Im vergangenen Monat hatten wir über Gemeinsamkeiten und Unterschiede von Active Directory und Azure Active Directory geschrieben: https://csp.abtis.de/2017/05/19/identity-management-in-einer-hybriden-cloud-teil-1-azure-active-directory-demystifiziert/

Im Beitrag von dieser Woche setzen wir die Reihe fort und beschäftigen uns mit dem Hybridgedanken hinsichtlich Benutzerauthentifizierung.

 

Dedizierte Konten vs. Synchronisierte Konten

Bevor wir wieder auf den Begriff „hybrid“ zurückkommen, machen wir zunächst einen Exkurs. Wir setzen das Szenario voraus, dass es ein vorhandenes Active Directory im heimischen Rechenzentrum gibt. Gleichzeitig haben wir in unserem Fall einen Office 365-Tenant eröffnet und über das Office 365 Admincenter einige Benutzerkonten erstellt. Als Ergebnis haben wir zwei dedizierte und voneinander unabhängige Benutzerkonten, die separat gepflegt werden müssen und unter Umständen unterschiedliche Anmeldenamen oder Kennwörter haben. Ein Ergebnis also, das für einen schnellen Test ausreichend sein mag, für den Unternehmenseinsatz aber nicht tauglich ist.

 

Tauglich für den Unternehmenseinsatz wäre allerdings in vielen Fällen die Erfüllung folgender Anforderungen:

  • Zentrale Pflege von Benutzerkonten mit den bekannten Tools
  • Selber Anmeldename und dasselbe Kennwort für Clouddienste und das heimische Rechenzentrum

Zu diesem Zweck stellt Microsoft seit vielen Jahren ein Tool bereit, das den automatischen Abgleich der Benutzerkonten durchführt und unser Identity Management hybridisiert: Azure Active Directory Connect (AAD Connect, in früheren Versionen „DirSync“).

Die Einrichtung von Azure AD Connect kann nach der Installation komplett über einen Wizard vorgenommen werden, der durch alle wesentlichen Punkte der Einrichtung führt.

 

Optional, aber empfohlen, ist zusätzlich zur Kontensynchronisation die Synchronisation von Passwort-Hashes. Hierbei werden verschlüsselte Passwortinformationen aus dem Active Directory zu Azure Active Directory repliziert und dort wiederum verschlüsselt gespeichert.

 

Same Sign On-Experience

Azure Active Directory Connect synchronisiert Benutzerkonten aus der On-Premise-Umgebung mit den Microsoft Cloud Services. Technisch betrachtet wird in diesem Fall zur Anmeldung an Azure AD / Office 365 eine Kopie des ursprünglichen Kontos verwendet. Auch wenn Benutzernamen und Kennwörter dieselben sind, werden zwei unterschiedliche Konten verwendet. Hierdurch wird von einer Same Sign On-Experience gesprochen.

Microsoft bietet zusätzlich eine weitere Möglichkeit zur Authentifizierung und Single Sign-On zu den Microsoft Cloud Services. Auf dieses Szenario gehen wir im dritten Teil der Blogreihe ein.

Dieser Beitrag ist Teil einer dreiteiligen Blog-Serie.

·         Teil 1: Azure Active Directory demystifiziert

·         Teil 2: Synchronisation bestehender Active Directory-Konten mit Azure Active Directory

·          Teil 3: Identity Federation mit der Microsoft Public Cloud

 

Redakt.: Matthias Kirchenbauer