Administración de identidades para entornos híbridos de bosque único usando la autenticación de nube
¿Cómo puede ayudarle esta guía?
Los usuarios corporativos quieren usar aplicaciones que residan en la nube desde cualquier lugar y cualquier dispositivo, pero no pueden hacerlo porque no disponen de métodos de autenticación.
Esta guía ofrece instrucciones de diseño comprobadas para integrar un directorio local con un directorio en la nube, de modo que los usuarios puedan acceder fácilmente a las aplicaciones que residen en la nube desde cualquier lugar y cualquier dispositivo. Este acceso se logra con la autenticación en la nube. Para obtener un ejemplo de uso de la autenticación local, vea Administración de identidades para entornos híbridos de bosque único con la autenticación local.
En esta guía de soluciones:
Escenario, declaración del problema y objetivos
¿Cuál es el enfoque de diseño y planificación de esta solución?
¿Por qué recomendamos este diseño?
¿Cuáles son los pasos de alto nivel para implementar esta solución?
Escenario, declaración del problema y objetivos
En esta sección se describen un escenario, una declaración del problema y unos objetivos de la organización que son útiles como ejemplos para esta guía.
Escenario
Su organización es una empresa mediana. El personal de ventas de su organización trabaja fuera. Cuando realizan una venta, se les requiere que accedan a un equipo que se une a la red corporativa, ya sea desde una ubicación del concentrador o a través de VPN, y que indiquen esa venta en una aplicación personalizada que se ejecuta en la red corporativa.
Dado que dichas ventas no siempre se registran en tiempo real, se producen problemas de administración. Esto ha llevado a retrasos en los pedidos y otro tipo de retrasos. Además, el personal de ventas se queja de que a menudo no puede acceder a la red corporativa cuando está en los locales del cliente y les gustaría poder indicar esta información con sus tabletas o smartphones.
Los desarrolladores de su organización han desarrollado recientemente una nueva aplicación de administración de relaciones de cliente que facilitará a los agentes de ventas sobre el campo enviar pedidos desde cualquier dispositivo que tenga acceso a Internet.
La organización ha decidido hospedar esta aplicación en la nube. Esto permitirá al equipo de ventas especificar rápidamente una venta desde la tableta o smartphone en el momento de la venta sin necesidad de conectarse primero a la red corporativa. La organización cree que esto mejorará enormemente la administración de inventario.
Declaración del problema
La organización ha determinado que la nueva aplicación se hospedará en Microsoft Azure. Sin embargo, actualmente, su organización no tiene un proveedor de autenticación que pueda autenticar el personal de ventas para la nueva aplicación que se hospedará en Azure.
Quiere solucionar el problema general siguiente:
En calidad de arquitecto de sistemas o administrador de TI, ¿cómo puede proporcionar a los usuarios una identidad común cuando obtengan acceso a los recursos locales y basados en la nube? ¿Cómo puede administrar estas identidades y mantener la información sincronizada en varios entornos sin utilizar demasiados recursos de TI?
Para proporcionar acceso a esta aplicación se requiere la capacidad de autenticar al personal de ventas con un proveedor de autenticación. La organización quiere restringir el acceso a la aplicación de CRM al personal de ventas porque actualmente son los únicos empleados que van a necesitar acceder a ella.
También ha buscado opciones y acepta permitir la autenticación de nube en una instalación de Azure AD. La organización ha determinado que será menos costoso y más fácil de configurar, ya que actualmente no tiene ninguna instalación local de los Servicios federación de Active Directory (AD FS). Además, como tiene personal de ventas por todo el mundo, la autenticación de nube proporcionará una mejor experiencia, especialmente en las áreas de ancho de banda bajo. A la organización le preocupan los recursos necesarios para administrar estas identidades. Hay solo un administrador de Active Directory y este debe poder instalar y poner en marcha rápidamente la solución.
Los desarrolladores de la organización agregaron el código para que esto suceda. Ahora es tarea del administrador de Active Directory configurar su instancia de Azure AD. Necesita aprovechar la instalación local de Active Directory para rellenar su instalación de Azure AD. y poder hacerlo rápidamente. No tiene tiempo para limpiar su entorno actual de Active Directory ni para volver a crear las cuentas de todos los usuarios en Azure. Además, la organización quiere que el personal de ventas pueda usar la misma contraseña que usa cuando inicia sesión en la red corporativa. Por otra parte, no quiere que el personal de ventas tenga que recordar varias contraseñas.
Objetivos de la organización
Los objetivos de la organización para su solución de identidad híbrida son:
Capacidad de administrar identidades en el directorio local y en la nube.
Capacidad de configurar rápidamente la sincronización con el directorio de bosque único local.
Capacidad de proporcionar un proveedor de autenticación en la nube.
Capacidad de configurar rápidamente la sincronización con su directorio local.
Capacidad de controlar quién y qué se sincroniza con la nube.
Capacidad para ofrecer una experiencia de inicio de sesión segura que no sea diferente de la que tiene actualmente.
Capacidad de limpiar con rapidez y administrar correctamente los sistemas de identidad local, de forma que puedan ser el origen de cara a la nube.
¿Cuál es el enfoque de diseño y planificación de esta solución?
Esta sección describe el diseño de la solución que aborda el problema descrito en la sección anterior y proporciona indicaciones generales de planeación para este diseño.
Con Azure AD, la organización podrá integrar la instalación local de Active Directory con la instalación de Azure AD. De esta forma, la instalación se podrá usar para proporcionar autenticación en la nube, tal como se muestra en el diagrama siguiente.
La siguiente tabla recopila los elementos que forman parte del diseño de esta solución y describe los motivos por los que se eligen estos diseños.
Elemento de diseño de la solución |
¿Por qué se ha incluido en esta solución? |
---|---|
Herramienta de sincronización de Azure Active Directory |
Se usa para sincronizar objetos de directorio local con Azure AD. Para obtener información general de esta tecnología, vea Mapa de ruta de sincronización de directorios. |
Sincronización de contraseñas |
Característica de la herramienta de sincronización de Azure Active Directory que sincroniza las contraseñas de Active Directory local con Azure AD. Para obtener información general de esta tecnología, vea Implementación de la sincronización de contraseñas. |
Herramienta de solución de errores IdFix DirSync |
Proporciona a los clientes la capacidad de identificar y corregir la mayoría de los errores de sincronización de objetos en los bosques de Active Directory. Para obtener información general de esta tecnología, vea Herramienta de solución de errores IdFix DirSync. |
La sincronización de contraseñas es una característica de la herramienta de sincronización de Azure Active Directory que sincroniza las contraseñas de usuario de Active Directory local con Azure AD. Esta característica permite a los usuarios iniciar sesión en sus servicios de Azure AD (como Office 365, Intune y CRM Online) con la misma contraseña que usan para iniciar sesión en la red local. Esto proporcionará a los usuarios la capacidad de tener un inicio de sesión seguro igual que si iniciaran sesión en la red corporativa.
La herramienta de solución de errores de sincronización de directorios IdFix DirSync se puede usar para detectar y corregir los objetos de identidad y sus atributos en un entorno local de Active Directory a la hora de prepararse para una migración. Esto le permitirá identificar rápidamente los problemas que puedan producirse con la sincronización antes de iniciarla. Con esta información, puede realizar cambios en su entorno para poder evitar estos errores.
¿Por qué recomendamos este diseño?
Este diseño se recomienda porque se ocupa de los objetivos de diseño de la organización. Es decir, existen dos formas de proporcionar autenticación a los recursos basados en Azure: mediante autenticación en la nube o a través de la autenticación local con un servicio de token de seguridad (STS).
El primer objetivo de diseño de su organización es tener la capacidad de configurar rápidamente la sincronización con su instalación local de Active Directory. Este diseño es la forma más rápida de sincronizar su Active Directory local con Azure AD.
En segundo lugar, la organización quería ofrecer una experiencia de inicio de sesión segura, igual que la que tiene actualmente. Con este diseño, los usuarios iniciarán sesión con el mismo nombre de usuario y la misma contraseña que usan actualmente y la experiencia será similar.
¿Cuáles son los pasos de alto nivel para implementar esta solución?
Puede usar los pasos de esta sección para implementar la solución. Asegúrese de comprobar la implementación correcta de cada paso antes de continuar con el paso siguiente.
Prepare la sincronización de directorios
Compruebe los requisitos del sistema, cree los permisos correctos y tenga en cuenta las consideraciones de rendimiento. Para obtener más información, vea Preparación de la sincronización de directorios. Después de completar este paso, compruebe que tenga una hoja de trabajo completa que muestre las opciones de diseño de la solución que ha seleccionado.
Active la sincronización de directorios
Active la sincronización de directorios de su compañía. Para obtener más información, vea Activación de la sincronización de directorios. Después de completar este paso, compruebe que las características están configuradas.
Configure el equipo de la sincronización de directorios.
Instale la herramienta de sincronización de Windows Azure AD. Si ya lo ha hecho, aprenda a actualizarla, desinstalarla o moverla a otro equipo. Para obtener más información, vea Configuración del equipo de sincronización de directorios. Después de completar este paso, compruebe que las características están configuradas.
Sincronice los directorios
Realice una sincronización inicial y compruebe que los datos se hayan sincronizado correctamente. También aprenderá a configurar la herramienta de sincronización de Azure AD para configurar sincronizaciones periódicas y a forzar la sincronización de directorios. Para obtener más información, vea Uso del Asistente para configuración de sincronización de directorios. Después de completar este paso, compruebe que las características están configuradas.
Active los usuarios sincronizados.
Active los usuarios en el portal de Office 365 para poder usar los servicios a los que se haya suscrito. Esto implica asignarles una licencia de uso de Office 365. Esto puede realizarlo individualmente o en bloque. Para obtener más información, vea Activación de usuarios sincronizados. Después de completar este paso, compruebe que las características están configuradas. Tenga en cuenta que esto es un paso opcional y solo es necesario si va a usar Office 365.
Compruebe la solución.
Una vez sincronizados los usuarios, pruebe el inicio de sesión en https://myapps.microsoft.com. Si tiene aplicaciones de Office 365, las verá aquí. Un usuario normal puede iniciar sesión aquí sin necesidad de suscribirse a Azure.
Vea también
Tipo de contenido |
Referencias |
Evaluación del producto/introducción |
|
Planificación y diseño |
|
Implementación |
Guía de implementación de AD FS en Windows Server 2012 R2 |
Operaciones |
|
Soporte técnico |
Solución de problemas de sincronización de directorios |
Referencia |
Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único Determinación de qué escenario de integración de directorios usar |
Recursos de la comunidad |
|
Soluciones relacionadas |
|
Tecnologías relacionadas |