ADFS vs. Password Synch (part 3)

Στην σειρά των άρθρων ADFS vs. Password Sync θα παρουσιάσουμε αναλυτικά τις εναλλακτικές λύσεις με τις οποίες μπορεί να γίνει εφικτή η σύνδεση με μία ταυτότητα χρήστη (Single Sign On), στις υπηρεσίες που παρέχει η επιχείρηση είτε αυτές βρίσκονται στο εσωτερικό της δίκτυο (on premises) είτε φιλοξενούνται στο Cloud

Windows Azure Active Directory Password Sync

Για την ενοποίηση του μηχανισμού έκδοσης ταυτότητας χρήστη της On-Premises υποδομής, του Active Directory, με εκείνης του Cloud, με το Windows Azure Active Directory, εκτός της ανάπτυξης της υποδομής ενοποίησης και συγχρονισμού (ADFS) που αναλύσαμε παραπάνω υπάρχει και μία ακόμη εναλλακτική λύση που δεν είναι άλλη από την λειτουργία του Windows Azure Active Directory Sync Tool αυτή την φορά όμως με ενεργοποιημένη την υποστήριξη Password Synchronization, τον συγχρονισμό δηλαδή των κωδικών πρόσβασης.

Τι είναι

Το Windows Azure Active Directory Sync Tool είναι το εργαλείο εκείνο που επιτρέπει τον συγχρονισμό των ταυτοτήτων χρήστη του Active Directory (on-premises identities) με τις ταυτότητες χρήστη του Windows Azure Active Directory (cloud identities) για την πρόσβαση στις υπηρεσίες του Cloud.

Έτσι αφού ενεργοποιήσουμε τον μηχανισμό συγχρονισμού, εγκαταστήσουμε και εκτελέσουμε το Windows Azure Active Directory Sync Tool στο εσωτερικό δίκτυο της επιχείρησης, σύμφωνα με τις προτεινόμενες βέλτιστες πρακτικές, αυτό θα μας δημιουργήσει τις απαραίτητες ταυτότητες χρήστη στο Windows Azure Active Directory για την πρόσβαση στις υπηρεσίες του Cloud.

Σε αυτό το εργαλείο, η λειτουργία του οποίου είναι απαραίτητη και στην περίπτωση του ADFS, ήρθε πρόσφατα να προστεθεί και η δυνατότητα του συγχρονισμού των κωδικών πρόσβασης, Password Synchronization.

Πως λειτουργεί το Password Synchronization

Ο συγχρονισμός των κωδικών πρόσβασης είναι μία επιπλέον δυνατότητα του Windows Azure Active Directory Sync Tool  και λειτουργεί ως εξής:

Για την κάθε ταυτότητα χρήστη, εξάγεται μία κωδικοποιημένη ακολουθία χαρακτήρων, ένα κρυπτογράφημα (hash), που αντιστοιχεί στον κωδικό πρόσβασης.

Αυτό το κρυπτογράφημα «ανεβαίνει» και αποθηκεύεται στο Windows Azure Active Directory σαν κωδικός πρόσβασης της ταυτότητας χρήστη που συγχρονίζεται.

Ασφάλεια κωδικών πρόσβασης

Από την περιγραφή του τρόπου λειτουργίας της δυνατότητας Password Synchronization, έγινε φανερό ότι στο Windows Azure Active Directory δεν αποθηκεύεται απ’ ευθείας ο κωδικός πρόσβασης (plain text) αλλά ένα κρυπτογράφημα του. Είναι σημαντικό να τονίσουμε ότι με αυτό το κρυπτογράφημα (hash) δεν γίνεται να αποκτήσουμε πρόσβαση στις υπηρεσίες της On-Premises υποδομής.

Υλοποίηση Windows Azure Active Directory Password Sync

Περιγραφή

Η εταιρεία που θα εξετάσουμε στην περίπτωση του Password Synchronization, ονομάζεται MyHome PC ΕΠΕ και διαθέτει το Domain Name, myhomepc.gr.

Η εταιρεία διαθέτει Server στον οποίο είναι εγκατεστημένη υποδομή Active Directory στην οποία συντηρούνται και φυλάσσονται οι ταυτότητες των χρηστών.

Η MyHome PC ΕΠΕ θέλει να χρησιμοποιήσει τι υπηρεσίες του Microsoft Office 365 για να καλύψει τις ανάγκες της σχετικά με το ηλεκτρονικό της ταχυδρομείο, την πλατφόρμα συνεργασίας και αποθήκευσης εγγράφων, την ανταλλαγή άμεσων μηνυμάτων και την διενέργεια τηλεδιασκέψεων.

Σε αυτές τις υπηρεσίες η πρόσβαση πρέπει να γίνεται με τις ταυτότητες χρήστη που υπάρχουν ήδη για την πρόσβαση στο εσωτερικό δίκτυο της επιχείρησης και είναι γνωστές στους χειριστές της, ενώ δεν υπάρχει απαίτηση ανάπτυξης υβριδικής υποδομής τώρα ή στο μέλλον.

Σχέδιο

Η εγκατάσταση της MyHome PC ΕΠΕ, αναπτύσσεται σύμφωνα με το σχέδιοMyHomePC

Διάταξη

H υπάρχουσα υποδομή της MyHome PC ΕΠΕ, επεκτείνεται με την προσθήκη ενός νέου server,o οποίος θα λειτουργεί με την φιλοσοφία της ολοκληρωμένης συσκευής (appliance) και θα φιλοξενεί το Windows Azure Active Directory Sync Tool με ενεργοποιημένη την υποστήριξη Password Synchronization.

Λεπτομέρειες σχετικά με τις προδιαγραφές αυτού του Server μπορείτε να βρείτε εδώ

Prepare for directory synchronization

Η προετοιμασία του νέου server που θα φιλοξενήσει το Windows Azure Active Directory Sync Tool , περιλαμβάνει την εγκατάσταση του λειτουργικού και το join στο domain.

Όταν ολοκληρωθεί η προετοιμασία του server, ενεργοποιούμε τον μηχανισμό συγχρονισμού, που από αρχικά είναι απενεργοποιημένος, μέσα από το management portalAD2AAD-06

Η διαδικασία ενεργοποίησης του συγχρονισμού είναι χρονοβόρα και όταν ολοκληρωθεί έχουμε την παρακάτω εικόναAD2AAD-07

Το επόμενο βήμα που πρέπει να κάνουμε ακολουθώντας την διαδικασία είναι να κατεβάσουμε και να εγκαταστήσουμε το Windows Azure Active Directory Sync Tool, μέσα από το portal.

Η εγκατάσταση του εργαλείου είναι απλή και ξεκινάει με διπλό κλικAD2AAD-08

Ενώ ολοκληρώνεται αφού εγκατασταθούν όλα τα απαραίτητα προγράμματα και οι εφαρμογέςAD2AAD-09

Το επόμενο βήμα μετά την εγκατάσταση της εφαρμογής, είναι να τρέξουμε τον οδηγό που θα μας βοηθήσει στην ρύθμιση τηςAD2AAD-10

Βάζουμε τα στοιχεία του διαχειριστή της συνδρομήςAD2AAD-11

Μετά τα στοιχεία ενός από τους διαχειριστές του δικτύουAD2AAD-12

Εάν θέλουμε να υλοποιήσουμε υβριδική (hybrid) υποδομή κάνουμε την σχετική επιλογήAD2AAD-13

Στην συγκεκριμένη περίπτωση δεν επιλέξαμε την υβριδική εγκατάσταση αφού δεν ήταν στις απαιτήσεις τις επιχείρησης. Επιλέξαμε όμως την ενεργοποίηση της δυνατότητας συγχρονισμού των κωδικών πρόσβασηςAD2AAD-14

Αφού γίνουν όλες οι απαραίτητες επιλογές, ο οδηγός κάνει τις απαραίτητες ρυθμίσεις και στο τέλος επιλέγουμε να γίνει o συγχρονισμός με το Windows Azure Active DirectoryAD2AAD-15

Αφού ολοκληρωθεί ο συγχρονισμός μπορούμε να δούμε τις συγχρονισμένες ταυτότητες χρήστη μέσα από το management portalAD2AAD-16

Για να έχουν την δυνατότητα πρόσβασης οι νέοι χρήστες στις υπηρεσίες του Microsoft Office 365, θα πρέπει να τους εκχωρήσουμε τις σχετικές άδειες χρήστηAD2AAD-17

Μετά την εκχώρηση των αδειών χρήσης, οι χειριστές μπορούν να συνδεθούν στις υπηρεσίες του Microsoft Office 365 με την ταυτότητα χρήστη που έχουν στην On-Premises υποδομή της επιχείρησηςAD2AAD-18

Και να αρχίσουν να χρησιμοποιούν τις παρεχόμενες υπηρεσίες του CloudAD2AAD-19

Leave a Reply

Your email address will not be published. Required fields are marked *

(Spamcheck Enabled)