Postupný přechod z ověřování AD FS

Blog

 
 Jan Žák

Nasazení, zabezpečení a správa ověřování AD FS s vysokou dostupností opravdu není žádná legrace i přesto, že na první pohled „se to dá naklikat za hoďku“.

AD FS má (a ještě dlouho bude mít) své místo v místní infrastruktuře, ale pro změnu způsobu ověřování do Azure/O365 je již dnes mnoho dobrých důvodů.

Častým argumentem, proč zůstat u AD FS, je lehce problematická fáze změny samotné – ta byla donedávna možná jen jako tzv. „cutover“ – tedy všechny uživatele přepneme najednou. Tím pádem je problematické předchozí ověření v testovacím režimu, uživatelé mohou mít dočasné trable s ověřováním k aplikacím atd.

Společnost Microsoft nedávno zpřístupnila možnost tzv. „staged rollout“ migrace do ověřování v cloudu. Může se hodit např. v situacích, kdy si cutover migraci nemůžete bez řádného otestování dovolit. Důvodem mohou být složitější konfigurace, jako je ověřování čipovými kartami, onprem MFA server nebo jiná omezení.

Předpokladem je tedy federovaná doména v tenantu a plánovaný přechod na

  1. Synchronizace hashů hesel + seamless single sign-on (SSO)

  2. Pas-through ověřování (PTA) + SSO

Před nasazením je vhodné se seznámit s omezeními, jako jsou např.

  • Lze použít max. 10 skupin zabezpečení
  • Vnořené nebo dynamické skupiny nelze použít
  • Není vhodné používat dlouhodobě (finální cutover by měl být stále cílem)
  • Při prvním nastavení je možné aktivovat pro skupinu s maximálně 200 uživateli, následně už můžete přidat až 50 000 uživatelů
  • Uživatelům je nastavena politika změny hesla na 90 dnů

Samotná aktivace není složitá, a ve zkratce se sestává z následujících kroků:

  • Aktivace PHS na AAD Connectu (pro variantu A)
  • Instalace PTA agentů (pro variantu B)
  • Konfigurace SSO (volitelně, ale je doporučeno)
  • Zapnutí funkce a výběr skupin uživatelů
  • Ověření funkcionality, kontroly záznamů v auditních lozích.

Obsah obrázku snímek obrazovky Popis byl vytvořen automaticky

Jedná se opravdu o nástroj pro usnadnění migrace – nelze tedy provozovat všechny scénáře, které vás při čtení článku možná napadly.

Obsah obrázku snímek obrazovky Popis byl vytvořen automaticky

Podrobnosti o dalších možnostech najdete jako vždy na webu společnosti Microsoft https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-staged-rollout.

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu