Triển khai mô hình Federated Identity – Survival Series (Part 1)

Trước khi thực hiện series này, bạn phải chuẩn bị sẵn mô hình Synchronization Identity thông qua bài viết “Triển khai mô hình Synchronize Identity – Survival Series (Part 2)

I) Gii thiu bài viết

Federated Identity (Hybrid Identity with SSO): mô hình này là nâng cp ca mô hình Synchronize Identity, ngoài vic cho phép người qun tr đng b người dùng lên Office 365. Federated Identity còn cung cp nhng chính sách bo mt (Security Policies) và tri nghim đăng nhp mt ln cho tt c các dch v (Single Sign On – SSO). Lúc này, người dùng s đăng nhp và chng thc để  bên dưới h tng (On-premise) thông qua tính năng Active Directory Federation Services (ADFS). Trước khi thực hiện series này, bạn phải chuẩn bị sẵn mô hình Synchronization Identity thông qua bài viết “Triển khai mô hình Synchronize Identity – Survival Series (Part 2)

Tham khảo bài viết:Tng quan v mô hình trin khai Office 365 – Office 365 Identity Model

Đi vi Series bài viết này, tác gi ch yếu tp trung vào vic hướng dn trin khai mô hình Federated Identity cho doanh nghip, bao gm ba phn chính:

  • Phn 1 – Chun b h tng trin khai và các yêu cu cn thiết
    • Tìm hiểu sơ bộ về Active Directory Federation Services
    • Chun b h tng trin khai
    • Các yêu cu khi trin khai mô hình Federated Identity
    • Các yêu cu v Azure Active Directory trước khi trin khai
  • Phn 2 – Cu hình máy ch ADFS (Active Directory Federation Services) và máy ch ADFS Proxy (Active Directory Federation Service Proxy)
    • Cài đt cu hình máy ch ADFS
    • Cài đt cu hình máy ch ADFS Proxy
    • Kích hot Domain tr thành Federated Domain
    • Kim tra tính năng Single-Sign On (SSO)
  • Phn 3 – Giám sát sc khe h thng vi Azure AD Connect Health
    • Gii thiu tính năng Azure AD Connect Health
    • Yêu cu trước khi trin khai Azure AD Connect Health
    • Cu hình Azure AD Connect Health

I) Tìm hiu sơ b v Active Directory Federation Services

Active Directory Federation Services là mt trong 5 role quan trng ca Active Directory mà Microsoft tích hp vào các phiên bn Windows Server. Cung cp cho người dùng tri nghim chng thc mt ln (Single-Sign On) đi vi các dch v trong t chc da trên cơ chế chng thc Claim-Based Authentication ( đây người dùng có th hiu nôm na t “Claim” có nghĩa là “Attribute” trong Active Directory).

Khi mt ng dng hoc dch v được cu hình tích hp vi ADFS, cơ chế Claim-Based authentication chu trách nhim x lý vic chng thc ca người dùng thông qua vic xác đnh các thuc tính (attribute) s hu ca người dùng trong Active Directory.

Bao gm các phiên bn:

Phiên bn ADFS Notes
ADFS 1.0 Windows Server 2003 R2 (Role)
ADFS 1.1 Windows Server 2008/2008 R2 (Role)
ADFS 2.0 Ti v ti http://www.microsoft.com/en-us/download/details.aspx?id=10909
ADFS 3.0 (Newest) Windows Server 2012 R2 (Role)

Cơ chế chng thc đi vi người dùng trong mng ni b s dng Office 365 (Cloud Services)


Cơ chế chng thc đi vi người dùng bên ngoài s dng Office 365 (Cloud Services)

II) Chun b h tng trin khai

Mô hình Federated Identity trong bài lab này tôi trin khai mi dch v là mt máy ch (Standalone Server) và được mô t như hình bên dưới:

Máy ch Cu hình Dch v Cu hình IP
AD + Azure AD Synchronize 1CPU, 8GB RAM, 100GB HDD
Windows Server 2012 R2
Active Directory 2012 R2 IP: 10.0.18.24
Subnet: 255.255.255.0
DNS: 10.0.18.24
ADFS Server 1CPU, 8GB RAM, 100GB HDD
Windows Server 2012 R2
Máy ch ADFS dùng đ chng thưc cho người dùng bên trong mng ni b (Internal Access) IP: 10.0.18.9
Subnet: 255.255.255.0
DNS: 10.0.18.24
ADFS Proxy Server
(Web Application Proxy 2012 R2) (không join domain)
1CPU, 8GB RAM, 100GB HDD
Windows Server 2012 R2
Máy ch ADFS Proxy dùng đ chng thưc cho người dùng bên ngoài (External Access) IP: 10.0.18.73
Subnet: 255.255.255.0
Gateway (đ trng)
DNS (đ trng)
IP Public hoc NAT port cho máy ch ADFS Proxy ra bên ngoài 116.118.110.9x Lưu ý: vi máy ch ADFS Proxy Server s có 2 card mng: Internal (không có Gateway) và External (NAT Port hoc gn IP Public trc tiếp)
Certificate Public (CA Public) Wild Card (*.hptvietnam.com) hoc s dng SAN Name (sso.hptvietnam.com)
Federation Service Name Tôi chn Federation Service Name cho cu hình ADFS là : sso.hptvietnam.com
Service Account To 1 account làm service account cho dch v ADFS trong AD Users & Computers

III) Các yêu cu trin khai mô hình Federated Identity

  • Trước hết người qun tr phi cu hình Azure Active Directory Synchronize Services trên máy ch AD đ đng b người dùng bên dưới lên Office 365. Đ cu hình hng mc này, tham kho bài viết “TRIN KHAI MÔ HÌNH SYNCHRONIZE IDENTITY – SURVIVAL SERIES (PART 2)”
  • Chy tính năng cp nht Windows (Windows Update) cho tt c các máy ch vn hành
  • Kim tra đã cu hình IP đy đ và tt firewall tt c các máy ch
  • DNS Server ni b phi khai báo sn các record (A) như bng bên dưới:
Internal DNS Server To zone hptvietnam.local

  • Record (A): máy ch AD
  • Record (A): máy ch ADFS

To zone hptvietnam.com

  • Record (A): sso.hptvietnam.com tr v ADFS Server
Public DNS Domain hptvietnam.com:

  • Record (A): tr v IP Public
Đi vi máy ch ADFS Proxy Cu hình DNS Host file ti (C:\Windows\System32\Drivers\etc\Host)

  • 10.0.18.9 sso.hptvietnam.com

 

IV) Các yêu cu v Azure Active Directory trước khi trin khai

Đi vi Azure Active Directory, phi đm bo domain public khai báo trên Office 365 đang là domain “Managed” trước khi cu hình:

1. Ti v và cài đt Microsoft Online Services Sign-In Assistant for IT Professionals RTW ti đây: http://go.microsoft.com/fwlink/?LinkID=286152

2. Tiếp theo, ti v và cài đt Windows Azure Active Directory Powershell ti đây: http://go.microsoft.com/fwlink/?LinkID=286152

3. M Windows Azure Active Directory Powershell à gõ lnh “connect-msolservice” và đăng nhp tài khon Global Admin ca Office 365

4. Gõ lnh “Get-MsolDomain” đ xem loi hình chng thc ca tng domain

Nếu domain public ca bn đang là cơ chế “Authentication : Managed” có nghĩa là đang chng thc trc tiếp Office 365. Lúc này đáp ng yêu cu ca bài lab

Nếu bn đã cu hình đy đ và đáp ng các yêu cu trên, hãy tiếp tc vi phn 2 ca bài viết.

Comments

comments

Leave a Reply

Your email address will not be published. Required fields are marked *

× 6 = 36

LinkedIn Auto Publish Powered By : XYZScripts.com