[su_note note_color=”#66ecff”]Στην σειρά των άρθρων ADFS vs. Password Sync θα παρουσιάσουμε αναλυτικά τις εναλλακτικές λύσεις με τις οποίες μπορεί να γίνει εφικτή η σύνδεση με μία ταυτότητα χρήστη (Single Sign On), στις υπηρεσίες που παρέχει η επιχείρηση είτε αυτές βρίσκονται στο εσωτερικό της δίκτυο (on premises) είτε φιλοξενούνται στο Cloud[/su_note]
Windows Azure Active Directory Password Sync
Για την ενοποίηση του μηχανισμού έκδοσης ταυτότητας χρήστη της On-Premises υποδομής, του Active Directory, με εκείνης του Cloud, με το Windows Azure Active Directory, εκτός της ανάπτυξης της υποδομής ενοποίησης και συγχρονισμού (ADFS) που αναλύσαμε παραπάνω υπάρχει και μία ακόμη εναλλακτική λύση που δεν είναι άλλη από την λειτουργία του Windows Azure Active Directory Sync Tool αυτή την φορά όμως με ενεργοποιημένη την υποστήριξη Password Synchronization, τον συγχρονισμό δηλαδή των κωδικών πρόσβασης.
Τι είναι
Το Windows Azure Active Directory Sync Tool είναι το εργαλείο εκείνο που επιτρέπει τον συγχρονισμό των ταυτοτήτων χρήστη του Active Directory (on-premises identities) με τις ταυτότητες χρήστη του Windows Azure Active Directory (cloud identities) για την πρόσβαση στις υπηρεσίες του Cloud.
Έτσι αφού ενεργοποιήσουμε τον μηχανισμό συγχρονισμού, εγκαταστήσουμε και εκτελέσουμε το Windows Azure Active Directory Sync Tool στο εσωτερικό δίκτυο της επιχείρησης, σύμφωνα με τις προτεινόμενες βέλτιστες πρακτικές, αυτό θα μας δημιουργήσει τις απαραίτητες ταυτότητες χρήστη στο Windows Azure Active Directory για την πρόσβαση στις υπηρεσίες του Cloud.
Σε αυτό το εργαλείο, η λειτουργία του οποίου είναι απαραίτητη και στην περίπτωση του ADFS, ήρθε πρόσφατα να προστεθεί και η δυνατότητα του συγχρονισμού των κωδικών πρόσβασης, Password Synchronization.
Πως λειτουργεί το Password Synchronization
Ο συγχρονισμός των κωδικών πρόσβασης είναι μία επιπλέον δυνατότητα του Windows Azure Active Directory Sync Tool και λειτουργεί ως εξής:
Για την κάθε ταυτότητα χρήστη, εξάγεται μία κωδικοποιημένη ακολουθία χαρακτήρων, ένα κρυπτογράφημα (hash), που αντιστοιχεί στον κωδικό πρόσβασης.
Αυτό το κρυπτογράφημα «ανεβαίνει» και αποθηκεύεται στο Windows Azure Active Directory σαν κωδικός πρόσβασης της ταυτότητας χρήστη που συγχρονίζεται.
Ασφάλεια κωδικών πρόσβασης
Από την περιγραφή του τρόπου λειτουργίας της δυνατότητας Password Synchronization, έγινε φανερό ότι στο Windows Azure Active Directory δεν αποθηκεύεται απ’ ευθείας ο κωδικός πρόσβασης (plain text) αλλά ένα κρυπτογράφημα του. Είναι σημαντικό να τονίσουμε ότι με αυτό το κρυπτογράφημα (hash) δεν γίνεται να αποκτήσουμε πρόσβαση στις υπηρεσίες της On-Premises υποδομής.
Υλοποίηση Windows Azure Active Directory Password Sync
Περιγραφή
Η εταιρεία που θα εξετάσουμε στην περίπτωση του Password Synchronization, ονομάζεται MyHome PC ΕΠΕ και διαθέτει το Domain Name, myhomepc.gr.
Η εταιρεία διαθέτει Server στον οποίο είναι εγκατεστημένη υποδομή Active Directory στην οποία συντηρούνται και φυλάσσονται οι ταυτότητες των χρηστών.
Η MyHome PC ΕΠΕ θέλει να χρησιμοποιήσει τι υπηρεσίες του Microsoft Office 365 για να καλύψει τις ανάγκες της σχετικά με το ηλεκτρονικό της ταχυδρομείο, την πλατφόρμα συνεργασίας και αποθήκευσης εγγράφων, την ανταλλαγή άμεσων μηνυμάτων και την διενέργεια τηλεδιασκέψεων.
Σε αυτές τις υπηρεσίες η πρόσβαση πρέπει να γίνεται με τις ταυτότητες χρήστη που υπάρχουν ήδη για την πρόσβαση στο εσωτερικό δίκτυο της επιχείρησης και είναι γνωστές στους χειριστές της, ενώ δεν υπάρχει απαίτηση ανάπτυξης υβριδικής υποδομής τώρα ή στο μέλλον.
Σχέδιο
Η εγκατάσταση της MyHome PC ΕΠΕ, αναπτύσσεται σύμφωνα με το σχέδιο
Διάταξη
H υπάρχουσα υποδομή της MyHome PC ΕΠΕ, επεκτείνεται με την προσθήκη ενός νέου server,o οποίος θα λειτουργεί με την φιλοσοφία της ολοκληρωμένης συσκευής (appliance) και θα φιλοξενεί το Windows Azure Active Directory Sync Tool με ενεργοποιημένη την υποστήριξη Password Synchronization.
Λεπτομέρειες σχετικά με τις προδιαγραφές αυτού του Server μπορείτε να βρείτε εδώ
Prepare for directory synchronization
Η προετοιμασία του νέου server που θα φιλοξενήσει το Windows Azure Active Directory Sync Tool , περιλαμβάνει την εγκατάσταση του λειτουργικού και το join στο domain.
Όταν ολοκληρωθεί η προετοιμασία του server, ενεργοποιούμε τον μηχανισμό συγχρονισμού, που από αρχικά είναι απενεργοποιημένος, μέσα από το management portal
Η διαδικασία ενεργοποίησης του συγχρονισμού είναι χρονοβόρα και όταν ολοκληρωθεί έχουμε την παρακάτω εικόνα
Το επόμενο βήμα που πρέπει να κάνουμε ακολουθώντας την διαδικασία είναι να κατεβάσουμε και να εγκαταστήσουμε το Windows Azure Active Directory Sync Tool, μέσα από το portal.
Η εγκατάσταση του εργαλείου είναι απλή και ξεκινάει με διπλό κλικ
Ενώ ολοκληρώνεται αφού εγκατασταθούν όλα τα απαραίτητα προγράμματα και οι εφαρμογές
Το επόμενο βήμα μετά την εγκατάσταση της εφαρμογής, είναι να τρέξουμε τον οδηγό που θα μας βοηθήσει στην ρύθμιση της
Βάζουμε τα στοιχεία του διαχειριστή της συνδρομής
Μετά τα στοιχεία ενός από τους διαχειριστές του δικτύου
Εάν θέλουμε να υλοποιήσουμε υβριδική (hybrid) υποδομή κάνουμε την σχετική επιλογή
Στην συγκεκριμένη περίπτωση δεν επιλέξαμε την υβριδική εγκατάσταση αφού δεν ήταν στις απαιτήσεις τις επιχείρησης. Επιλέξαμε όμως την ενεργοποίηση της δυνατότητας συγχρονισμού των κωδικών πρόσβασης
Αφού γίνουν όλες οι απαραίτητες επιλογές, ο οδηγός κάνει τις απαραίτητες ρυθμίσεις και στο τέλος επιλέγουμε να γίνει o συγχρονισμός με το Windows Azure Active Directory