Czy mogę użyć Office365 lub Azure AD jako rekordu głównego dla usługi Active Directory?

12

Mamy małą firmę i obecnie nie potrzebujemy domeny w naszym biurze. Mamy podstawową sieć i pojedynczy serwer z systemem Windows Server 2008 R2 z niektórymi udziałami plików i aplikacjami innych firm.

Używamy Office 365 i mamy subskrypcję Windows Azure. Wygląda na to, że dość dobrze synchronizują Active Directory dla naszej organizacji. (tzn. dane wyglądają tak samo w obu systemach)

Wszystkie aplikacje firm trzecich, które uruchamiamy na naszym serwerze aplikacji, obsługują LDAP jako dostawcę tożsamości, ale ponieważ nie prowadzimy domeny, musimy nakłonić każdego użytkownika do utworzenia nowego loginu / hasła do tych usług.

Idealnie chcielibyśmy, aby ten serwer został zsynchronizowany z Azure / Office 365 i umożliwić użytkownikom uwierzytelnianie przy użyciu poświadczeń Office365.

Cała literatura, którą znalazłem, mówi o synchronizacji z lokalnego na Azure, ale chcielibyśmy raczej zsynchronizować z Azure / Office 365 na naszym lokalnym serwerze. Wydaje mi się, że nasz lokalny serwer został federacyjnym dostawcą tożsamości dla naszego katalogu Office 365 ...

Czy jest to możliwe, czy potrzebujemy zewnętrznego dostawcy LDAP, który może federować tożsamości z platformy Azure lub Office 365?

azure single-sign-on microsoft-office-365

— Adrian Hope-Bailie
źródło

Jeśli korzystasz z usługi AD na platformie Azure, możesz po prostu uruchamiać żądania względem tego kontrolera domeny. Możesz jednak potrzebować VPN, aby połączyć swoją sieć z lazurami.

— Nathan C

1

@NathanC istnieje różnica między uruchomieniem kontrolera domeny w wystąpieniu maszyny Wirtualnej platformy Azure (a nie tym, co robi ten gość) a uruchomieniem usługi Azure AD w / DirSync dla dzierżawy O365, o czym on mówi.

— MDMarra,

@MDMarra Ah, nauczyłem się czegoś na podstawie pytania kogoś innego. :)

— Nathan C

@NathanC tak Azure AD to coś, co istnieje na platformie Azure i jest dostępne za pośrednictwem interfejsu internetowego do zarządzania użytkownikami, grupami i DirSync do użytku z Office 365 i Intune. To nie jest serwer, na który można logować się interaktywnie. Jest to wielozadaniowy wariant Microsoft AD z specjalnym specjalnym sosem internetowym.

— MDMarra,

1

Adrian - co skończyłeś? Zastanawiamy się nad podobną trasą, ciekawy, jak Ci się udało?

— aSkywalker

10

Krótka odpowiedź: nie. Jednak, jak opisano @ Nathan-C, możesz znieść wymagane usługi przy użyciu Azure Iaas (DC + DirSync + ADFS lub DC + Dircync z synchronizacją pwd) w celu uzyskania pojedynczego logowania między swoim Twoje aplikacje Office365 i aplikacje dodatkowe. Konieczne będzie wdrożenie łącza VPN między platformą Azure a siecią lokalną.

Usługa Azure AD NIE jest „zwykłą” usługą Active Directory.

— Trondh
źródło

1

Dzięki, podejrzewałem, że tak było. Udało nam się skonfigurować większość aplikacji innych firm do korzystania z OAuth2 w celu zapewnienia tożsamości. Następnie zainstalowaliśmy usługę auth0 ze sklepu Azure i skonfigurowaliśmy naszą usługę Azure AD jako dostawcę tożsamości korporacyjnej (połączenie) dla usługi auth0. Aplikacje innych firm używają teraz auth0 jako dostawcy identyfikatora, który federuje naszą usługę Azure AD. (mam nadzieję, moje prawo terminologii, ale w zasadzie aplikacje używać OAuth2 uwierzytelnić przed auth0 który „proxy” nasz Azure AD)

— Adrian Nadzieja-Bailie

Kolejny komentarz do proponowanego rozwiązania: nie chcemy tego robić, ponieważ 1) lubimy używać Office 365 do zarządzania naszymi użytkownikami 2) tak naprawdę nie chcemy zmusić naszych użytkowników do zalogowania się do domeny, którą, jak zakładam, implementuje DC zaangażować

— Adrian Hope-Bailie

4

Dzięki najnowszej wersji DirSync możesz zainstalować go na DC. Kiedyś było tak, że nie można.

— Trondh,

3

Jednak począwszy od systemu Windows 10 komputery klienckie mogą dołączyć do domeny w usłudze Azure AD.

— Kevin Tianyu Xu

2

@JPHellemons - artykuł Technet tutaj wyjaśnia, jak to ustawić

— Frederik Nielsen

3

Firma Microsoft niedawno rozpoczęła oferowanie rzeczywistych usług Active Directory na platformie Azure: https://azure.microsoft.com/en-us/services/active-directory-ds ; jeśli potrzebujesz tylko scentralizowanego uwierzytelnienia, mogą one w pełni zastąpić lokalną AD.

— Massimo
źródło

2

Wszystkie te informacje są stare, chciałem tylko pomóc komuś, kto ich szukał. Dzisiaj 25.10.2016 Mam około 20 laptopów z systemem Windows 10, które łączą się i współpracują bezpośrednio z usługami Azure AD. Integruje się i doskonale współpracuje z o365 i wieloma innymi usługami „chmurowymi” firmy Microsoft.

— Ktoś, kto się liczy
źródło

1

Czy Twoje serwery mogą dołączyć do domeny Azure bez lokalnego AD / DC?

— user228546,

0

Nie. Azure AD nie jest tak naprawdę AD. Ma mniejszą funkcjonalność, ponieważ ma bardziej ograniczony schemat, a jako usługa nie może być używana do uwierzytelniania / zarządzania urządzeniami, jak to możliwe przy użyciu prawdziwego kontrolera domeny i AD.

Obsługiwany przez nich przypadek użycia polega na użyciu usługi Azure AD do zarządzania loginami na komputerach z systemem Windows 10; i możesz używać Microsoft Intune do dowolnego zarządzania (które uzyskasz dzięki zasadom / zarządzaniu z „prawdziwej” pełnej instalacji AD)

Ostrzegam, że nawet proponowane rozwiązanie - nie jest jeszcze w pełni „wypieczone”, a jeśli spróbujesz, będziesz wczesnym adoptatorem. Jest to nieco niekompletna funkcjonalność (na przykład zarządzanie dla komputerów Mac nie istnieje; nie można dołączyć do usługi Azure AD dla systemu OS X) i jest nieco wadliwe (czasami komputery mogą się uwierzytelniać i dołączać, a czasem po cichu kończą się niepowodzeniem).

YMMV

— Dan R.
źródło