A Microsoft fornece gerenciamento de identidades e você pode tirar proveito de alguns dos recursos de segurança mais recentes possíveis com o sistema de identidades na nuvem.
As tecnologias de acesso e identidade permitem ambientes mais seguros, seja no Active Directory local , em nuvem ou em em implantações híbridas. A Microsoft fornece gerenciamento de identidade e acesso com logon único, autenticação multifator, gerenciamento do ciclo de vida, acesso condicional e muitos outros recursos.
O Azure AD é o serviço de gerenciamento de identidade e diretório baseado na nuvem. Gerenciar usuários locais e na nuvem é um desafio necessário.
Em ambientes simplificados (O clássico) temos uma rede com servidores locais, Active Directory e colocamos as máquinas no domínio, temos controle do ambiente no que diz segurança, pois controlamos os dispositivos, os recursos, porém esse modelos já não atende as demandas do mercado que exige mais agilidade, dinamismo e tecnologias modernas conectadas. Agora essa rede corporativa “clássica” já não é mais o limite de segurança. As pessoas esperam poder trabalhar de qualquer lugar, em qualquer dispositivo. O foco no controle de segurança agora é a identidade.
Identidade híbrida
As soluções de identidade da Microsoft abrangem locais e recursos baseados em nuvem, criando uma identidade de usuário único para autenticação e autorização em todos os recursos, independentemente do local. Chamamos isso de identidade híbrida.
Conheça o Curso intensivo de Azure Active Directory
Sua identidade é agora é muito valiosa. A validação de quem você é fornece as chaves do reino, e é por isso que os hackers usam phishing para obter credenciais válidas. Isso é muito mais fácil do que invadir um servidor ou um firewall, é mais fácil conseguir convencer alguém que tenha um nome de usuário e a senha.
O primeiro passo é configurar a sincronização entre o AD local e o Azure AD e vamos entender isso a seguir:
Como ter uma identidade única para recursos locais e na nuvem
Primeiramente você precisará :
- Acessar um Tenant do Azure e também possuir direitos de administrador global.
- Possuir acesso administrativo na sua rede local do Active Directory
- Instalar o Azure AD Connect (arquivo .msi) no seu servidor https://www.microsoft.com/en-us/download/details.aspx?id=47594
A ideia é ter a capacidade de sincronizar as contas entre os diretórios tanto local quanto na nuvem e a vantagem é que podemos fazer uso de recursos de segurança como que serão tratados em outros artigos como por exemplo, Self service password , Conditional Access ou AD Password Protection.
Configurando o domínio personalizado
Todo Tenant do Azure AD vem com um nome de domínio inicial, .onmicrosoft.com. Você não pode alterar ou excluir o nome de domínio inicial, mas pode adicionar os nomes da sua organização.
Adicionar um nome de domínio ao seu Azure é um passo importante pois o nome de domínio é uma parte do identificador para muitos recursos como o nome de usuário ou endereço de e-mail , parte do endereço de um grupo e, às vezes, faz parte do URI de ID do aplicativo de um aplicativo.
A melhor pratica se você pretende federar seu domínio e usar single sign-on você deve registrar o mesmo nome de domínio. Exemplo. Se o seu Active Directory Local possui o nome Contoso.com você deve registrar o Contoso.com na Internet também e então configurar o Azure como nos passos a seguir:
- Entre no portal do Azure usando uma conta de administrador Global para o diretório.
- Acesse o Azure Active Directory e clique em Custom Domain Names
- Você precisará atualizar os registros DNS com seu registrador de nome de domínio. fácil.
Depois que o nome de domínio ficar verificado e isso pode demorar devido a replicação do DNS, você deve marcar como primário.
- Make Primary
Agora já podemos instalar e fazer o sync do nosso Active Directory Local para a Nuvem. Para isso, baixe o Azure AD Connect (arquivo .msi) no seu servidor https://www.microsoft.com/en-us/download/details.aspx?id=47594
O Azure AD Connect é a ferramenta da Microsoft criada para atender e atingir suas metas de identidade híbrida. Ela fornece os seguintes recursos:
- Sincronização de hash de senha – um método de entrada que sincroniza o hash da senha do AD local do usuário com o Azure AD.
- Autenticação de passagem – um método de entrada que permite que os usuários usem a mesma senha localmente e na nuvem, mas não exige a infraestrutura adicional de um ambiente federado.
- Integração de federação – a federação é uma parte opcional do Azure AD Connect e pode ser usada para configurar um ambiente híbrido usando uma infraestrutura do AD FS local. Ela também fornece recursos de gerenciamento do AD FS, como renovação de certificado e implantações adicionais de servidor do AD FS.
- Sincronização – responsável pela criação de usuários, grupos e outros objetos. Também é responsável por garantir que as informações de identidade dos usuários e grupos locais correspondam às da nuvem. Essa sincronização também inclui os hashes de senha.
- Monitoramento de Integridade – o Azure AD Connect Health pode fornecer monitoramento robusto e fornecer um local central no portal do Azure para exibir essa atividade.
Sua instalação é bem simples e e deve ser instalado no Windows Server 2008 R2 ou posterior. Esse servidor deve estar ingressado no domínio e pode ser um controlador de domínio ou um servidor membro.
A instalação em um controlador de domínio não é recomendada devido a práticas de segurança e configurações mais restritivas que podem impedir que Azure AD Connect sejam instalados corretamente.
Aguarde a sincronização inicial completar.
- https://www.microsoft.com/en-us/security/technology/identity-access-management
- https://docs.microsoft.com/en-us/windows-server/identity/identity-and-access
- https://docs.microsoft.com/pt-br/azure/active-directory/hybrid/
- https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/domains-manage
- https://docs.microsoft.com/pt-br/azure/active-directory/hybrid/how-to-connect-install-prerequisites
1 Trackback / Pingback