Nastavení Azure Active Directory Connect Authentication Pass-Through

Společnost Microsoft nedávno usnadnila bezpečné připojení služby Windows Server Active Directory (AD) k službě Azure AD, aniž by bylo nutné nastavovat a spravovat službu Active Directory Federation Services (ADFS). V tomhle Zeptejte se administrátora, Ukážeme vám, jak nastavit průchodovou autentizaci Azure AD Connect (PTA).

Několik týdnů zpět na Petri jsem psal o tom, jak společnost Microsoft přidala PTA k Azure AD Connect. Jedná se o nástroj, který nahradil DirSync pro připojení v systému Windows Server AD k cloudovému Azure AD. Služba ADFS poskytuje federované identity s pravým jednotným přihlášením (SSO). Heslový hash se nikdy nesynchronizuje s cloudem, ale ADFS je složité nastavit. PTA poskytuje hlavní výhody ADFS, jako je například ukládání hesel v areálu a vysoká dostupnost, bez složitosti. Synchronizace heslem je také možnost v Azure AD Connect, ale jak název napovídá, heslo hash jsou uloženy v Azure AD.

Pokud jste to vynechali, můžete si přečíst podrobnosti Azure Active Directory Connect usnadňuje jednoduché přihlášení aplikace Cloud on Petri.

Stojí za zmínku, že v této fázi je PTA náhled. To znamená, že není podporován společností Microsoft a neměl by být konfigurován ve výrobních prostředích. Pokud chcete testovat v laboratoři, můžete si stáhnout nejnovější verzi Azure AD Connect a spusťte průvodce.

Proces instalace pro připojení systému Windows Server AD k serveru Azure AD pomocí protokolu PTA se nijak významně neliší synchronizace hesla. Existují některé klíčové body, které byste měli mít na paměti:

  • PTA instaluje na zařízení, kde je spuštěn program Azure AD Connect, lehký agent. Agent komunikuje s Azure AD pomocí portů 80 a 443 a může být nainstalován na členském serveru AD nebo řadiči domény. Pokud je vyžadována vysoká dostupnost, musí být další agenti nainstalováni ručně.
  • Před nastavením zařízení Azure AD Connect byste měli v Azure AD nakonfigurovat globální administrátora pouze v cloudu. Tento účet bude během procesu instalace zapotřebí a může být použit pro přístup ke službě Azure AD, pokud by došlo k chybě v službě Azure AD Connect. Účet, který není poskytován společností Azure AD, jako například pracovní nebo školní účet společnosti Microsoft, by neměl být používán, pokud Azure AD Connect požádá o získání pověření pro připojení k Azure AD.
  • Azure AD Connect pracuje s Azure AD adresáři, které byly nakonfigurovány s vlastním názvem domény. Azure AD trials používají com doména. Synchronizaci proto nebude možné nastavit, pokud nakonfigurujete vlastní název domény pro adresář.
  • Po nakonfigurování synchronizace se systém Windows Server AD stane primárním zdrojem znalostí. To znamená, že účty nakonfigurované v systému Windows Server AD budou synchronizovány s Azure AD, nikoliv však naopak. Stále budete moci vytvářet nové účty pouze v cloudu v Azure AD. Účty synchronizované ze systému Windows Server AD budou viditelné na portálu Azure AD, ale vlastnosti budou šedé. Vlastnost zdroje pro tyto účty bude nastavena na Windows Server AD.

Nastavit Azure Active Directory Connect PTA

V tomto příkladu nainstaluji Azure AD Connect na řadiči domény Windows Server 2016. Podrobné informace o požadavcích a podporovaných scénářích naleznete v tématu Webové stránky společnosti Microsoft.

  • Přihlašte se do vašeho Azure AD nájemce a vytvořte nového uživatele v Azure AD s právy Global Administrator.
  • Přihlaste se do služby Azure AD pomocí účtu, který jste vytvořili výše. Tento krok je nutné pro změnu dočasného hesla.
  • Stáhněte a spusťte službu Azure AD Connect na serveru, kde chcete nainstalovat agent PTA.
  • Souhlasíte s podmínkami na úvodní stránce v Azure AD Connect a klikněte na ni Pokračovat.
  • Chcete-li získat úplnou kontrolu nad nastavením, klepněte na tlačítko Vlastní.
  • klikněte instalovat na Požadované součásti. Služba Azure AD Connect nainstaluje službu SQL Server 2012 Express LocalDB.

Zvolte průchodovou autentizaci v Azure AD Connect (Image Credit: Russell Smith)

Zvolte automatické ověření v Azure Active Directory Connect (Image Credit: Russell Smith)

  • Na Přihlášení uživatele stránku, zkontrolujte Průchozí ověřování a Povolit jednotné přihlášení, klikněte další.
  • Na Připojte se k Azure AD , zadejte pověření pro globální administrátorský účet, který jste vytvořili dříve.
  • Na Připojte své adresáře vyberte v rozbalovací nabídce doménové struktury a klepněte na tlačítko Přidat adresář.

Připojte Windows Server AD k Azure AD (Image Credit: Russell Smith)

Připojit službu Windows Server Active Directory na Azure Active Directory (Image Credit: Russell Smith)

  • v AD Forest účet dialog, zkontrolujte Použít existující, zadejte pověření podnikového administrátora pro adresář Windows Server AD a klepněte na tlačítko OK.
  • klikněte další na Připojte své adresáře.
  • Na Azure AD sign-in konfigurace stránky, ujistěte se, že userPrincipalName v rozevírací nabídce.

Ověřte příponu UPN (Image Credit: Russell Smith)

Ověřit příponu UPN (Image Credit: Russell Smith)

  • v Služba Active Directory UPN Suffix musí být ověřena jedna přípona. Pokud nemáte příponu UPN nakonfigurovanou v systému Windows Server AD, která odpovídá názvu vlastní domény používanému v Azure AD, můžete přidat příponu UPN. Klikněte na tlačítko další.

Další informace o přidání přípony UPN AD naleznete v tématu Jak přidat přípony UPN ve službě Active Directory on Petri.

  • Na Filtrování domén a OU , rozbalte doménu Windows Server AD a vyberte jednotky OU, které chcete synchronizovat s adresou Azure AD. V tomto příkladu budu vybrat pouze vestavěný uživatelé, klikněte další.

Vyberte jednu nebo více organizačních jednotek, které chcete synchronizovat (Image Credit: Russell Smith)

Vyberte jednu nebo více OU pro synchronizaci (Image Credit: Russell Smith)

  • klikněte další přijmout výchozí nastavení na Jedinečná identifikace vašich uživatelů, Filtrování uživatelů a zařízení, Volitelné funkce, a Povolit jednotné přihlášení.
  • Na Připraveno na konfiguraci stránky, ujistěte se, že Spusťte proces synchronizace při dokončení konfigurace je zaškrtnuto a klepněte na tlačítko instalovat.
  • klikněte Výstup na Konfigurace dokončena strana.

Zkontrolujte, zda jsou účty Windows Server AD synchronizovány s Azure AD (Image Credit: Russell Smith)

Zkontrolujte, zda jsou účty Windows Server Active Directory synchronizovány s Azure Active Directory (Image Credit: Russell Smith)

  • Přihlaste se k Azure AD a zkontrolujte, zda jsou účty v uživatelé kontejneru byly synchronizovány. V mém adresáři vidím, že účet volal David Smith byl synchronizován s Azure AD.

V tomto článku jsem vám ukázal, jak nastavit Azure AD Connect pomocí PTA. V budoucím článku se budu zabývat instalací dalších agentů pro vysokou dostupnost, složitějšími možnostmi konfigurace v Průvodci Azure AD Connect, zadáním hesla, resetováním samoobslužných hesel a dalšími.

Příspěvek Nastavení Azure Active Directory Connect Authentication Pass-Through se objevil nejprve na Petri.

Napsat komentář