Certificações, Microsoft Azure

Implementar um Active Directory do Azure – [1/4] – [70-533] [#Cloud]

Share-it!
Share on Facebook22Tweet about this on TwitterShare on LinkedIn20Share on Google+0Email this to someone

Fala galera, td bem? 

Como eu prometi em um dos posts anteriores, vou disponibilizar um resumo que fiz durante meus estudos sobre Microsoft Azure, para a certificação 70-533. Basicamente é um compilado de muita leitura que fiz sobre os serviços, e eu espero com isso que eu possa ajudá-los nos seus estudos.

Antes de ler, saiba que esse artigo não é:

* Fonte de estudo única e exclusiva para a prova. (Estude muito mais além desses artigos, leia a literatura oficial para o exame e faça muitos Labs’s)

* Passo a passo para passar na prova. (Você deverá estudar bem mais se seu foco é a 70-533)

* 100% Atualizado com o que há de mais novo em Azure. (Após ler esse conteúdo, dê uma boa repassada em mais artigos atuais sobre o Azure. Muita coisa muda o tempo todo. #fikdik)

Estou apenas compartilhando meus métodos de estudo e meus resumos de próprio punho. Fiquem à vontade para complementar e tecer comentários à respeito. (Faço isso, porque ainda acredito na comunidade e no acesso ao conhecimento de forma GRATUITA! 😉 )

                    

#               O Serviço              #

O Microsoft Azure Active Directory é um serviço de indentificação e gerenciamento de acesso na plataforma de Cloud Azure. Basicamente, as empresas podem utilizá-lo para configurar credenciais (usuários) para acesso às aplicações que são utilizadas pela empresa, ou até mesmo ambiente computacional ( usuário e senha do Windows). É possível gerencias usuário, grupos, configurar MFA (Multi-Factor Authentication) para os usuários, identificar atividades de login irregulares usando alguns algorítimos avançados de Machine Learning, e é claro extender seu Active Directory On-Premises (ou seja seu AD local) na nuvem concedendo uma maior flexibilidade e facilidade de gerenciamento. (Pode ser feito via portal, independente de onde o usuário tiver.)

#        Integrate an Azure AD with existing directories        #

Uma das grandes features (funções) existentes no Azure AD é a parte de integração com um AD On-Premises já existente. Sabemos que hoje em dia, muitas empresas são totalmente dependentes do ambiente de AD On-Premises. A proposta com o Azure AD é a expansão do seu AD local. É um serviço de diretório feito na nuvem. Sendo assim é possível entregar para uma organização com este produto, a segurança e flexibilidade de um AD, com a mobilidade da plataforma Cloud.

É basicamente ofertado em 3 planos:

 

 

  • Free
  • Basic: Possui algumas features (funções) mais avançadas a serem utilizadas. Objetos ilimitados, SLA’s etc.
  • Premium: Possui algumas features (funções) mais avançadas a serem utilizadas. Objetos ilimitados, SLA’s etc.

Para entendermos melhor sobre essa replicação, temos que entender a estrutura por trás do serviço. À seguir, vamos aprender um pouco sobre algumas configurações possíveis e metodologias.

#             Implementing Directory Synchronization             #

Todo mundo sabe que as empresas hoje em dia, fazem um expressivo investimento em seu ambiente para o controle de usuário, grupo e permissões. A grande maioria utiliza o Windows Server Active Directory para gerenciar toda a parte de identidade e acesso, para suportar seu ambiente e aplicações de TI.

No entanto, é possível mover todo esse modelo para o Azure, optando pela sincronização do ambiente. O serviço de Sincronização de Diretório, possibilita que administradores de domínios possam estender seu AD para a nuvem. O ponto positivo é que reduz bastante o custo e esforço que temos hoje para replicar um site. Fora que, todo o ambiente físico de infraestrutura replicado (servidores, etc) não é necessário, você pode consumir esse recurso como um serviço do Azure. Além disso, é possível prover uma melhor experiência positiva de login em suas aplicações no ambiente on-premises.

Para isso, é necessário efetuar a Sincronização de diretório. O AAD (como é conhecido por sigla) suporta a sincronização de usuários e grupo sob vários cenários possíveis. A escolha de um desses cenários vai depender de você e seu ambiente. Quais os requerimentos de autenticação que você tem, como você usa sua estrutura de login/logon, etc.

Directory Synchronization:  Neste cenário é possível sincronizar usuário e grupos de seu AD, com intervalos agendados onde as alterações serão enviadas para a nuvem de tempos em tempo.

Directory Synchronization w/ Passwork Sync: É uma extensão do cenário acima, porém, é possível sincronizar também as senhas dos usuários. Logo, eles usarão a mesma senha utilizada para authenticar no ambiente on-premises.

É interessante frisar que o cenário melhor a ser escolhido depende de você. Para isso, a Microsoft disponibiliza uma documentação mais aprofundada até mesmo sobre os requerimentos de cada cenário em: http://msdn.microsoft.com/en-us/library/azure/jj573649.aspx

Para que seja possível fazer essa sincronia de diretório (pegar os objetos que está on-premises (usuários e  grupos) e jogar pra nuvem), podemos utilizar 3 ferramentas.

 

 

  • Azure Active Directory Syncrhonization Tool (DirSync)  (Fim do Suporte dia 13/04/2017) – (Deve ser atualizado para o AD Conect para melhor aproveitamento)
  • Azure Active Directory Synchronization Services (AAD Sync) –  (Deve ser atualizado para o AD Conect para melhor aproveitamento)
  • Azure Active Directory Connect (Sucessor das ferramentas acima)

Mais uma vez vale frisar que a escolha da ferramenta fica a gosto do freguÊs. Dependendo exclusivamente de seu cenário e o que o cenário requer no quesito ferramenta. Preferencialmente a ferramenta mais adequada seria o AAD Sync ou o AD Conect, pois a Microsoft tem investido bastante nessa ferramenta e atualizado com frequência. Já o DirSync é a primeira ferramenta de integração lançada pela empresa, porém ainda é requerida para alguns cenários específicos.

 #                        Enable Directory Integration                        #

Pois bem. Independente da ferramenta que vc escolha utilizar (AAD Sync, DirSync e por aí vai) o primeiro passo para iniciarmos essa caminhada sem dúvidas é: habilitar no portal do Azure de sua assinatura a Sincronização de Diretório (Directory Synchronization) de seu AAD. Basicamente é, entrar no portal do Azure e habilitar essa opção.

Após habilitar esta opção, você poderá tranquilamente prosseguir com a implementação do seu cenário de sincronia. Os 2 cenários mais utilizados (de acordo com o livro Exam Ref 70-533, da Microsoft Press) são:

 

 

  • Directory Synchronization w/ Password Sync
  • Directory Synchronization w/ Single Sign-On

 

 # Configure Directory Synchronization w/ Password Sync  #

Este é um dos cenários mais simples de sincronização, porém, não provê ao usuário uma experiência consistente de Single Sign-On. No entanto, permite ao usuário utilizar a mesma senha (e usuário) que ele utiliza em seu ambiente on-premises. Para muitas empresas esta opção é suficiente para atender seus requisitos de autenticação para aplicativos na nuvem, caso o ADFS não esteja configurado on-premises.

Para começar neste cenário, no Portal do Azure vamos abrir o Serviço de Active Directory | Gerenciar > Baixar Azure AD Connect. (Antes de baixar e começar, verifique em Active Directory | Gerenciar > Nomes de Domínio, se você possui um nome de domínio cadastrado para efetuar a migração. O nome (aconselhável)deve ser o mesmo nome que você utiliza On Premises).

Após a criação do nome do domínio, instale a ferramenta que melhor se identifica com seu cenário, e efetue a sincronia. Após a primeira cópia, periódicamente, o assistente continuará replicando objetos on-premises com a nuvem, e seu ambiente sempre estará atualizado.

 

 

  • Este serviço pode ser executado a qualquer momento com o cmdlet Start-OnlineCoExistence-Sync (Powershell).
  • Passe o parâmetro -FullSync, para executar a Sincronia completa do diretório.
  • O script para importar o Módulo que contém  esse cmdlet está em: C:\ProgramFiles\Windows Azure Active Directory Sync\DirSync\ImportModules.ps1

Para checar se a sincronia anda sendo feita com sucesso é bem simples. Basta ir até o Portal do Azure e checar a página de “Users and/or Groups”.. Os usuários que foram sincronizados do ambiente On-Premises aparecerão (na coluna Sourced From) com o parâmetro Windows Server Active Directory. É possível também checar no Event Viewer os logs desta sincronia.

Como o nome mesmo já diz, a configuração desse cenário sincroniza Usuário e Senha do AD para o AAD. Caso o usuário queira resetar sua senha, um administrador deverá logar no portal (ou AD) e efetuar o desbloqueio da conta e mudança de senha. Sabemos que isso é bem custoso em uma empresa, pois é sempre necessário que um administrador tenha tempo para desbloquear um usuário. (E é bem cansativo. Fulano, desbloqueia meu usuário e muda minha senha??) Pensando nisso no Azure temos uma feature (função) chamada SSPR.

SSPR é uma função do AAD que possibilita o administrador de rede definir uma política de reset de senha para os usuários. Os mesmos podem cadastrar numero do telefone celular, email secundário, etc como mecanismo de verificação e reset de senha. Isso entrega uma maior autonomia para o usuário final e menor retrabalho para a TI. Essa feature (SSPR) só está disponível para o nível de assinatura do AAD Basic e Premium.

[Imagem]

Write-back de senha: Permitirá aos usuários alterar e redefinir suas senhas na nuvem e ter sua política de senha local aplicada.

 

 

  • É possível rodar um cmdlet e definir esse parêmetro com as opções: Enable-OnlinePasswordWriteback | Disable-OnlinePasswordWriteback

# Configure Directory Synchronization w/ Single Sign-on   #

Este é um dos cenários que traz maior benefício e experiência para o usuário. O resultado é bem melhor ao nível de usuário. Basicamente funciona da seguinte maneira: Se o usuário já está autenticado o ambiente e for acessar alguma outra aplicação da empresa, não é solicitado novamente um login e senha. Essa e a mudança mais drástica se formos comparar esse cenário com o anterior. A possibilidade de usar múltiplos serviços e aplicações, com um único usuário aproveitando uma única sessão. Porém, o usuário sempre terá que se autenticar no ambiente on-premises para que possa utilizar sem restrições ambos ambientes. (On-premises – Cloud)

Uma ferramenta poderosa que foi desenvolvida pela Microsoft é o Azure AD Connect. Essa ferramenta tem o cuidado de instalar o DirSync, todos os requisitos necessários, e configurar seu ambiente com todas as features (funções) e opções necessárias para se trabalhar tando com o primeiro cenário (w/ Password Sync) tanto com este cenário. *

Este cenário é um pouco mais complexo para se implementar e necessita de um nível mais alto de conhecimento e expertise na ferramenta. Os principais passos são:

 

 

  • Ter um Domínio configurado no AAD
  • Ter um certificado SSL que será usado na comunicação com o servidor ADFS no ambiente on premises.
  • Ter um servidor ADFS implementado.
  • Uma relação de confiança entre o ADFS e o AAD
  • Sincronização de Diretório (não de senha) instalada e configurada

Se você possui todo esses passos funcionais, a ferramenta AAD Connect irá fazer todo o trabalho duro. É interessante que você não tenha em seu ambiente um outro serviço desse tipo (STS – Security Token Service), mesmo sendo de terceiros. 😉

* Algumas features do Azure Connect AD que são bem relevantes:

O Azure Connect AD vem com vários recursos que você pode ativar opcionalmente ou que estão habilitados por padrão. Em alguns casos, alguns recursos podem exigir uma configuração adicional em certos cenários e topologias.

A filtragem é usada para limitar quais objetos são sincronizados ao Azure AD. Por padrão, todos os usuários, contatos, grupos e computadores Windows 10 são sincronizados. Você pode alterar a filtragem com base em domínios, UOs ou atributos.

Sincronização de senhas sincroniza o hash de senhas no Active Directory para o Azure AD: O usuário final pode usar a mesma senha no local e na nuvem, mas apenas gerenciá-la em um único lugar. Como ele usa seu Active Directory local como a autoridade, você também poderá usar sua própria política de senha.

Write-back de senha: Permitirá aos usuários alterar e redefinir suas senhas na nuvem e ter sua política de senha local aplicada.

Write-back do dispositivo: Permitirá que um dispositivo registrado no Azure AD seja gravado de volta no Active Directory local, para que possa ser usado para acesso condicional.

O recurso para impedir exclusões acidentais é ativado por padrão e protege seu diretório na nuvem contra muitas exclusões ao mesmo tempo. Por padrão, ele permite 500 exclusões por execução. Você pode alterar essa configuração, dependendo do tamanho de sua organização.

Atualização automática está habilitada por padrão para as instalações de configurações expressas e garante que o Azure AD Connect esteja sempre atualizado com a última versão.

. . . Continua no próximo post! 😉

#enjoy #rock #azure #cloud

Um Forte Abraço!

Gustavo Magella

Leave a Reply

Your email address will not be published. Required fields are marked *

Responda o enigma: * Time limit is exhausted. Please reload CAPTCHA.