Postupný přechod z ověřování AD FS

AD FS má (a ještě dlouho bude mít) své místo v místní infrastruktuře, ale pro změnu způsobu ověřování do Azure/O365 je již dnes mnoho dobrých důvodů.

Častým argumentem, proč zůstat u AD FS, je lehce problematická fáze změny samotné – ta byla donedávna možná jen jako tzv. „cutover“ – tedy všechny uživatele přepneme najednou. Tím pádem je problematické předchozí ověření v testovacím režimu, uživatelé mohou mít dočasné trable s ověřováním k aplikacím atd.

Společnost Microsoft nedávno zpřístupnila možnost tzv. „staged rollout“ migrace do ověřování v cloudu. Může se hodit např. v situacích, kdy si cutover migraci nemůžete bez řádného otestování dovolit. Důvodem mohou být složitější konfigurace, jako je ověřování čipovými kartami, onprem MFA server nebo jiná omezení.

Předpokladem je tedy federovaná doména v tenantu a plánovaný přechod na 

1. Synchronizace hashů hesel + seamless single sign-on (SSO)
2. Pas-through ověřování (PTA) + SSO

Před nasazením je vhodné se seznámit s omezeními, jako jsou např.

• Lze použít max. 10 skupin zabezpečení
• Vnořené nebo dynamické skupiny nelze použít
• Není vhodné používat dlouhodobě (finální cutover by měl být stále cílem)
• Při prvním nastavení je možné aktivovat pro skupinu s maximálně 200 uživateli, následně už můžete přidat až 50 000 uživatelů
• Uživatelům je nastavena politika změny hesla na 90 dnů

Samotná aktivace není složitá, a ve zkratce se sestává z následujících kroků:

• Aktivace PHS na AAD Connectu (pro variantu A)
• Instalace PTA agentů (pro variantu B)
• Konfigurace SSO (volitelně, ale je doporučeno)
• Zapnutí funkce a výběr skupin uživatelů
• Ověření funkcionality, kontroly záznamů v auditních lozích.

Jedná se opravdu o nástroj pro usnadnění migrace – nelze tedy provozovat všechny scénáře, které vás při čtení článku možná napadly.

Podrobnosti o dalších možnostech najdete jako vždy na webu společnosti Microsoft https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-staged-rollout.