使用雲端驗證,管理單一樹系混合式環境的身分識別
本指南可提供您哪些協助?
公司使用者想要能夠從任何地方和任何裝置使用在雲端中的應用程式,但他們因為沒有驗證的方式而無法這麼做。
本指南針對如何將內部部署的目錄與雲端目錄整合,提供指示性且經過測試的設計,讓使用者可以從任何地方及任何裝置輕鬆存取位於雲端的應用程式。這項存取是使用雲端驗證來達成。如需使用內部部署驗證的範例,請參閱使用內部部署驗證管理單一樹系混合式環境的身分識別。
.jpeg "雲端驗證問題")
在本解決方案指南中:
案例、問題陳述和目標
此解決方案的建議規劃與設計方式為何?
為什麼我們會建議這種設計?
實作此解決方案的整體步驟為何?
案例、問題陳述和目標
此節說明可作為此指南範例的案例、問題陳述及組織目標。
案例
您的組織是中型公司。您的組織的銷售人員在各地工作。當他們完成銷售時,需要從中樞位置或透過 VPN,存取加入公司網路的電腦,在公司網路上執行的自訂應用程式中輸入該銷售資料。
因為這些銷售並不一定會即時記錄,這讓存貨變得難以管理。如此會導致缺貨和延遲。此外,銷售人員抱怨當他們在客戶的商務地點時,無法存取公司網路,並且希望能夠透過平板和智慧型手機來輸入資訊。
您組織的開發人員最近開發了新的客戶關係管理應用程式,讓在外的銷售代表可以從具有網際網路連線的任何裝置送出訂單。
您的組織已經決定將此應用程式裝載至雲端。這可讓銷售人員在銷售完成的當下,就能從平板或智慧型手機快速地輸入銷售資料,而不必先連線到公司的網路。您的組織預期如此可大幅改善庫存管理。
問題陳述
您的組織已經決定新的應用程式將會裝載於 Microsoft Azure。不過,您的組織目前沒有驗證提供者能夠為將裝載於 Azure 的新應用程式驗證銷售人員。
您想要解決整體問題為:
身為系統架構設計師或 IT 系統管理員,您要如何在使用者存取內部部署與雲端架構資源時,為使用者提供一般身分識別?您要如何管理這些身分識別,並且在不過度使用 IT 資源的情況下維持數個環境的資訊同步?
若要提供此應用程式的存取,會需要驗證提供者驗證銷售人員的能力。您的組織想要限制 CRM 應用程式只有銷售人員可以存取,因為他們是目前唯一需要存取此應用程式的員工。
您的組織已經考慮過各種選項,並同意允許讓 Azure AD 的執行個體進行雲端驗證。您的組織已經認定這麼做可降低成本且容易設定,因為目前並沒有任何內部部署的 Active Directory Federation Services (AD FS) 執行個體。此外,因為銷售人員遍及全世界,雲端驗證會提供更好的經驗,特別是在低頻寬的區域。您的組織關心管理這些身分識別所需的資源,Active Directory 系統管理員只有一位,而這位系統管理員必須能讓這個解決方案快速開始並執行。
您的組織開發人員已經新增程式碼來實現這個做法。現在輪到 Active Directory 系統管理員來設定他的 Azure AD 執行個體。Active Directory 系統管理員必須能夠運用內部部署的 Active Directory,才能產生 Azure AD 的執行個體。Active Directory 系統管理員必須能夠快速地執行這項操作。他沒有時間清除目前的 Active Directory 環境,或在 Azure 中重新建立每一個使用者帳戶。此外,您的組織希望銷售人員能夠使用與公司網路相同的登入密碼來進行登入。您的組織不想要讓銷售人員去記多個密碼。
組織目標
您的組織在混合式身分識別解決方案上的目標為:
能夠管理內部部署目錄和雲端中的身分識別。
能夠快速設定與內部部署單一樹系目錄的同步處理。
能夠提供雲端驗證提供者。
能夠快速設定與其內部部署目錄的同步處理。
能夠控制要同步至雲端的人員和內容。
能提供與目前登入功能相同的安全登入經驗。
能夠將內部部署的身分識別系統快速清除並妥善管理,讓它們能夠成為雲端的來源。
此解決方案的建議規劃與設計方式為何?
本節說明可解決上一節所述問題的解決方案設計,並提供此設計的整體規劃考量。
透過使用 Azure AD,您的組織就能夠將 Active Directory 的內部部署執行個體與 Azure AD 執行個體整合。這個執行個體可接著用來提供雲端驗證,如下圖所示。
.jpeg "雲端驗證解決方案")
下表列出此解決方案設計所包含的元素,並說明選擇每一個設計的理由。
解決方案設計元素 |
為何將它包含在本解決方案中? |
|---|---|
Azure Active Directory 同步作業工具 |
用來將內部部署目錄物件與 Azure AD 同步。如需此技術的概觀,請參閱目錄同步作業藍圖。 |
密碼同步 |
這是 Azure Active Directory 同步作業工具的一項功能,將內部部署的 Active Directory 的使用者密碼同步至 Azure AD。如需這項技術的概觀,請參閱實作密碼同步化。 |
IdFix DirSync 錯誤補救工具 |
提供客戶識別和補救 Active Directory 樹系中大部分物件同步處理錯誤的能力。如需此技術的概觀,請參閱 IdFix DirSync 錯誤補救工具。 |
密碼同步是 Azure Active Directory 同步作業工具的一項功能,將內部部署的 Active Directory 的使用者密碼同步至 Azure AD。這項功能可讓您的使用者在登入 Azure AD 服務時 (例如 Office 365、Intune 和 CRM Online),可以使用登入內部部署網路的相同密碼。這會提供使用者如同登入公司網路般的安全登入。
IdFix DirSync 錯誤補救工具可以用來在準備移轉時,尋找及修補內部部署 Active Directory 環境中的身分識別物件及其屬性。這可讓您在開始同步處理之前,快速識別任何可能因為同步而發生的問題。您可以使用此資訊來變更您的環境,以避免發生這些錯誤。
為什麼我們會建議這種設計?
會建議使用這種設計,是因為它可以符合您的組織的設計目標。亦即,有兩種方式可向 Azure 型的資源提供驗證:透過雲端驗證,或透過使用安全性權杖服務 (STS) 的內部部署驗證。
您的組織的第一個設計目標,是要能夠快速設定與內部部署的 Active Directory 執行個體同步處理。這項設計所代表的就是能最快將內部部署 Active Directory 與 Azure AD 同步的方法。
其次,您的組織要能提供與目前登入功能相同的安全登入經驗。藉由使用這種設計,使用者會以他們目前使用的相同使用者名稱和密碼登入,因此不會有不同的經驗。
實作此解決方案的整體步驟為何?
您可以使用本節中的步驟來實作解決方案。在進行下一個步驟之前,請務必確認每個步驟都已正確部署。
為目錄同步作業做好準備。
驗證系統需求、建立正確的權限,並且納入效能考量。如需詳細資訊,請參閱為目錄同步作業做好準備。在您完成這個步驟之後,確認您已完成顯示所選取解決方案設計選項的工作表。
啟用動目錄同步作業。
啟動公司的目錄同步作業。如需詳細資訊,請參閱啟動目錄同步作業。在您完成這個步驟之後,請確認功能已設定完成。
設定您的目錄同步作業電腦。
安裝 Windows Azure AD 同步作業工具。如果您已經安裝此工具,請瞭解如何升級、解除安裝或將它移至另一部電腦。如需詳細資訊,請參閱設定目錄同步作業電腦。在您完成這個步驟之後,請確認功能已設定完成。
同步處理您的目錄。
執行初始同步作業並確認已成功同步資料。您也將會學到如何設定 Azure AD 同步作業工具來設定週期性同步作業,並學到如何強制執行目錄同步作業。如需詳細資訊,請參閱使用設定精靈同步處理您的目錄。在您完成這個步驟之後,請確認功能已設定完成。
啟動同步處理的使用者。
請先在 Office 365 入口網站中啟用使用者,他們才能使用您已經訂閱的服務。這牽涉到指派使用 Office 365 的授權給他們。您可以個別或大量啟用使用者。如需詳細資訊,請參閱啟用同步處理的使用者。在您完成這個步驟之後,請確認功能已設定完成。請注意,此為選擇性步驟,只有在您使用 Office 365 時才是必要步驟。
驗證解決方案。
在使用者已經同步之後,測試登入 https://myapps.microsoft.com。如果您有 Office 365 應用程式,將會出現在該處。一般使用者不需要訂閱 Azure 也可以登入這裡。
另請參閱
內容類型 |
參考 |
產品評估/開始使用 |
測試實驗室指南:使用 DirSync 與密碼同步來建立 Windows Azure AD 和 Windows Server AD 環境 測試實驗室指南:使用同盟 (SSO) 來建立 Windows Azure AD 和 Windows Server AD 環境 |
規劃與設計 |
|
部署 |
|
作業 |
|
支援 |
|
參考 |
|
社群資源 |
|
相關解決方案 |
|
相關技術 |