Active Directory w chmurze

Rozwiązania chmurowe Microsoftu koncentrowały się do tej pory na zadaniach związanych z aplikacjami webowymi. Obecnie trwa wprowadzanie do chmury także obsługi usług katalogowych.

Hasła nie lecą do chmury

Proces uwierzytelnienia jest typowy dla konfiguracji sfederowanej. Instancja ADFS2 uruchomiona lokalnie zarządza wszystkimi uprawnieniami i uwierzytelnieniem. Żadne informacje związane z hasłem nie są przenoszone do chmury. System wysyła jedynie tokeny, które zezwalają na wykonanie przez użytkownika konkretnych zadań, zgodnie z jego uprawnieniami zapisanymi w usługach katalogowych.

Usługi Microsoft Azure mogą służyć do optymalizacji obsługi szczytów obciążenia lub wyniesienia do infrastruktury usługodawcy obciążeń, których nie opłaca się obsługiwać we własnej infrastrukturze firmowej (on-premise). Aby osiągnąć spójne uwierzytelnienie i jednokrotne logowanie do aplikacji, niezbędne jest połączenie mechanizmów uwierzytelnienia w aplikacji on- premise z tymi, dostępnymi w chmurze. Microsoft opracowuje technologię, która to umożliwia, uruchamiając synchronizację lokalnej repliki Active Directory z usługą w chmurze o nazwie Windows Azure Active Directory (WAAD).

WAAD składa się z trzech części. Po pierwsze, deweloperzy mogą łączyć się z usługą webową, aby tworzyć, odczytywać, aktualizować i usuwać informacje o tożsamości obiektów i użytkowników w chmurze, by potem skorzystać z informacji w swoich aplikacjach. Mogą wykorzystać mechanizm jednokrotnego logowania, by użytkownicy usług Office 365, Dynamics CRM czy Windows Intune logowali się za pomocą tego samego hasła.

Po drugie, będzie możliwa synchronizacja usług katalogowych w firmie z WAAD, włącznie ze scenariuszem federacyjnym usług. Rozwiązanie jest już testowane. Ostatnią opcją jest integracja WAAD z konsumenckimi usługami zarządzania tożsamością, powiązanymi z dostępem do Facebooka czy usług Google.

Co potrafi WAAD

W obecnym stadium rozwoju usługa WAAD jest użytkowana głównie przy obsłudze Office’a 365. Informacja o użytkownikach, grupach i usługach stanowi część oferty webowego pakietu i jest przechowywana w zasobach chmury Microsoftu. WAAD nie ma graficznego interfejsu, więc do testów należy posłużyć się interfejsem PowerShell. Instancja WAAD będzie częścią subskrypcji Azure.

Wewnątrz WAAD przechowywane są informacje:

- o użytkownikach - ich hasłach, założeniach polityki bezpieczeństwa odnośnie do haseł i innych, podobnych informacji;

- o grupach (security i distributions), podobnie jak w standardowej instalacji Active Directory;

- o rolach przypisanych do użytkowników;

- o usługach i innych obiektach, a także o domenach DNS, które są połączone do instancji w chmurze;

- wewnętrzne, niezbędne do świadczenia usługi.

Jednokierunkowa synchronizacja

Aby móc synchronizować instancję Active Directory z chmurą, poza samą lokalną instancją AD, potrzebujemy także usług federacyjnych Active Directory Federation Services Version 2 (ADFS2). ADFS2 działają jako pośrednik między chmurą a lokalną instancją on-premise. Po zestawieniu połączenia narzędzie DirSync tworzy kopię lokalnego katalogu, a następnie przekazuje go do synchronizacji z usługą w chmurze. Po synchronizacji proces jest powtarzany co trzy godziny, uzupełniając informacje w chmurze o zmiany dokonane w lokalnej usłudze Active Directory.

Obecnie synchronizacja przebiega jednokierunkowo, od lokalnej repliki do instancji w chmurze. Jeśli utworzone zostało konto w usłudze Office 365, nie oznacza to utworzenia konta w lokalnej usłudze katalogowej. Nawet podczas pierwszej synchronizacji utworzone w chmurze konta nie będą replikowane do lokalnego katalogu. Jeżeli przed połączeniem katalogów istnieją takie obiekty, należy je usunąć i utworzyć ponownie. Proces jest taki sam jak przy narzędziach synchronizacji Office 365. Pełna synchronizacja może zająć do 36 godzin.

Trudne zarządzanie AD w chmurze

Ponieważ nie da się obejrzeć wprost instancji Active Directory w chmurze za pomocą znanych narzędzi, takich jak Active Directory Users And Computers, zarządzanie odbywa się w odmienny sposób. Pierwszą metodą jest utrzymywanie lokalnej repliki i sychronizacja za pomocą narzędzia DirSync. Działa to tylko w jedną stronę - do chmury. Drugi sposób zakłada użycie portalu administracyjnego usługi Office 365. Utworzenie i zmiany wprowadzone przez portal znajdują odzwierciedlenie tylko w instancji utrzymywanej w chmurze. Trzecia metoda wykorzystuje wtyczkę PowerShell, będącą obecnie jedynym narzędziem, z którego mogą skorzystać administratorzy, by odczytać i zapisać zmiany w instancji Active Directory, podobnie jak w instancji lokalnej. Czwarty sposób to API Graph - nowość w wydaniu developer preview. Umożliwia przeglądanie wpisów WAAD, obejmując grupy i ich członkostwo oraz różne informacje. Narzędzie umożliwia jedynie odczyt.

Microsoft informuje, że w przyszłych wydaniach wprowadzony zostanie graficzny interfejs użytkownika do zarządzania WAAD, ale nie wiadomo, czy obejmie on wszystkie aspekty pracy z tą usługą katalogową, czy jedynie najczęściej wykorzystywane. Nie ma też informacji, czy posługiwanie się wierszem poleceń PowerShell nadal będzie niezbędne do działań administracyjnych i związanych z federacją katalogów ani kiedy zostanie wprowadzona do instancji chmurowej obsługa polis GPO (Group Policy Object) i w jaki sposób będzie odbywać się zarządzanie nimi. Na razie taka usługa w Azure nie istnieje.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200