本地AD域遷移到 Azure AD,ad域遷移教程

本地AD域遷移到 Azure AD

現(xiàn)在使用Azure AD的企業(yè)慢慢變多，很多企業(yè)開始準備將本地AD域搬遷到Azure AD上面去。Workspace ONE中不管是UEM或者是Access都是將本地AD域作為最重要的認證和用戶信息來源，AD遷移到AAD必然是對目前架構(gòu)的一次重大調(diào)整。

那么，與之對應(yīng)的，Workspace ONE如何調(diào)整理一下思路：

1Workspace ONE UEM和Azure AD對接

沒問題，UEM支持將Azure AD作為認證源。

2Workspace ONE Access和Azure AD對接

也沒有問題，Access和Azure AD都支持SAML。也就是說，我們可以將Azure AD作為WS1 Access的SAML IDP。

單獨對接都沒有問題，那么UEM和Access都有的情況呢

3Workspace ONE UEM 和Access都有，如何和Azure AD對接

我們需要看一下UEM和Access都存在的情況下，企業(yè)應(yīng)用的場景包括：

UEM可以利用Access統(tǒng)一認證，單點登錄。之前UEM、Access分別和AD同步，兩邊的用戶信息是匹配的。

啟用Hub Service，將各個平臺（蘋果/安卓/Windows）的Intelligent Hub作為企業(yè)門戶。此時門戶的應(yīng)用發(fā)布是部分來自于UEM，部分來自于Access。

所以，我們在設(shè)置上會將注冊時的認證來源選為Workspace ONE Access。

是不是開始有點懵了

那么是不是UEM和Access分別與AAD對接，就可以了呢

我曾經(jīng)也這么認為，結(jié)果發(fā)現(xiàn)分別對接后兩邊的用戶屬性無法匹配，會出現(xiàn)一旦將Access作為認證源，Hub就無法進行正常注冊。

如果將UEM作為認證源，Hub可以注冊，但無法獲取到Access發(fā)布的應(yīng)用列表。

貌似是一個兩難的境地。

突破點是讓兩邊的用戶屬性統(tǒng)一，最合理的方式是：Access把用戶寫入到UEM里面。

事實上是用戶屬性從AAD→→Access→→UEM。

我知道聽起來有點玄幻，但確實可以做。基于兩點：

1將Azure AD作為WS1 Access的SAML IDP，配置Just in Time用戶，在 用戶登錄Access（其實是登錄Azure AD）的同時，把信息寫入Access。

實現(xiàn)了用戶屬性從AAD→→Access。

2 利用Airwatch Provisioning APP，實現(xiàn)用戶屬性從Access→→UEM。

也就是說在開始時Azure AD用戶在UEM和Access都是沒有賬戶，更不用說用戶屬性了。

Azure AD用戶要做的就是登錄一次Access，即可完成在Access和UEM的賬戶創(chuàng)建，包括用戶屬性和Azure AD同步。

接下來用戶就可以用Azure AD憑證來注冊設(shè)備，獲取完整的應(yīng)用門戶了

管理員無需進行用戶生命周期管理。只需要負責Azure AD的部分就好了。

很好對吧，下面我們來看看如何實現(xiàn)。

測試環(huán)境準備：

Workspace ONE UEM

Workspace ONEAccess

Microsoft 365 （Azure AD）

如何獲得以上測試環(huán)境我就不寫了。

首先我們利用hub service的向?qū)В瑢EM和Access進行集成。這是最簡易的方式，很輕松將UEM和Access集成起來。注意hub注冊認證源選擇成Access。

下面我們將Azure AD配置成Access的SAML IDP。

第一步先下載Access的SAML元數(shù)據(jù)，注意此時Access是作為服務(wù)提供商（SP），所以我們需要下載SP的元數(shù)據(jù)。

第二步，我們需要配置Azure AD。先打開https://aad.portal.azure.com/。

選擇Azure Active Directory，創(chuàng)建一個新的企業(yè)應(yīng)用程序。

選擇最后一項Nongallery。

授權(quán)用戶，把自己的測試賬戶分配進去，要不然沒有授權(quán)，用戶是沒法使用這個應(yīng)用程序來完成SAML的。

點擊單一登錄，SAML。

設(shè)置基本SAML配置。

實體ID：剛才Access SP的XML地址。記得設(shè)置成默認。

回復URL：SP.xml里面可以找到。

注銷URL：同上。

添加斷言中的用戶屬性和聲明：

注意這些值會作為Access的JIT用戶屬性，其中最關(guān)鍵的是ExternalID，是將來配置Airwatch Provisioning APP所必須的，如果沒有則會造成用戶無法置備到UEM里面去。注意聲明名稱的大小寫。

下載聯(lián)合元數(shù)據(jù)XML。

第三步，我們回到Access界面。

在身份提供程序中點擊添加SAML IDP。

填寫身份提供程序的名稱，綁定協(xié)議HTTP重定向。

SAML 元數(shù)據(jù)就是把剛才從Azure AD下載的聯(lián)合元數(shù)據(jù)XML用編輯器打開，粘貼到框中，點擊處理IDP元數(shù)據(jù)。

用戶識別方式選為NameID元素，點擊加號兩次，添加：

“urn:oasis:names:tc:1.1:nameidformat:unspecified”映射到

“userPrincipalName”。

“urn:oasis:names:tc:1.1:nameidformat:emailAddress”映射到

“userPrincipalName”。

選中即時用戶置備，創(chuàng)建目錄名稱（可以是任意，不一定是FQDN那種）。

選中使用的網(wǎng)絡(luò)范圍，沒有設(shè)置過就選中所有。默認是不選的，一定要選中。

身份驗證方法自己隨便起名字，SAML上下文是

選中啟用單點注銷配置。

修改訪問策略，根據(jù)實際情況，本文是修改了default策略。選中所使用剛才自己創(chuàng)建的身份驗證名稱。

可以觀察到目錄中多出了一個即時目錄，希望你剛才起了一個容易分辨的名字。

打開另外一個瀏覽器或者是隱私模式之類的，嘗試用Azure AD用戶來登錄Access。

你會發(fā)現(xiàn)界面會自動跳轉(zhuǎn)到Azure AD登錄。

登錄完成之后會發(fā)現(xiàn)該用戶被即時創(chuàng)建了出來。

注意觀察此時的用戶屬性，包括了我們的ExternalID，也就是圖中的外部ID。

第四步：配置Airwatch Provisioning APP來做用戶置備。這步還是在Access界面上。

新建Web應(yīng)用，從目錄中選擇Airwatch Provisioning，先不用做任何配置，一路點擊下一步，保存。

回到Web應(yīng)用列表。選中新建出來的Airwatch Provisioning，點擊編輯。會發(fā)現(xiàn)界面有所變化。出現(xiàn)在置備的相關(guān)內(nèi)容。

點開配置。這里可以采用粘貼XML內(nèi)容的方式來自動填寫。XML是來自UEM設(shè)置目錄集成這里導出。

置備選項頁中，可以選擇啟用證書身份驗證，或者手動輸入的方式。把啟用置備改成“是”。

用戶置備頁面。帶紅色星號的是必須的，可以看到ExternalID（外部ID）的重要性。

組置備可以不配置。

保存并分配給用戶/組即可。稍后可以看到用戶已經(jīng)置備成功。

此時回到UEM界面，就可以看到置備出來的用戶。

需要說明的是，用戶只需要登錄一次Access即可，并不需要手工點擊Airwatch Provisioning這個APP，其實默認這個APP是隱藏，不顯示在用戶門戶中的，因為沒必要。

最后一步就可以用設(shè)備來注冊試試看了。

至此我們就完成了WS1的挑戰(zhàn)，和Azure AD的集成。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。