本地AD域遷移到 Azure AD,ad域遷移教程

本地AD域遷移到 Azure AD

現(xiàn)在使用Azure AD的企業(yè)慢慢變多，很多企業(yè)開(kāi)始準(zhǔn)備將本地AD域搬遷到Azure AD上面去。Workspace ONE中不管是UEM或者是Access都是將本地AD域作為最重要的認(rèn)證和用戶信息來(lái)源，AD遷移到AAD必然是對(duì)目前架構(gòu)的一次重大調(diào)整。

那么，與之對(duì)應(yīng)的，Workspace ONE如何調(diào)整理一下思路：

1Workspace ONE UEM和Azure AD對(duì)接

沒(méi)問(wèn)題，UEM支持將Azure AD作為認(rèn)證源。

2Workspace ONE Access和Azure AD對(duì)接

也沒(méi)有問(wèn)題，Access和Azure AD都支持SAML。也就是說(shuō)，我們可以將Azure AD作為WS1 Access的SAML IDP。

單獨(dú)對(duì)接都沒(méi)有問(wèn)題，那么UEM和Access都有的情況呢

3Workspace ONE UEM 和Access都有，如何和Azure AD對(duì)接

我們需要看一下UEM和Access都存在的情況下，企業(yè)應(yīng)用的場(chǎng)景包括：

UEM可以利用Access統(tǒng)一認(rèn)證，單點(diǎn)登錄。之前UEM、Access分別和AD同步，兩邊的用戶信息是匹配的。

啟用Hub Service，將各個(gè)平臺(tái)（蘋(píng)果/安卓/Windows）的Intelligent Hub作為企業(yè)門(mén)戶。此時(shí)門(mén)戶的應(yīng)用發(fā)布是部分來(lái)自于UEM，部分來(lái)自于Access。

所以，我們?cè)谠O(shè)置上會(huì)將注冊(cè)時(shí)的認(rèn)證來(lái)源選為Workspace ONE Access。

是不是開(kāi)始有點(diǎn)懵了

那么是不是UEM和Access分別與AAD對(duì)接，就可以了呢

我曾經(jīng)也這么認(rèn)為，結(jié)果發(fā)現(xiàn)分別對(duì)接后兩邊的用戶屬性無(wú)法匹配，會(huì)出現(xiàn)一旦將Access作為認(rèn)證源，Hub就無(wú)法進(jìn)行正常注冊(cè)。

如果將UEM作為認(rèn)證源，Hub可以注冊(cè)，但無(wú)法獲取到Access發(fā)布的應(yīng)用列表。

貌似是一個(gè)兩難的境地。

突破點(diǎn)是讓兩邊的用戶屬性統(tǒng)一，最合理的方式是：Access把用戶寫(xiě)入到UEM里面。

事實(shí)上是用戶屬性從AAD→→Access→→UEM。

我知道聽(tīng)起來(lái)有點(diǎn)玄幻，但確實(shí)可以做。基于兩點(diǎn)：

1將Azure AD作為WS1 Access的SAML IDP，配置Just in Time用戶，在 用戶登錄Access（其實(shí)是登錄Azure AD）的同時(shí)，把信息寫(xiě)入Access。

實(shí)現(xiàn)了用戶屬性從AAD→→Access。

2 利用Airwatch Provisioning APP，實(shí)現(xiàn)用戶屬性從Access→→UEM。

也就是說(shuō)在開(kāi)始時(shí)Azure AD用戶在UEM和Access都是沒(méi)有賬戶，更不用說(shuō)用戶屬性了。

Azure AD用戶要做的就是登錄一次Access，即可完成在Access和UEM的賬戶創(chuàng)建，包括用戶屬性和Azure AD同步。

接下來(lái)用戶就可以用Azure AD憑證來(lái)注冊(cè)設(shè)備，獲取完整的應(yīng)用門(mén)戶了

管理員無(wú)需進(jìn)行用戶生命周期管理。只需要負(fù)責(zé)Azure AD的部分就好了。

很好對(duì)吧，下面我們來(lái)看看如何實(shí)現(xiàn)。

測(cè)試環(huán)境準(zhǔn)備：

Workspace ONE UEM

Workspace ONEAccess

Microsoft 365 （Azure AD）

如何獲得以上測(cè)試環(huán)境我就不寫(xiě)了。

首先我們利用hub service的向?qū)?，將UEM和Access進(jìn)行集成。這是最簡(jiǎn)易的方式，很輕松將UEM和Access集成起來(lái)。注意hub注冊(cè)認(rèn)證源選擇成Access。

下面我們將Azure AD配置成Access的SAML IDP。

第一步先下載Access的SAML元數(shù)據(jù)，注意此時(shí)Access是作為服務(wù)提供商（SP），所以我們需要下載SP的元數(shù)據(jù)。

第二步，我們需要配置Azure AD。先打開(kāi)https://aad.portal.azure.com/。

選擇Azure Active Directory，創(chuàng)建一個(gè)新的企業(yè)應(yīng)用程序。

選擇最后一項(xiàng)Nongallery。

授權(quán)用戶，把自己的測(cè)試賬戶分配進(jìn)去，要不然沒(méi)有授權(quán)，用戶是沒(méi)法使用這個(gè)應(yīng)用程序來(lái)完成SAML的。

點(diǎn)擊單一登錄，SAML。

設(shè)置基本SAML配置。

實(shí)體ID：剛才Access SP的XML地址。記得設(shè)置成默認(rèn)。

回復(fù)URL：SP.xml里面可以找到。

注銷(xiāo)URL：同上。

添加斷言中的用戶屬性和聲明：

注意這些值會(huì)作為Access的JIT用戶屬性，其中最關(guān)鍵的是ExternalID，是將來(lái)配置Airwatch Provisioning APP所必須的，如果沒(méi)有則會(huì)造成用戶無(wú)法置備到UEM里面去。注意聲明名稱(chēng)的大小寫(xiě)。

下載聯(lián)合元數(shù)據(jù)XML。

第三步，我們回到Access界面。

在身份提供程序中點(diǎn)擊添加SAML IDP。

填寫(xiě)身份提供程序的名稱(chēng)，綁定協(xié)議HTTP重定向。

SAML 元數(shù)據(jù)就是把剛才從Azure AD下載的聯(lián)合元數(shù)據(jù)XML用編輯器打開(kāi)，粘貼到框中，點(diǎn)擊處理IDP元數(shù)據(jù)。

用戶識(shí)別方式選為NameID元素，點(diǎn)擊加號(hào)兩次，添加：

“urn:oasis:names:tc:1.1:nameidformat:unspecified”映射到

“userPrincipalName”。

“urn:oasis:names:tc:1.1:nameidformat:emailAddress”映射到

“userPrincipalName”。

選中即時(shí)用戶置備，創(chuàng)建目錄名稱(chēng)（可以是任意，不一定是FQDN那種）。

選中使用的網(wǎng)絡(luò)范圍，沒(méi)有設(shè)置過(guò)就選中所有。默認(rèn)是不選的，一定要選中。

身份驗(yàn)證方法自己隨便起名字，SAML上下文是

選中啟用單點(diǎn)注銷(xiāo)配置。

修改訪問(wèn)策略，根據(jù)實(shí)際情況，本文是修改了default策略。選中所使用剛才自己創(chuàng)建的身份驗(yàn)證名稱(chēng)。

可以觀察到目錄中多出了一個(gè)即時(shí)目錄，希望你剛才起了一個(gè)容易分辨的名字。

打開(kāi)另外一個(gè)瀏覽器或者是隱私模式之類(lèi)的，嘗試用Azure AD用戶來(lái)登錄Access。

你會(huì)發(fā)現(xiàn)界面會(huì)自動(dòng)跳轉(zhuǎn)到Azure AD登錄。

登錄完成之后會(huì)發(fā)現(xiàn)該用戶被即時(shí)創(chuàng)建了出來(lái)。

注意觀察此時(shí)的用戶屬性，包括了我們的ExternalID，也就是圖中的外部ID。

第四步：配置Airwatch Provisioning APP來(lái)做用戶置備。這步還是在Access界面上。

新建Web應(yīng)用，從目錄中選擇Airwatch Provisioning，先不用做任何配置，一路點(diǎn)擊下一步，保存。

回到Web應(yīng)用列表。選中新建出來(lái)的Airwatch Provisioning，點(diǎn)擊編輯。會(huì)發(fā)現(xiàn)界面有所變化。出現(xiàn)在置備的相關(guān)內(nèi)容。

點(diǎn)開(kāi)配置。這里可以采用粘貼XML內(nèi)容的方式來(lái)自動(dòng)填寫(xiě)。XML是來(lái)自UEM設(shè)置目錄集成這里導(dǎo)出。

置備選項(xiàng)頁(yè)中，可以選擇啟用證書(shū)身份驗(yàn)證，或者手動(dòng)輸入的方式。把啟用置備改成“是”。

用戶置備頁(yè)面。帶紅色星號(hào)的是必須的，可以看到ExternalID（外部ID）的重要性。

組置備可以不配置。

保存并分配給用戶/組即可。稍后可以看到用戶已經(jīng)置備成功。

此時(shí)回到UEM界面，就可以看到置備出來(lái)的用戶。

需要說(shuō)明的是，用戶只需要登錄一次Access即可，并不需要手工點(diǎn)擊Airwatch Provisioning這個(gè)APP，其實(shí)默認(rèn)這個(gè)APP是隱藏，不顯示在用戶門(mén)戶中的，因?yàn)闆](méi)必要。

最后一步就可以用設(shè)備來(lái)注冊(cè)試試看了。

至此我們就完成了WS1的挑戰(zhàn)，和Azure AD的集成。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。