[su_note note_color=”#66ecff”]Στην σειρά των άρθρων ADFS vs. Password Sync θα παρουσιάσουμε αναλυτικά τις εναλλακτικές λύσεις με τις οποίες μπορεί να γίνει εφικτή η σύνδεση με μία ταυτότητα χρήστη (Single Sign On), στις υπηρεσίες που παρέχει η επιχείρηση είτε αυτές βρίσκονται στο εσωτερικό της δίκτυο (on premises) είτε φιλοξενούνται στο Cloud[/su_note]
Active Directory Federation Services και DirSync
Η υλοποίηση του Single Sign On, επιτρέπει την πρόσβαση στις εφαρμογές και τις υπηρεσίες μιας υβριδικής υποδομής (Hybrid), όπως είναι το email (Exchange) ή το intranet/extranet (SharePoint), μέσω μιας ταυτότητας χρήστη.
Προϋποθέτει όμως, την λειτουργία μηχανισμού ενοποίησης και συγχρονισμού μέσω των υπηρεσιών Active Directory Federation Services (ADFS) και του Windows Azure Active Directory Sync.
Επειδή η πρόσβαση των χειριστών στις απαραίτητες επιχειρηματικές υπηρεσίες, γίνεται μέσω των μοναδικών ταυτοτήτων χρήστη, είναι επόμενο πως η υποδομή που προσφέρει την ταυτοποίηση (SSO), η υποδομή δηλαδή του ADFS, θα πρέπει να φιλοξενείται σε συστήματα υψηλής διαθεσιμότητας και συνεχούς λειτουργίας.
Έτσι, η ανάπτυξη των υπηρεσιών ταυτοποίησης και συγχρονισμού πρέπει να γίνεται σε συστοιχίες συστημάτων (Servers) που προσφέρουν υψηλή διαθεσιμότητα (Clusters), ενώ θα πρέπει να εξασφαλίζεται και η πρόσβαση των συστοιχιών αυτών στο Internet με αξιόπιστα κυκλώματα. Οι υπηρεσίες ταυτοποίησης που είναι απαραίτητες είναι οι εξής :
- Active Directory Domain Services (AD DS)
- Active Directory Federation Services (AD FS) και Active Directory Federation Services Proxy
- Directory synchronization services
Η λειτουργία αυτών των υπηρεσιών και μάλιστα σε «υψηλή διαθεσιμότητα» προσθέτει μία εκτεταμένη υποδομή με Servers, συνδέσεις και υποστήριξη στην υποδομή μιας επιχείρησης πράγμα που οι σημερινές επιχειρήσεις θα ήθελαν να μετριάσουν, γι’ αυτό όλο και συχνότερα επιλέγουν το Windows Azure και τις υπηρεσίες Infrastructure as a Service που αυτό προσφέρει για να φιλοξενήσουν τέτοιου είδους υποδομές.
Υλοποίηση ADFS
Περιγραφή
Η εταιρεία που θα εξετάσουμε στο παρόν άρθρο, ονομάζεται Support 22 ΕΠΕ και διαθέτει το Domain Name, support22.com.
Στα γραφεία αυτής, έχει αναπτυχθεί υποδομή Active Directory καθώς και διακίνησης ηλεκτρονικής αλληλογραφίας.
Η Support 22 ΕΠΕ, εντάσσοντας όλο και περισσότερους απομακρυσμένους εργαζόμενους στο δυναμικό της, θέλει να χρησιμοποιήσει τις υπηρεσίες του Microsoft Office 365 για να προσφέρει υπηρεσίες ηλεκτρονικού ταχυδρομείου, πλατφόρμα συνεργασίας και αποθήκευσης εγγράφων καθώς και σύστημα ανταλλαγής άμεσων μηνυμάτων και τηλεδιασκέψεων, τόσο για τους απομακρυσμένους εργαζόμενους όσο και για εκείνους που εργάζονται στα γραφεία της.
Οι παραπάνω υπηρεσίες, πρέπει να λειτουργούν σε πλήρη αρμονία και ενοποίηση με την ήδη υπάρχουσα υποδομή της, ενώ για την πρόσβαση στην ενοποιημένη υποδομή θα είναι απαραίτητη μία ταυτότητα χρήστη που θα εκδίδεται, θα συντηρείται και θα ανακαλείται μέσω του Active Directory στο εσωτερικό της δίκτυο.
Σχέδιο
Ο σχεδιασμός μιας τέτοιας υποδομής εξαρτάται από τον συνολικό αριθμό των χρηστών και είναι αντικείμενο μελέτης με πολλούς παράγοντες που πρέπει να συνυπολογιστούν όπως ο αριθμός των Servers που θα εξυπηρετήσουν την κάθε υπηρεσία (ADFS, ADFS Proxy, WAAD Sync) η τοποθέτηση τους στο δίκτυο, τα δικαιώματα πρόσβασης κ.λ.π. και δεν αποτελεί αντικείμενο που θα αναπτυχθεί με το παρόν άρθρο.
Λεπτομέρειες και πληροφορίες σχετικά με τον σχεδιασμό μιάς τέτοιας υποδομής θα βρείτε εδώ
Plan for and deploy AD FS for use with single sign-on
Στο παρόν άρθρο θα προσεγγίσουμε το Single Sign On, υλοποιώντας μια απλούστερη υποδομή όπως φαίνεται στο παρακάτω σχέδιο
Διάταξη
Η υποδομή αναπτύσσεται, με βάση το υβριδικό μοντέλο (Hybrid) και εκμεταλλεύεται την αξιοπιστία και την υψηλή διαθεσιμότητα του Windows Azure IaaS για την φιλοξενία όλων των απαραίτητων υπηρεσιών για την ταυτοποίηση των χρηστών.
Το τμήμα της υποδομής που φιλοξενείται στο Windows Azure IaaS, συνδέεται με ασφάλεια και κρυπτογράφηση με την υπάρχουσα υποδομή στα γραφεία, μέσω καναλιού Site-to-Site VPN
Για την υλοποίηση της υβριδικής υποδομής χρησιμοποιήσαμε τον αναλυτικό οδηγό που θα βρείτε εδώ
Quick Start Guide for Integrating a Single Forest On-Premises Active Directory with Windows Azure AD
Ο οδηγός συμπεριλαμβάνει και το ανάλογο PowerShell script που βοηθάει εξαιρετικά στην ολοκλήρωση όλων των απαραίτητων βημάτων για την υλοποίηση.
Έτσι τρέχοντας το script στον ADFS Server, έχουμε την παρακάτω εικόνα
Ακολουθώντας τα προτεινόμενα βήματα, ολοκληρώνεται η εγκατάσταση με επιτυχία.
Οι μοναδικές ταυτότητες που χρειάζονται οι χρήστες για την πρόσβαση στις επιχειρηματικές υπηρεσίες εκδίδονται μέσω του Active Directory και συγχρονίζονται στο Microsoft Office 365, όπως φαίνεται στην παρακάτω εικόνα
Για την πρόσβαση τους οι χρήστες, χρησιμοποιούν τις ταυτότητες τους, που είναι της μορφής χρήστης@support22.com
Πηγαίνοντας λοιπόν στο portal.microsoftonline.com και βάζοντας την ταυτότητα που είπαμε παραπάνω
Το σύστημα αναγνωρίζει ότι η ταυτότητα που δόθηκε ανήκει σε εταιρικό λογαριασμό και προωθεί το αίτημα για πιστοποίηση στην ADFS υποδομή
Η υποδομή πιστοποιεί την ταυτότητα του χρήστη και έτσι αυτό αποκτά πρόσβαση στις απαραίτητες υπηρεσίες
Πρέπει να τονίσουμε, ότι εκτός από την έκδοση της ταυτότητας χρήστη, το Active Directory στο εσωτερικό δίκτυο αναλαμβάνει και την διαχείριση της όπως αλλαγή password κ.λ.π. καθώς και την ανάκληση της.
Έτσι στην περίπτωση που ένας χρήστης αποχωρήσει από την εταιρεία, ο διαχειριστής θα απενεργοποιήσει την ταυτότητα του και η πρόσβαση που είχε στις υπηρεσίες της εταιρείας θα ανακληθεί.