Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Rozszerzanie schematu Azure Active Directory

Data publikacji: 20-02-2020 Autor: Michał Gajda
Rys. 1. Sześć z 56 testów...

Podstawowy schemat obiektów usługi Azure Active Directory w większości przypadków jest wystarczający, aby zapewnić łatwe administrowanie usługami w chmurze. Niemniej jednak wraz z rozwojem infrastruktury może okazać się konieczne rozszerzanie katalogu usługi Azure Active Directory, niekiedy o własne niestandardowe rozwiązania.

 

Profesjonalne administrowanie systemami informatycznymi w przedsiębiorstwie nie jest możliwe bez wykorzystywania scentralizowanego zarządzania tożsamością. To właśnie dzięki niemu możliwe jest z jednego miejsca łatwe zarządzanie zbiorem wszystkich obiektów oraz definiujących go atrybutów. Do wspomnianych obiektów najczęściej zaliczamy konta użytkowników, grupy określające np. uprawnienia do konkretnych zasobów czy poszczególne urządzenia związane z daną infrastrukturą.


W przypadku wykorzystywania wyłącznie lokalnej infrastruktury idealnie do tego nadaje się usługa Active Directory, czyli usługa katalogowa będąca implementacją protokołu LDAP (Lightweight Directory Access Protocol). Jednak jeżeli nasza infrastruktura bazuje na środowiskach chmurowych, zarówno w formie natywnej, jak też częściej spotykanej formie hybrydowej, konieczne jest zastosowanie usługi Azure Active Directory. Pomimo tego, że nazwana jest młodszym bratem swojego lokalnego odpowiednika, jest to zupełnie odrębna usługa, zapewniająca odmienne mechanizmy uwierzytelniania oraz zupełnie inny schemat przechowywanych obiektów.


> SCHEMAT AZURE ACTIVE DIRECTORY


Azure Active Directory posiada wiele cech wspólnych z lokalną usługą Active Directory, np. scentralizowane zarządzanie tożsamością. Równocześnie wykorzystuje zupełnie odmienne mechanizmy. Jedną ze znaczących różnic jest schemat obiektów usługi zarządzania tożsamością. Czym tak naprawdę jest schemat usługi Active Directory? To po prostu zbiór definicji wszystkich klas obiektów wraz z ich atrybutami, które je opisują w ramach usługi katalogowej.


W przypadku lokalnej usługi katalogowej schemat poszczególnych obiektów jest mocno rozbudowany – przykładowo sama klasa obiektu konta użytkownika posiada kilkaset opisujących go atrybutów. Dodatkowo w łatwy sposób można schemat rozbudowywać i dostosowywać do własnych potrzeb poprzez tworzenie nowych atrybutów i wiązanie ich z odpowiednimi klasami obiektów. Sytuacja jest odmienna, gdy mamy do czynienia z Azure AD. Chmurowy odpowiednik usługi zarządzania tożsamością w głównej mierze cechuje się prostotą, dlatego dla tego samego typu konta użytkownika domyślnie dostępnych jest tylko kilkadziesiąt podstawowych atrybutów. Niemniej w większości przypadków jest to wystarczająca liczba, pozwalająca na sprawne administrowanie całą infrastrukturą.


Czasami mogą zdarzać się sytuacje, w których jesteśmy zmuszeni do zapisania dodatkowych informacji w ramach poszczególnych typów obiektów Azure AD. Niestety tutaj sytuacja mocno się komplikuje, gdyż pierwotny schemat obiektów usługi Azure AD nie podlega modyfikacjom. Nie oznacza to jednak, że w przypadku usługi chmurowej nie możemy rozszerzać struktury obiektów. Odbywa się to po prostu w inny sposób – wszelkie modyfikacje schematu Azure AD bazują na rozszerzeniach zawartych w tzw. aplikacjach dla przedsiębiorstw, co zostało pokazane na rys. 1. To właśnie dzięki tym aplikacjom możliwe jest rejestrowanie dodatkowej przestrzeni pozwalającej na dowolne definiowanie dodatkowych atrybutów w celu późniejszego powiązania ich z poszczególnymi typami obiektów usługi Azure AD. Rozszerzenia atrybutów mogą być dołączane do następujących typów obiektów:

 

  • Użytkownik (User),
  • Grupa (Group),
  • Szczegóły dzierżawy (TenantDetail),
  • Urządzenie (Device),
  • Aplikacja (Application).

 

Należy jednak pamiętać, że rozszerzanie schematu Azure AD ma swoje ograniczenia. Mianowicie jest nim maksymalna liczba dodatkowych atrybutów, jakie mogą być obsługiwane w ramach obiektów. Wspomniany limit jest stosunkowo duży, niemniej skończony. Zawiera się on w łącznej liczbie 100 rozszerzeń atrybutów dla wszystkich możliwych typów obiektów.


> ROZSZERZONA SYNCHRONIZACJA


W celu rozszerzania schematu chmurowej usługi zarządzania tożsamością można posłużyć się jednym z dwóch następujących rozwiązań. Pierwszym i chyba najszybszym jest wykorzystanie funkcji rozszerzenia katalogu (Directory extensions) za pomocą narzędzia Azure AD Connect. Jest to najprostsze rozwiązanie, jednak dostępne jedynie w przypadku posiadania infrastruktury hybrydowej. Directory extensions bazuje na mechanizmie synchronizacji katalogów za pomocą wspomnianego narzędzia Azure AD Connect, gdzie możemy skorzystać z opcjonalnej funkcji, dzięki której możliwe jest zmapowanie dodatkowych pól opisujących obiekty lokalnej usługi Active Directory. Dzięki procesowi synchronizacji katalogów wskazane dane będą zapisane w ramach rozszerzeń usługi Azure AD.


Omawiane rozwiązanie niestety posiada również kilka ograniczeń. Najważniejszym jest rodzaj dostępnych klas lokalnej usługi katalogowej. Funkcjonalność pozwala jedynie na synchronizowanie danych dla obiektów użytkowników oraz grup. Dodatkowo synchronizowane mogą być jedynie atrybuty o następujących typach wartości:

 

  • atrybuty jednowartościowe – dopuszczalne typy danych to: string, boolean, integer lub binary,
  • atrybuty wielowartościowe – dopuszczalne typy danych to string oraz binary.

 

Cała procedura konfiguracji funkcji Directory extensions nie jest skomplikowana i została przybliżona krok po kroku w ramce:
Konfiguracja rozszerzenia katalogu.
Po zakończeniu konfiguracji rozszerzenia katalogów w ramach usługi Azure Active Directory zostanie automatycznie zarejestrowana nowa aplikacja dla przedsiębiorstw (Enterprise applications) o adekwatnej nazwie Tenant Schema Extension App. Należy zaznaczyć, że aplikacja będzie widoczna dopiero wtedy, gdy zmienimy filtr typu aplikacji (Application Type) na wartość Wszystkie aplikacje (All Applications). Omawiany przypadek pokazano na rys. 2.

 

Natomiast gdy przeanalizujemy synchronizowane obiekty, wśród zawartych informacji będzie można zobaczyć dodatkowe dane. Co ważne, każdy dodatkowy atrybut będzie rozpoczynał się przedrostkiem extension_. Następnie w celu zachowania unikalności nazw dodawany jest identyfikator aplikacji, czyli w naszym testowym przypadku add1bd71-239b-4231-99c0-022425a6c5eb. Ostatecznie do nazwy atrybutu dodawana jest oryginalna nazwa atrybutu, pochodząca z lokalnej usługi Active Directory. Sytuacja, została pokazana na rys. 3.


Powyższe rozwiązanie idealnie sprawdza się w środowiskach hybrydowych, w głównej mierze z racji swojej prostoty w konfiguracji, ale również dzięki zapewnieniu automatycznej synchronizacji rozszerzonych danych pomiędzy poszczególnymi katalogami. Niemniej jednak co w sytuacji gdy nasze środowisko bazuje tylko i wyłącznie na rozwiązaniach chmurowych?

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"