Triển khai mô hình Synchronize Identity – Survival Series (Part 2)

I) Gii thiu công c Azure Active Directory Connect

Bài viết trước gii thiu các công c đng b, so sánh các công c đng b trong mô hình Synchronize Identity cũng như li ích mng li cho doanh nghip khi áp dng mô hình này.

Bài viết này ch yếu gii thiu li công c Azure AD Connector (Newest version) và hướng dn cu hình công cụ này

Vi s ra đi ca công c Azure Active Directory Connect, cho phép doanh nghip d dàng cu hình và tích hp h tng đnh danh bên dưới (On-Prem) đng b lên Azure Active Directory, v cơ bn xin nhc li các li đim ca mô hình Synchronize Identity:

  • Tích hp tài khon ca người dùng On-Prem lên Azure Active Directory, lúc này người dùng không ch s dng các dch v
    h tng bên dưới mà còn dùng tài khon ca h đ s dng các dch v Cloud Services, tiêu biu là Office 365.
  • Người qun tr có th cu hình nâng cao như qun lý vic truy cp ng dng (conditional access based on application), giám sát thiết b (device management) và cu hình vic chng thc 2 lp (Multi-Factor Authentication)
  • Công c Azure AD Connector tp hp tt c nhng cu hình cn thiết, giúp người qun tr đơn gin hóa cu hình ch trên 1 giao din duy nht. Bao gm cu hình các dch v như Sync Services, Password Sync, Single-Sign-On with ADFS, User writeback, Password Writeback….
  • Ngoài ra, tính năng mi là Azure Active Directory Health được Microsoft cung cp. Vi tính năng này, cho phép người qun tr giám sát liên tc toàn b sc khe h thng đnh danh và quá trình đng b trong mô hình Synchronize Identity.

Công c này gm 3 thành phn chính là Synchronize Service, ADFS và Health:

  • Azure AD Synchronize Services (MIM): thành phn này chu trách nhim chính trong vic đng b users, contacts, groups t AD On-Prem lên Azure Active Directory
  • ADFS components: thành phn này cho phép người qun tr trin khai, cu hình mô hình Federated Identity with ADFS thông qua giao din Azure AD Connector. Đơn gin hơn so vi cu hình theo cách truyn thng
  • Health component: thành phn này tích hp vi công c Active Directory Health đ giám sát h thng.

II) Yêu cu trước khi trin khai Azure Active Directory Connect

Yêu cu v Azure Active Directory và Active Directory On-Prem:

  • Phi có Azure Subcription đ có Azure Active Directory (đi vi khách hàng dùng Office 365 thì s có sn Azure AD Basic)
  • Tài khon Global Admin ca Azure Active Directory
  • Active Directory Domain Controller phiên bn 2008 tr lên
  • Tài khon Enterprise Admin ca Active Directory On-Prem trước khi cài đt

Yêu cu v phn cng máy ch chy công c Azure Active Directory Connector:

S lượng Object trong Active Directory

CPU

Memory

HDD

Dưới 10,000

1.6 GHz

4GB

70GB

10,000 – 50,000

1.6 GHz

4GB

70GB

50,000 – 100,000

1.6 GHz

16GB

100GB

Trên 100,000 (nên dùng SQL Server Full Version)

1.6 GHz

32GB

300GB

Các Components mà Azure AD Connect h tr và được cài vào trong quá trình cài đt: 

  • Azure AD Connect Azure AD Connector
  • Microsoft SQL Server 2012 Command Line Utilities
  • Microsoft SQL Server 2012 Native Client
  • Microsoft SQL Server 2012 Express LocalDB
  • Azure Active Directory Module for Windows PowerShell (PowerShell đ kết ni vào Azure AD, Exchange Online)
  • Microsoft Online Services Sign-In Assistant for IT Professionals
  • Microsoft Visual C++ 2013 Redistribution Package

III) Cài đt và cu hình Azure AD Connect

Hng mc này hướng dn người dùng cu hình, cài đt Azure AD Connect cơ bn nht, người dùng có th cài trc tiếp trên máy ch Domain Controller:

1. Trước tiên, người dùng ti công c Azure Active Directory Connect, http://go.microsoft.com/fwlink/?linkid=615771&clcid=0x409

2. Đăng nhp tài khon có các quyn như sau (Enterprise Admin, Schema Admin, Domain Admin), chy file va ti v à Click chn cu hình theo Customize đ có cái nhìn rõ hơn v công c Azure AD Connector:

3. Thay vì h thng cài đt theo cu hình chun, hng mc này cho phép người dùng tùy chn các cu hình như:

  • Specify a custom installation location: tùy chn đường dn cài đt thư mc thay vì cài đt mc đnh “C:\Program Files\…”
  • Use an existing SQL Server: thay vì mc đnh công c s cài đt SQL Express đ làm database lưu tr cho Azure AD Connect, thì người dùng có th tn dng cài trên SQL Server ca mình
  • Use an existing service account: s dng tài khon service account
  • Specify custom sync groups: la chn nhng group sync

Đ mc đnh như hình bên dưới nếu không mun cu hình gì thêm à chn Install:

4. H thng bt đu cài các thành phn cn thiết:

5. Bước này người qun tr s bt đu la chn mô hình trin khai Hybrid Identity à  bài viết này tôi chn mô hình Synchronize Identity nên chn vào “Password Synchronization”

6. Khai báo tài khon Global Admin đ kết ni ti Azure Active Directory (đi vi người dùng Office 365 thì tài khon Global Admin cũng chính là tài khon Admin ca Azure AD):

7. Khai báo tài khon Enterprise Admin đ kết ni ti Active Directory On-Prem, chn Forest s đng b lên Azure Active Directory:

8. Azure Active Directory s xác đnh user đng b da trên 2 thuc tính (attribute) là UserPrincipalName và ObjectGUID (s đnh danh đc quyn trong mi user trong AD)

9. Gi mc đnh, đng b tt c các user và thiết b lên Azure Active Directory:

10. Ti đây người dùng chn thêm các tính năng cho vic đng b, mc đnh Azure AD Connect bt buc chn đng b password “Password Sync”, nếu người dùng có license Azure AD Premium thì chn thêm “Password Writeback” đ cho phép reset mt khu trên Portal và write-back ngược li v Active Directory On-Prem.

11. B chn “Start the synchronization process as soon as the configuration completes” đ không đng b tc thì mà tôi s hướng dn người dùng đng b theo cơ chế OU-Based Filtering hng mc bên dưới tiếp theo ca bài viết. Bỏ chn “Enable staging mode: When selected, synchronization will not export any data to AD or Azure AD“. Nếu chn như trên thì Azure AD Sync Scheduler trong Task Scheduler s b Disable đng b theo chu kỳ, các bước tiếp theo tôi s hướng dn cu hình sau.

12

12. Hoàn tt vic cu hình Azure Active Directory Connect và quá trình đng b b disable do tôi chn 2 option trên như trên.

Hng mc tiếp theo s hướng dn cu hình thành phn Synchronize Services trong Azure Active Directory Connector

IV) Cu hình thành phn Azure Active Directory Synchronize Services (AAD Sync Tool)
Gii thiu cơ chế OU-Based Filtering: 

Thay vì phi sync toàn b thông tin ca b Active Directory (Users, Contacts, Groups, Service Account). Đôi khi không cn thiết phi sync toàn b thông tin và cơ s d liu ca AD On-Prem lên Azure AD. Ví d, nếu trong t chc ca doanh nghip đã chun hóa phòng ban, t chc theo dng OU (Organization Unit) thì đôi khi phòng ban kế toán s dng dch v Cloud Services, phòng ban marketing không cn s dng dch v Cloud Services thì không cn thiết phi sync lên Azure AD các tài khon này, ngoài ra các service account chy các dch v bên dưới On-Prem cũng không cn thiết phi đng b lên Azure AD. Cơ chế OU-Based Filtering cho phép người qun tr la chn nhng OU cn thiết đ đng b lên Azure AD
Cu hình cơ chế OU-Based Filtering và sơ b v Synchronization Service: 

1. Chn Start à gõ “Synchronization Service” à m “Synchronzation Service” đ vào công c qun lý vic đng b

2. Lúc này h thng báo li “Unable to connect to the Synchronization Service“, là do thiếu quyn đ m công c này

3. Vào Active Directory Users & Computers (ADUC), Users à bn s thy trong lúc cài s sinh ra mt s Group nhưADSyncAdmins, ADSyncBrowse, ADSyncOperators, ADSyncPasswordSet“. Do tài khon đăng nhp ca bn chưa add vào các group này.

4. Tôi đang s dng tài khon Administrator đ đăng nhp, hình bên dưới khai báo vào các group ca Synchronization Services:

5. Thc hin Sign Out và đăng nhp li đ load li profile:

6. Lúc này chy li Synchronize Service Manager và vào th Connectors ta s thy như hình bên dưới, bao gm 2 kết ni:

  • Connector Vivazure.vn: kết ni gia Synchronize service vi database ca Active Directory On-Prem
  • Connector Hptcloud.onmicrosoft.com: kết ni gia Synchronize service vi database ca Azure AD
  • V cơ chế đng b, tham kho part 1

Tiếp theo, n chn connector Vivazure.vn đ vào cu hình cơ chế đng b “OU-Based Filtering”

7. Chn thConfigure Directory Partitionà Chn tiếp “Containersà H thng s yêu cu chng thc bng quyn “Enterprise Admin

8. Sau khi chng thc, người qun tr s thy cây thư mc cu trúc AD ca mình, và lúc này ch cn chn OU (Organization Unit) đ đng b lên Azure Active Directory.

9. Sau khi đã chn nhng OU cn thiết, người qun tr s tiến hành đng b bng tay (Manually) đ kim tra quá trình đng b, thc hin các bước như sau:

  • M Windows Powershell, gõ CD “C:\Program Fiels\Microsoft Azure AD Sync\Bin”
  • Tiếp tc gõ .\DirectorySyncClientCmd.exe initial

H thng s tiến hành đng b và báo success như hình bên dưới

Ti đây người dùng đã hoàn tt vic cu hình thành phn Synchronize Services đng b theo cơ chế OU-Based Filtering.

IV) Cu hình Schedule lch trình đng b ca thành phn Synchronzie Services (Task Scheduler)

Cu hình trước đã disable tính năng t đng b theo lch trình, phn này s hướng dn người qun tr enable li tính năng này trong dch v ca Synchronize Service:

1. Lch trình đng b ca công c Synchronzie Service nm Task Scheduler à người qun tr vào Task Scheduler s thy mt dch v “Azure AD Sync Scheduler” à double click vào dch v này

2. Vào thTriggers” s thy thi gian đng b à Mc đnh là đng b 3 tiếng 1 ln, đây tôi chn li là đng b 1 tiếng mt ln:

3. Sau khi chn xong và nhn OK à h thng s yêu cu chng thc à lúc này khai báo tài khon Enterprise Admin vào:

Lúc này trên Portal Office 365 -> Users –> Active Users đã sync thành công các user từ bên dưới hạ tầng AD On-Prem lên Azure Active Directory, người quản trị có thể nhìn thấy tài khoản với “Synced with Active Directory” là tài khoản sync từ bên dưới lên Azure Active Directory. Người dùng sẽ đăng nhập tài khoản và mật khẩu bên dưới AD On-Prem và sử dụng dịch vụ Office 365

32

31

Như vy đã hoàn tt quá trình đng b và cu hình Synchronzie Service, bài viết tiếp theo tôi s gii thiu cách trin khai Azure AD Health đ giám sát h thng

Comments

comments

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 26 = 30

LinkedIn Auto Publish Powered By : XYZScripts.com