Подготовка Azure Active Directory для интеграции с локальной организацией представляет из себя не такой уж и сложный процесс как его принято изображать. На деле он делится на два этапа – подготовка облачной инфраструктуры и подготовка локальной инфраструктуры. В этой статье я подробно расскажу о первом этапе и познакомлю вас с админками Azure (да, на данный момент их несколько).
Если вам интересна тематика об облачных технологиях, рекомендую обратиться к тегу Cloud на моем блоге.
Содержание
Подготовка Azure Active Directory
При подготовке Azure AD одной из самых важных задач является создание и подтверждение домена организации. Эта, а также другие задачи, будут рассмотрены ниже.
UPD 24.11.2016: Про настройку локальной инфраструктуры читайте в следующей статье – Локальная инфраструктура и Azure AD.
Портал Azure
На момент написания статьи портал Azure 1 имеет два разных интерфейса, максимально схожих по функционалу, но фундаментально отличающихся визуально. Старый портал Azure выглядит вот так:
А вот так новый:
Стоит отметить, что некоторые настройки проще выполнять на старом интерфейсе. Ниже я прокомментирую необходимые моменты.
Каталог AD и домен организации
При регистрации подписки Azure автоматически создается каталог Azure AD, который называется Каталог по умолчанию. Если название вас не устраивает, вы можете его переименовать, а можете просто удалить, что я как раз и сделал. Эта процедура безболезненная и не несет никакого влияния на будущую облачную/гибридную инфраструктуру.
Также надо отметить, что в каталоге по умолчанию автоматически создан технический домен AD. Имя домена совпадает с именем учетной записи (но может иметь только буквы и цифры), на которую вы регистрируете подписку Azure (если у вас её ещё нет, то прошу на официальный сайт 2), плюс имя .onmicrosoft.com. Например если моя учетная запись называется e.s.vasilyev, то технический домен в таком случае будет иметь имя esvasilyev.onmicrosoft.com. Поскольку своей будущей организации я планирую дать имя bissquit.ru, мне было бы более логично иметь технический домен bissquitru.onmicrosoft.com.
Создание нового каталога Azure AD
Создание нового каталога начнем с удаления дефолтного. Удалить существующий Каталог по умолчанию можно только через старый интерфейс Azure (или просто я не разобрался как сделать это на новом). В списке слева выбираем Active Directory, удаляем каталог (это может занять длительное время, о чем вы будете предупреждены). Далее создаем новый:
Дожидаемся создания. На этом с каталогами работа завершена.
Добавление основного домена организации
Обновляем страницу Azure, проходим также в Active Directory, нажимаем на только что созданный каталог и идем в Домены:
Добавляем пользовательский домен:
Галочку выставлять не нужно, поскольку она подразумевает развернутый сервис AD FS внутри вашей организации. После нажатия кнопки добавить наверху появится окно:
На следующем шаге нужно будет подтвердить владение только что созданным доменом. Вы можете это сделать и чуть позже.
Подтверждение владения доменом
Если на предыдущем этапе вы не закрыли мастер добавления домена, то нажимаем Далее (стрелочка вправо внизу) и переходим на этап подтверждения домена:
Системе необходимо убедиться, что именно вы являетесь владельцем этого домена.
Для подтверждения домена необходимо создать DNS-запись в админке вашего регистратора (предполагается, что только владелец домена может это сделать). Как запись будет создана, необходимо дождаться её распространения. Проверить можно с помощью всем знакомого nslookup:
В принципе есть вариант ничего не смотреть в nslookup, а просто на странице добавления домена нажимать Проверить до того момента, как не вылезет вверху надпись:
После этого закрываем окно кнопкой Завершить (галочка внизу справа).
Как только домен подтвержден, необходимо сделать его основным. Для этого идем в раздел Active Directory, заходим в каталог, созданный ранее, и проверяем существующие домены:
Внизу будет кнопка Изменение основного домена, нажимаем и видим окно:
Нажимаем ОК и ждем пока ваш домен станет основным. То же самое можно сделать и через новый интерфейс Azure, да и консоль управления там выглядит более современно:
Примечение: Если у вас возникают проблемы доступа в только что созданный каталог через новый интерфейс Azure, то просто нажмите справа вверху на вашей учетной записи и выберите нужный каталог:
Мы создали новый каталог Azure AD, добавили необходимый домен и теперь пришло время объяснить некоторые теоретические нюансы.
Зачем нужен отдельный публичный домен?
Вы можете использовать технический домен, страшного в этом ничего нет, но нужно прояснить один момент. Дело в том, что аутентификация в Azure будет осуществляться через адрес электронной почты, например ivan.ivanov@bissquitru.onmicrosoft.com. Чтобы обеспечить унификацию и удобство для пользователей, вполне логично использовать одинаковые пары логин-пароль для аутентификации как в локальных, так и в облачных ресурсах.
В этом случае домен в адресе электронной почты должен быть уникальным в мире и именно поэтому по умолчанию подставляется bissquitru.onmicrosoft.com (не зря на рисунке в начале статьи проверяется уникальность домена bissquitru.onmicrosoft.com и напротив него выставляется зеленая галочка, если все ок).
Однако в локальной инфраструктуре по-прежнему остаются ваши старые логины. Как быть в этом случае? Ответ прост – вы можете добавить дополнительный UPN-суффикс 3 и выставить в свойствах учетных записей пользователей этот суффикс основным (для массового изменения разумеется это можно сделать скриптом). Остается ответить на вопрос устроит ли вас UPN-суффикс на подобии bissquitru.onmicrosoft.com?
Лично меня нет. Именно поэтому я выбрал путь покупки нового домена (bissquit.ru), создания UPN-суффикса в локальном AD и изменения логина пользователей. Если у вас уже есть основной домен организации (на котором например размещен официальный сайт компании), это упрощает ситуацию.
Забегая немного вперед
Хочу особо отметить один момент: только что созданный домен организации, пусть и подтвержденный с помощью DNS-записи, основным рабочим доменом например для Office365 не является. Для Office365 нужно будет завершить настройку этого домена и делается это через портал Office365 4. Об этом будет рассказано в других статьях.
Также хочу сразу сказать, что на портал Office365 под своей обычной учетной записью Microsoft вы зайти не сможете (на портале Azure мы все делали именно под этой учеткой), необходимо в Azure AD создавать отдельную облачную учетную запись и уже под ней заниматься дальнейшей настройкой инфраструктуры.
Создание учетной записи глобального администратора Azure
Ну а теперь пришло время создать пользователя с ролью глобального администратора Azure, с помощью которого я в дальнейшем буду выполнять все оставшиеся задачи. Для создания учетки идем в Active Directory – Пользователи и группы – Все пользователи – +Добавить:
Откроется дополнительное окно, в котором можно внести все необходимые данные. К этому моменту как основной вы можете использовать добавленный вами вручную домен организации (у меня это bissquit.ru):
Нажимайте ОК и Создать. Пользователь создан. При первом входе нужно будет поменять пароль.
Сколько стоит подписка
На данный момент использование Azure AD бесплатно (разумеется без доп. функционала, например такого как многофакторная проверка подлинности). Оно и понятно, ведь сам по себе Azure AD никакой реальной пользы не несет, если только не использовать какие-либо приложения Azure, а это уже стоит денег.
Вы можете зарегистрировать тестовую учетную запись 5 и получить на неё 12500 руб. для тестирования нужных вам приложений и функционала.