netzwerke fÜr d a s 3 . j a h r ta u s e n d · •speicherort für „cloud identities“...
TRANSCRIPT
N E T Z W E R K E F Ü R
D A S 3 . J A H R T A U S E N D
I P A D D R E S S M A N A G E M E N T
P R I V I L E G E M A N A G E M E N T
A C T I V E D I R E C T O R Y M A N A G E M E N T
Ulf B. Simon-WeidnerMicrosoft Most Valuable Professional
Windows Server | Directory Services | Enterprise Mobilty & Security Suite
© 2017 Ulf B. Simon-Weidner 5
U L F B . S I M O N - W E I DN ER
14x Microsoft Most Valuable Professional (2004 – heute)
Microsoft Certified Trainer (1999 – 2014), MCITP, MCSA
Computacenter: Trainee Principal Consultant Solution Manager Cloud Integration & Moderne Infrastrukturdienste (1998 – heute)
Fachautor: IT-Administrator, Microsoft Press, Microsoft Official Courseware
Fachkonferenzen: Global Azure Bootcamp 2016, Microsoft TechEd EU und USA, CIM Lingen,
Windows Server 2012 Launch Road-Show, Windows Server 2008 Launch, Directory ExpertsConference, The Experts Conference, Systems, CeBit, ..
© 2017 Ulf B. Simon-Weidner 6
A G EN DA
Microsoft Cloud-Dienste – Möglichkeiten und Szenarien
Die Grundlagen: Anbindung an die Cloud
Advanced: Verschiedene Szenarien
Global betrachtet
© 2017 Ulf B. Simon-Weidner 7
A C TI V E D I R EC TO RY F R Ü H ER U N D H EU TE
September / Oktober 2017
Die Vision des Active Directories:
DAS Unternehmensverzeichnis
Alle Anwendungen sind Integriert
Die „Architektur“ des ADs wird genutzt
Sinnvolle Forest- / Domänenmodelle
Bei Migrationen wird aufgeräumt
Lifecycle Management findet statt (inkl. Re-Zertifizierung)
Die Realität:
Viele Verzeichnisse
Teilweise neue ADs für bestimmte Anwendungen
NLBs vor Domänencontrollern
Forest- / Domänenmodel: Historisch gewachsen
Aufräumen oder Lifecycle-Management: Wenn‘s sein muss
D i e M i c r o s o f t C l o u d - D i e n s t eM ö g l i c h k e i t e n u n d S z e n a r i e n
September / Oktober 2017
On-Premises
Office 365
On-Premises
SQL als Virtuelle Maschine(Stored
Procedures)
Azure SQL Datenbanken
Web-Applikation
Mobile
App
Client-Applikation Web-Applikation
On-Premises
Private Cloud(Virtualisierung
& Prozesse)
VMs
On-Premises
Azure AD Connect
AD FS Domain
controller
© 2017 Ulf B. Simon-Weidner 13
Cloud-Szenarien
• Speicherort für „Cloud Identities“• Azure AD als zentraler Dienst
• Einsetzbar für viele andere Cloud Services
• Management von „Cloud Identities“• Synchronisation des eigenen AD mit dem Azure AD (Synchronisation)
• Lebenszyklus von „Cloud Identities“• Provisionierung und Enablement von AD-Konten (lokal, Federation)
• Berechtigungsverwaltung für „Cloud Identities“• Provisionierung von AD-Gruppen und Public Cloud Service Rechtegruppen
• Abhängig von Cloud Service Anbieter
• Rollenmodell, Policy Modell, automatisierte Workflows
© 2017 Ulf B. Simon-Weidner 16
TECHNOLOGIE – IDENTITY MANAGEMENT
Grundlage – was brauche ich immer?
Wenn eine volle Netzwerkverbindung benötigt wird
Also nicht für O365, AAD-WebAppProxy,..
Transparenz für den Anwender
Typen:
Peering
Point-to-Site:sichere VPN-Verbindung von einem lokalen Client aus (eher für Entwickler)
Site-to-Site:sichere Verbindung zwischen einem On-Premises Router und Azure Virtuellen Netzwerken
Multi-Site:ähnlich zu S2S, aber es werden mehrere On-Premises Netzwerke geroutet
VNET to VNET:verschiedene Virtuelle Netzwerke in Azure werden verbunden
© 2017 Ulf B. Simon-Weidner 17
VPNs in Azure
© 2017 Ulf B. Simon-Weidner 19
V PN S I N A Z U R E
Multisite-to-Site
19
VNET-to-VNET
Verbindet:
Regionen
Abonnements
Unterschiedliche Deployment Modelle
© 2017 Ulf B. Simon-Weidner 20
V PN TO A Z U R E
September / Oktober 2017
B e n ö t i g t e R e s s o u r c e n
Virtuelle
Maschine
Storage
Account
Network
InterfaceRunbook
13.79.156.161
Public
IP
Virtual
NetworkVirtual
Network
Gateway
Local
Network
Gateway
Connection
© 2017 Ulf B. Simon-Weidner 21
A Z U R E A D U N D C LO U D
Cloudidentitäten
In der Cloud erstellt und verwaltet („Cloud-only“)
Synchronisierte Identitäten
Von On-Premises AD synchronisiert
Mit Passwort-Hash
Anmeldung in der Cloud möglich, auch wenn On-Premises nicht erreichbar
(kein SSO, aber single Credentials)
Federated Identities (Verbundidenditäten)
Synchroniert, aber üblicherweise ohne Passwort
Verifizieren des Passwortes über Federation Services On-Premises gegen „eigenes“ AD
O f f i c e 3 6 5 - I d e n t i t ä t e n u n d A z u r e A c t i v e D i r e c t o r y
© 2017 Ulf B. Simon-Weidner 22
A Z U R E A D U N D C LO U DM i c r o s o f t - S y n c h r o n i s a t i o n s w e r k z e u g e
• Azure Active Directory Synchronization Tool (DirSync)
• Azure Active Directory Sync (AADSync)
• Azure Active Directory Connect (Azure AD Connect)
• Forefront Identity Manager (FIM) 2012 R2
• Microsoft Identity Manger (MIM) 2016
© 2017 Ulf B. Simon-Weidner 23
A Z U R E A D U N D C LO U DM i c r o s o f t - S y n c r o n i s a t i o n s w e r k z e u g e
23
© 2017 Ulf B. Simon-Weidner 24
S I G N O N - O PTI O N EN
September / Oktober 2017
Password SyncPasswort Hashes werden synchronisiert, User melden sich in der Cloud mit den
gleichen Credentials an
Pass-through
Authentication (PTA)
Die Passwörter werden nicht synchronisiert, sondern von den On-Premises DCs
verifiziert
Federation (ADFS) User werden über eine Federation Infrastruktur (ADFS) authentifiziert
Nicht Konfigurieren Die Authentifizierung ist bereits eingerichtet
Enable Single Sign on
Single Sign On für diverse Browser (EDGE, IE, Chrome, Firefox, Safari)
- Computer müssen oder werden Azure-AD-joined sein (auch <Win10)
- Intranet-Zone muss nach bestimmten Azure-URLs erweitert werden
- Nutzt Kerberos für die Cloud
© 2017 Ulf B. Simon-Weidner 25
A A D C O N N EC TK e n n w o r t s y n c h r o n i s i e r u n g
© Computacenter 2016 25
© 2017 Ulf B. Simon-Weidner 26
A Z U R E A D U N D C LO U DM i c r o s o f t - S y n c r o n i s a t i o n s w e r k z e u g e – A A D - P a s s t h r o u g h - A u t h
26
© 2017 Ulf B. Simon-Weidner 27
A Z U R E A D U N D C LO U DM i c r o s o f t - S y n c r o n i s a t i o n s w e r k z e u g e – A A D - P a s s t h r o u g h - A u t h
27
© 2017 Ulf B. Simon-Weidner 28
VEREINFACHT
Active Directory Federation Services
September / Oktober 2017
September / Oktober 2017 © 2017 Ulf B. Simon-Weidner 29
DER „CLAIM“
Active Directory Federation Services
© 2017 Ulf B. Simon-Weidner 30
A C TI V E D I R EC TO RY F EDER ATI O N S ERV I CES
ADFS 1.0: Windows Server 2003 R2
ADFS 1.1: WS2008 (R2)
ADFS 2.0: separater Download
ADFS 2.1: WS2012
ADFS 3.0: WS2012 R2
ADFS-Proxy ist jetzt Web Application Proxy (WAP)
V e r s i o n e n u n d To p o l o g i e n
30
ADFS Hochverfügbar auslegen?
Welche Datenbank wird verwendet?
Windows Internal Database (WID)
Microsoft SQL-Server
Deployment: Proxies (WAP)
Schema, Domänen, Gesamtstruktur
Diensteaccount
https://technet.microsoft.com/en-us/libary/dn554241.aspx
AAD-CONNECTIVITY AUS DER CLOUD HERAUS
Kundenszenario 1
Active Directory AD FSAAD Connect
Perimeter
AD FS-P
WAG
sts.company.com
Azure
Active
Directory
AAD
Connect Sync
AD
Au
the
nti
cati
on
© 2017 Ulf B. Simon-Weidner
34
EXTRANET, UNTERNEHMENSÜBERGREIFEND, PROZESSE ZUM IDENTITY LIFECYCLE
Kundenszenario 2
Active Directory / ggf. ADFS
© 2017 Ulf B. Simon-Weidner
© 2017 Ulf B. Simon-Weidner 36
A Z U R E A D D O M A I N S ERV I CES
Feature Azure AD Domain Services 'Do-it-yourself' AD in Azure VMs
Managed service ✓ ✕
Secure deployments ✓ diy
DNS server ✓ (managed service) ✓
Domain or Enterprise administrator privileges ✕ ✓
Domain join ✓ ✓
Domain authentication using NTLM and Kerberos ✓ ✓
Kerberos constrained delegation resource-based resource-based & account-based
Custom OU structure ✓ ✓
Schema extensions ✕ ✓
AD domain/forest trusts ✕ ✓
LDAP read ✓ ✓
Secure LDAP (LDAPS) ✓ ✓
LDAP write ✕ ✓
Group Policy ✓ ✓
Geo-distributed deployments ✕ ✓
F u n k t i o n e n
36
© 2017 Ulf B. Simon-Weidner 37
D EL EG ATI O N B I S I N DI E C LO U D
September / Oktober 2017
Erwartung: in der Cloud sollen die gleichen, granularen Möglichkeiten existieren wie On-Premises
Tatsächlich:
Vordefinierte Rollen
Delegation mag möglich sein, aber die Admin-Tools verstehen es nicht
Multi-Cloud und externe Konten: gut konzipieren
„Neu“:
Mit Azure Resource Model / RBAC ist vieles möglich
Templates für Azure Szenarien
Cloud
SaaSAzure
Office 365Publiccloud
On-Prem Active Directory
Ulf B. Simon-WeidnerMicrosoft Most Valuable Professional
Windows Server | Directory Services | Enterprise Mobilty & Security Suite
www.msmvps.com/ulfbsimon-weidner
@dsgeek