Správa Azure Active Directory pomocí MS Graph API

Azure Active Directory image

Cloudové služby jsou čím dál populárnější. V rámci Microsoft Azure je dostupné mimo jiné právě i Azure Active Directory (dále jen AAD). V tomto článku se ovšem budeme věnovat cloudové verzi Active Directory a komunikaci s ním pomocí MS Graph API. Od klasického AD také v mnoha věcech liší. Nemusíte se ale ničeho bát. Napojení AAD na CzechIdM je velmi jednoduché. Vyvinuli jsme vlastní konektor Azure Active Directory pro CzechIdM Identity Manager.

O napojení MS AD na CzechIdM jsme již na blogu psali dříve.

AD versus AAD

Hned na začátku je vhodné si popsat co je to vlastně “klasické” AD a jak se liší od Azure Active Directory.

Pravděpodobně ten největší rozdíl je, že AD máte nasazené tzv. on-premise. To znamená, že běží na vašem vlastním serveru. Ve většině případů je schované uvnitř firemní sítě. AAD je ovšem poskytováno jako služba. Jinými slovy si platíte pravidelnou licenci a tím získáváte přístup k AAD, které běží v Azure cloudu od Microsoftu. O tom, že lze používat AAD i AD současně v takzvaném hybridním režimu se zde nebudu rozepisovat, protože to by nám vystačilo na samostatný článek.

Hlavní rozdíly on-premise AD versus AAD:

Rozdílů je samozřejmě mnohem více. Pro účely správy AAD a AD pomocí CzechIdM si nyní vystačíme s tímto základem.

Konektor pro Azure Active Directory pro CzechIdM

Jak jsme si popsali v rozdílech, komunikace s AAD probíhá odlišně. Z toho důvodu jsme vyvinuli vlastní konektor, který je opět dostupný veřejně na Githubu jako naše ostatní konektory. Pro komunikace se využívá MS Graph API. Jedná se o rozraní, které je založené na RESTu. Komunikace probíhá pomocí volání webových služeb.

Konektor je již v produktivním provozu na několika projektech. Vývoj je stále aktivní, aby bylo možné pokrýt co největší množství případů použití.

V poslední vydané verzi jsou podporované níže popsané operace. Doporučujeme, ale sledovat vývoj konektoru a vždy použít nejnovější verzi.

Podporované operace pro uživatele 

Podporované jsou oba typy uživatelů – Member i Guest. V prvním případě se jedná o klasického uživatele, který je ve zvolené doméně. Guest účet je založen pomocí pozvánky a jedná se o externího uživatele, který má mít přístup do naší domény.

Podporované operace pro licence

Podporované operace pro AD skupiny a Azure role

Napojení na CzechIdM

Založíme nový systém. Nazveme ho například “MS Azure cloud” a na záložce konfigurace vybereme “MS Graph API connector”.

Nyní je potřeba vyplnit několik konfiguračních položek:

Další nastavení je pro proxy server, v případě, že Azure cloud není přímo dostupný ze serveru s CzechIdM. V opačném případě není potřeba nic nastavovat.

Výsledná konfigurace může vypadat například takto:

Následně si vygeneruje schéma a můžeme přejít k tvorbě mapování.

Základní mapování pro správu uživatelů může vypadat následovně:

Správa licencí u uživatelů

Pokud chcete u uživatelů spravovat i jejich licence je potřeba udělat několik málo dodatečných kroků:

return “4b9405b0-7788-4568-add1-99614e613b69”;

Hodnota v uvozovkách je identifikátor licence, který lze dohledat v oficiální dokumentaci. Případně v Azure portálu po zobrazení detailu licence je UUID vidět na konci v URL adrese.

Nyní lze již role nastavit jako automatické, případně je manuálně přidělit uživatelům a tím obdrží příslušnou licenci v cloudu.

Správa AD skupin/Azure rolí u uživatelů

Pro správu členství je nutné ještě udělat velmi obdobné nastavení jako v případě rolí pro licence.

return “4b9405b0-7788-4568-add1-99614e613b69”;

Hodnota v uvozovkách je identifikátor dané AD skupiny/Azure role v cloudu. V CzechIdM slouží jako identifikátor na koncovém systému a je jí také možné použít jako kód role například.

Best-practise

Je dobré mít ještě tzv. základní roli pro systém např. “MS Azure – uživatel”. Taková role má v sobě napojený systém “MS Azure cloud” bez atributů a její přidělení/odebrání tvoří nebo maže účet v cloudu. Pokud bychom využívali pouze role pro licence, tak v případě kdy odeberu poslední licenční roli dojde ke smazání účtu! To nemusí být žádoucí.

Závěr

Dnes jsme si ukázali jak napojit Azure AD na CzechIdM a zároveň si řekli i nějaké základní rozdíly mezi klasickým a cloudovým AD. Pokud by Vás cokoliv k této problematice zajímalo, neváhejte nás kontaktovat. Příště se podíváme na hybridní řešení MS AD a AAD.

Mohlo by vás také zajímat

Seriál o Identity Managementu:

  1. Co je to Identity Management?
  2. Jak vybrat IDM?
  3. Jak migrovat Identity Management?
  4. Modely spolupráce s dodavatelem IDM.
  5. Jak zabrátit vendor lock-in?
  6. Jak z personalistiky identifikovat vedoucího pro IDM?
  7. Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu?
  8. Jak správně testovat IdM?
  9. Jak správně nasadit IDM do produktivního provozu?
  10. API pro připojení systému do IDM
  11. Co je to SCIM?
  12. IdM nebo formulářový systém?
  13. Netradiční využití IdM 1, 2, 3

O CzechIdM:

  1. Podporované konektory
  2. Základní funkce 
  3. Jak na samoregistraci a žádost o VPN?
  4. Jak na reset hesel z Windows? Password filtr
  5. Napojení JIP/KAAS.
  6. Správa MS-Acess.
  7. IdM a napojení Moodle
  8. Integrace CzechIdM a DMS
  9. Integrace CzechIdM a CRM Salesforce
  10. Vytváření nových formulářů v CzechIdM
  11. Napojení MS-AD do CzechIdM
  12. Co jsou to business role
  13. Jak spravovat vnořené skupiny v MS-AD
  14. Správa personálního systému a časové řezy

Líbí se mi to:

Další témata