Azure Active Directory 概念证明演练手册:实现

基础 - 将 AD 同步到 Azure AD

混合标识是已部署本地目录的大部分企业客户的基础。 混合标识的目标是有意地尽量花费最少的时间来展示实际标识和访问方案的价值。

方案 构建基块
将本地标识扩展到云 目录同步 - 密码哈希同步
注意:如果已安装 DirSync/ADSync 或旧版的 Azure AD Connect,则此步骤是可选的。 本指南中的某些方案可能需要更新版本的 Azure AD Connect。

将本地标识扩展到云

  1. Bob 是 Contoso 公司的 Active Directory 管理员。 公司要求他为一组用户启用“标识即服务”。 执行 Azure AD Connect 向导后,云中已提供目标用户的标识。
  2. Bob 请求 Susie(一个目标用户)访问 Azure Active Directory 访问面板并确认她是否可以进行身份验证。 Susie 看到了带品牌的登录页以及一个空白的访问面板,以后随后可以使用该面板实现应用程序访问。

主题 - 多个应用,一个标识

方案 构建基块
SSO 和标识生命周期事件
将 LDAP 标识同步到 Azure AD 通用 LDAP 连接器配置

SSO 和标识生命周期事件

  1. Susie 请了假,根据公司策略,她的本地 AD 帐户将被暂时禁用。 Susie 现在无法登录到 Azure AD,因此无法访问 ServiceNow。
  2. Susie 从营销部平级调动了到销售部。 Kevin 从 ServiceNow 中删除了其访问权限。 Susie 登录到 Azure AD myapps,但再也看不到 ServiceNow 磁贴。 10 分钟后,Kevin 确认已通过 ServiceNow 管理控制台禁用 Susie 的帐户。

将 LDAP 标识同步到 Azure AD

  1. Bob 所在的公司采用复杂的标识基础结构。 大多数用户在 Windows Server Active Directory 域服务 (ADDS) 内部进行维护。 其中一些用户由 Active Directory 轻型目录服务 (ADLDS) 中的 HR 系统管理。
  2. Bob 的任务是为所有用户(包括 ADDS 中不存在的用户)启用对 SaaS 应用的访问。
  3. Bob 配置通用 LDAP 连接器用于从 Azure AD Connect 中的 ADLDS 提取数据。
  4. Bob 创建同步规则,以便将 LDAP 用户填充到 Metaverse 和 Azure AD 中
  5. Susie(LDAP 用户)使用同步的标识访问其 SaaS 应用

Important

这是一项高级配置,需要对 FIM/MIM 有一定的了解。 如果在生产环境中使用,我们建议浏览顶级支持了解有关此配置的问题。

主题 - 增强安全性

方案 构建基块
确保管理员帐户访问安全 使用电话呼叫执行 Azure MFA
使用基于证书的身份验证,在没有密码的情况下进行身份验证 配置基于证书的身份验证

保护对管理员帐户的访问

  1. Bob 是 Azure AD 全局管理员。 他将 Stuart 指定为服务的共同管理员。
  2. 为了提高安全性,Bob 将 Stuart 的帐户配置为始终需要执行 MFA
  3. 登录到 Azure 门户时,Stuart 发现需要注册电话号码才能继续登录
  4. Stuart 的后续登录受到多重身份验证的保护,现在他需要拨打电话来验证自己的身份。

使用基于证书的身份验证,在没有密码的情况下进行身份验证

  1. Bob 是某家金融机构的全局管理员,该机构禁止使用密码作为应用程序的身份验证因素。
  2. Bob 在 ADFS 和 Azure AD 中启用并实施证书身份验证
  3. Susie 访问应用程序时,系统提示她使用证书进行身份验证

演练手册步骤

  1. 介绍
  2. 成分
  3. 实现

  4. 构建基块