, что вы захотите, чтобы некоторые из ваших внутренних приложений могли использовать Azure Active Directory для проверки подлинности. Прежде чем приложение сможет сделать это, оно должно быть зарегистрировано в каталоге, чтобы Azure AD мог взаимодействовать с ним и отправлять информацию после аутентификации пользователя. Если вы хотите, чтобы приложение было доступно для пользователей в другой организации, вам необходимо включить для приложения расширенный доступ.

Регистрация приложения в Azure AD выполняется через портал управления Azure. Процесс довольно прост. Выбрав Active Directory, а затем соответствующий каталог, вы просто нажимаете «Приложения», а затем «Добавить приложение» или выбираете ярлык и просто нажимаете кнопку «Добавить» на панели команд. Следуйте инструкциям мастера, выбрав Добавить приложение, которое разрабатывает моя организация, и введите имя приложения в диалоговом окне Расскажите нам о своем приложении. Вам также потребуется ввести тип приложения (веб-приложение и/или веб-API или собственное клиентское приложение). Собственное клиентское приложение — это приложение, установленное на телефоне или другом устройстве.

Вам также потребуется ввести URL-адрес входа и URI идентификатора приложения для веб-приложений или URI перенаправления для собственных клиентских приложений. Это делается на странице свойств приложения мастера. Вы можете добавить параметры в зависимости от типа приложения, а затем обновить его, чтобы пользователи могли входить в него, или настроить его так, чтобы пользователи из других организаций могли получить к нему доступ.

Мультитенантные приложения

Приложения с несколькими арендаторами — это те, к которым могут получить доступ пользователи за пределами вашей организации (приложения, к которым могут получить доступ только сотрудники вашей организации, достаточно логично называются приложениями с одним арендатором). Однопользовательские приложения должны быть подготовлены только в одном каталоге. Мультитенантные приложения должны быть подготовлены в нескольких каталогах. Приложение SaaS, поставляемое поставщиком SaaS, является многопользовательским приложением.

Чтобы сделать приложение доступным для внешних пользователей в качестве многопользовательского приложения, необходимо обновить его определение приложения. Вы делаете это через портал управления Azure. Когда вы выбираете приложение, которое хотите настроить в Active Directory | Приложения, разверните раздел Настройка мультитенантного приложения и щелкните Настроить сейчас. Там, где написано «Приложение является многопользовательским», просто выберите «Да», а затем «Сохранить». Это все, что нужно сделать с вашей стороны.

Теперь пользователи и администраторы в других организациях должны предоставить доступ к вашему приложению. Это можно сделать на веб-странице регистрации, использующей Azure AD OAuth2.0 или OpenID Connect, где приложение может получить информацию о новом пользователе. Веб-приложения также могут быть построены таким образом, что администратор может зарегистрировать всю компанию, а не отдельных пользователей.

Windows 10 и Azure AD

В дополнение к возможности стать членами локальных доменов Active Directory, как это делали (некоторые) клиентские операционные системы Windows на протяжении многих лет, в Windows 10 Microsoft добавляет возможность подключения к Azure Active Directory. Пользователи могут входить на свои устройства с Windows 10 со своими учетными записями Azure AD. Они могут получить доступ к бизнес-приложениям с помощью своих идентификаторов Azure.

Windows 10 также будет оптимизирована для эффективной работы в гибридной локальной среде AD и Azure AD. Чтобы присоединить устройство Windows 10 к Azure AD, вы должны сначала убедиться, что вы включили регистрацию устройства в Azure Active Directory. Чтобы сделать это через портал управления Azure, вам нужно перейти к Azure AD и в разделе «Настроить» выберите «Да» для параметра «Включить присоединение к рабочему месту».

Затем вам нужно настроить параметры на вашем устройстве с Windows 10, чтобы разрешить ему подключаться к Azure AD. Обратите внимание, что следующие инструкции основаны на предварительном коде, поэтому перед финальным выпуском Windows 10 все может измениться. Для этого перейдите в настройки системы и в разделе «Присоединиться к домену» вы увидите параметр « Подключиться к облаку». Выберите это, и вы увидите диалоговое окно под названием Cloud Experience Host. Нажмите «Продолжить» на первой странице и введите имя пользователя и пароль Azure AD на странице «Настройка Windows для этого рабочего или учебного компьютера». Нажмите кнопку Войти.

Вам может быть предложено обновить пароль, если вы впервые входите в систему. После этого ваше устройство будет зарегистрировано в Azure AD, и вы сможете увидеть его в списке Устройства в учетной записи пользователя Azure AD. Статус должен отображаться как «Включено», а тип доверия — как «Присоединение к AAD». Теперь вы можете перезапустить устройство с Windows 10 и снова войти в систему, используя свои учетные данные Azure AD. Вам нужно будет ввести PIN-код; если вам нужен более сложный PIN-код, снимите флажок Использовать простой PIN-код.

Резюме

Azure Active Directory предоставляет пользователям беспрепятственный и простой опыт работы в гибридной среде практически с любым типом устройств, а администраторам больше контроля и спокойствия благодаря возможности поддерживать безопасную интеграцию между локальными и облачными серверами, приложениями и Ресурсы. В ближайшие месяцы Microsoft, несомненно, будет настраивать работу Windows 10 и Azure AD, чтобы организациям было проще, чем когда-либо, перенести некоторые или все свои вычисления в облако.