Azure Active Directory: Sync con Active Directory Locale

Microsoft Azure

Azure Active Directory è un nuovo modo per erogare servizi sul cloud, come applicazioni, Office 365, Intune, Rights Management Services e molto altro ancora. In una nuova era dove ci sono miliardi di dispositivi e dove ogni utente deve gestire decine di password, è molto importante avere una soluzione che riduca il rischio, soprattutto in ambito business, e semplifichi l’esperienza utente.

 

Attraverso Azure Active Directory Connect è possibile tenere sincronizzato il proprio Active Directory con Azure. Uno dei benefici che viene da questa soluzione sta nell’utilizzo del Single Sign-On, che permette agli utenti di ricordare una sola password per accedere ai vari strumenti, oltre a dare all’amministratore più mezzi per la gestione dei device.

 

AADC è l’evoluzione del DirSync e lo si può scaricare al seguente link: http://www.microsoft.com/en-us/download/details.aspx?id=47594

 

Vediamo quindi come procedere alla configurazione di un dominio pubblico e con la sua relativa integrazione on-premise. Si parte con la creazione di una nuova Directory all’interno di Azure, come mostrato nella figura 1.

 

2015_03_20_AzureADC_01
Figura 1 – New Directory

 

Dopo la creazione, che di default prevederà il suffisso .onmicrosoft.com, è obbligatorio creare un nuovo account di tipo Global Administrator, che vi servirà sia per la gestione del profilo, sia per l’integrazione con Azure Active Directory Connect. Dopo aver creato l’utente, dovrete accedere al sito https://portal.office.com ed inserire i dati del nuovo Tenant; vi verrà chiesto di aggiornare la password temporanea. Conclusa con questa operazione potrete procedere con la configurazione.

 

E’ tempo di aggiungere un nuovo dominio pubblico, figura 2; questo permetterà di utilizzare il single sign-on.

 

2015_03_20_AzureADC_02Figura 2 – Public Domain

 

La sicurezza è fondamentale per queste operazioni, ecco perchè per poter procedere con l’utilizzo del dominio sarà necessario validarlo e per farlo è richiesta la creazione di un record TXT/MX all’interno del vostro DNS provider. Ormai la propagazione dei DNS pubblici è molto rapida e quindi in pochi minuti sarete pronti per effettuare il test – figura 3.

 

2015_03_20_AzureADC_03
Figura 3 – Domain Validation

 

Conclusa questa fase sarà possibile attivare l’integrazione con un Active Directory locale, come mostrato nella figura 4.

 

2015_03_20_AzureADC_04
Figura 4 – Integration with Local AD

 

Siamo pronti per configurare Azure Active Directory Connect all’interno della nostra infrastruttura. Prima di partire, però, è necessario capire quali sono i livelli di sincronizzazione messi a disposizione:

 

Cloud Identity
Questo scenario non prevede la sincronizzazione e quindi gli oggetti locali, come utenti e gruppi, dovranno essere creati manualmente anche su Azure; inoltre non è previsto nessun tipo di sync delle password e quindi sarà necessario fare le modifiche manualmente.

 

Synchronized Identity
Questo scenario prevede la replica da on-premise verso on-cloud sia degli oggetti che delle password. Se vengono abilitate le regole lato Azure, sarà possibile anche cambiare la password in modo bidirezionale oltre a poter creare oggetti su Azure AD che saranno portate internamente.

 

Federated Identity
Questo scenario è come il precedente con la differenza che prevede la presenza di un AD Federation Server, che servirà da front-end per l’autenticazione delle utenze. Le password non saranno portare al di fuori della propria infrastruttura, aumentando così la sicurezza. Il rovescio della medaglia è la necessità di avere più di un server che espone il servizio, per avere una ridondanza: niente ADFS, niente autenticazione ai servizi.

 

Per questa demo ci concentreremo sullo scenario Synchronized Identity.

 

I requisiti necessari all’utilizzo di Azure Active Directory Connect sono i seguenti:

 

  • Windows Server 2008 or higher DC
  • Windows Server 2008 R2, 2012 or 2012 R2 AADC
  • Local Active Directory enterprise administrator credentials
  • Azure Active Directory global administrator account

 

L’installazione del tool può essere fatta tranquillamente all’interno di un Domain Controller, tuttavia io preferisco usare una macchina separata per evitare problemi di vario genere (come il restart della macchina). Una volta avviato il software, figura 5, verrà fatto un test sui requisiti e la relativa installazione degli stessi.

 

2015_03_20_AzureADC_05
Figura 5 – AADC Setup

 

Una volta che tutti i componenti saranno installati, verrà chiesto se procedere con l’installazione Express o Custom, figura 6. L’Express setup è indicata per gli scenari standard con una singola foresta, con relativa sincronizzazione delle password. La Custom setup prevede più scelte di configurazione, tra cui la possibilità di tenere allineati più foreste, utilizzare Active Directory Federation Services o configurare Exchange Hybrid Mode.

 

2015_03_20_AzureADC_06
Figura 6 – Custom Configuration

 

Una delle novità è rappresentata dalle feature opzionali che permettono di estendere il prodotto, come la funzionalità di Password Writeback e User Writeback: nel primo caso possiamo abilitare la funzionalità di cambio password, in modo che venga applicato anche on-premise, mentre nel secondo caso si tratta di poter creare utenti direttamente su Azure e vederli riportati all’interno della propria infrastruttura AD.

 

Al termine del setup non ho selezionato l’avvio della sincronizzazione, figura 7, perchè intendo fare un po’ di tuning con le mie OU. Come DirSync, anche AADC utilizza Forefront Identity Manager, ora chiamato Microsoft Identity Manager, per sincronizzare gli oggetti, solo che la nuova versione ha risolto alcuni piccoli difettucci estetici. Nella configurazione di default, la sincronizzazione colpisce tutta la foresta e quindi anche eventuali account di servizio o gruppo interni, quindi questa cosa va cambiata.

 

2015_03_20_AzureADC_07
Figura 7 – Configuration Complete

 

Dallo Start Menu avviate il Synchronization Service Manager ed aprite le proprietà del vostro dominio locale, come mostrato nella figura 8.

 

2015_03_20_AzureADC_08Figura 8 – Synchronization Service Manager

 

Selezionate le OU che intendete sincronizzare con Azure e chiudete FIM. A questo punto si pone un nuovo problema: se il vostro dominio locale è diverso da quello pubblico, è necessario andare ad aggiungere un nuovo UPN per fare in modo che gli utenti possano fare logon senza problemi. Per fare questo è necessario aprire Active Directory Domains and Trusts ed aggiungere il nuovo UPN, come mostrato nella figura 9.

 

2015_03_20_AzureADC_09
Figura 9 – New UPN

 

Siamo quasi pronti! Non rimane che avviare la sincronizzazione manuale, tramite il tool DirectorySyncClientCmd.exe che si trova nel percorso C:\Program Files\Microsoft Azure AD Sync\Bin\. Dopo qualche minuto sarà possibile visualizzare gli utenti all’interno del sito web Azure, come mostra la figura 10. In caso la vostra infrastruttura sia complessa, potrebbe volerci più tempo.

 

2015_03_20_AzureADC_10
Figura 10 – Users synced

 

Finito! Ora siete pronti per erogare servizi di vario genere, tra cui Office 365, Application e molto altro. Il tutto in modo molto facile e con un tempo di esecuzione abbastanza relativo.