En este artículo quiero mostrarles una característica de Windows Azure que particularmente me gusta mucho, ya que mi pasión son todos los temas relacionados con identidad y acceso, y aquí les mostraré cómo es posible hacer una sincronización de directorios con Windows Azure, mediante la herramienta Windows Azure Active Directory (WAAD). Pero primero veamos un poco de que se trata WAAD.
Se trata de un servicio de última tecnología, el cual hace uso de REST, y nos permite hacer administración de identidad y control de acceso para las aplicaciones en la nube, permite la integración con un directorio local (on-premise) y con proveedores de identidad de terceros. Para más información sobre Active Directory de Windows Azure visite este enlace
En este artículo mencionaré el tema relacionado con integración de directorios, del cual podemos encontrar las siguientes dos capacidades:
Sincronización de directorios: la cual nos permite como su nombre lo indica, sincronizar todos nuestros objetos locales (on-premise), tales como usuarios y grupos con la nube.
Inicio de sesió único (SSO): Se usa para ofrecer a los usuarios una experiencia de autenticación única, los usuarios iniciarán sesión en las aplicaciones alojadas en la nube con sus credenciales de red.
Esto es una gran ventaja, ya que permite a los desarrolladores integrar las aplicaciones con Active Directory sin la necesidad de manejar almacenes de identidad independientes.
En esta ocasión vamos a tratar la capacidad de Sincronización de Directorios.
Mediante esta característica podemos sincronizar todos los usuarios existentes en nuestro directorio local con la nube, si lo que desea es permitir el inicio de sesión único a los usuarios de la red, antes de activar la sincronización de directorios deberá habilitar el inicio de sesión único, por ahora no vamos a tocar el tema de SSO, lo haremos en otro artículo, el alcance de este artículo es mostrar cómo funciona la sincronización de directorios.
Windows Azure permite sincronizar hasta 50.000 objetos, si se tiene una mayor cantidad de objetos es necesario comunicarse con el servicio técnico de Windows Azure, la sincronización de directorios hace uso de una instancia de SQL Server 2008 Express, si se tiene más de los 50.000 objetos permitidos, es necesario utilizar una instalación de SQL Server 2008 completa.
Los siguientes son los requisitos que se deben cumplir para instalar la sincronización de directorios:
- El equipo debe estar unido a un dominio, pero NO debe ser un controlador de dominio, la herramienta debe instalarse en un servidor miembro.
- El equipo debe tener instalado .Net Framework 3.5 (Microsoft .Net Framework 3.5, Microsoft .Net Framework 3.5 SP1)
- Windows PowerShell, si va a instalar la herramienta de sincronización de directorios en Windows Server 2003, necesita descargar Windows PowerShell, si está ejecutando Windows Server 2008, necesita habilitar esta característica.
- Restrinja el acceso al servidor donde instalará la herramienta, solo deben tener acceso a este equipo administradores que tengan acceso al servicio de directorio.
Ahora vamos con los pasos, lo primero es ingresar a nuestra cuenta de Windows Azure para crear el directorio allí.
CREAR UN NUEVO DIRECTORIO EN WINDOWS AZURE ACTIVE DIRECTORY
Una vez iniciemos sesión en nuestra cuenta de Windows Azure, en el panel de la izquierda seleccionamos Active Directory, y luego hacemos clic en Agregar Directorio
Nos saldrá u mensaje que nos pregunta si deseamos crear un nuevo directorio o usaremos uno existente, seleccionamos Crear un nuevo directorio.
Luego diligenciamos los datos para nuestro directorio
Y listo, de este modo hemos finalizado de crear nuestro directorio en Windows Azure
ACTIVAR LA INTEGRACIÓN DE DIRECTORIOS EN WINDOWS AZURE ACTIVE DIRECTORY
Si vamos a hacer uso de SSO debemos tener por lo menos un dominio, se debe agregar y verificar el mismo, en el menú de la parte superior encontraremos la opción dominios, en este caso pasaré directamente a la opción de Integración de Directorios, la cual se encargará del tema de manera automática.
En la página de integración de directorios, podemos observar si existen dominios preparados para la sincronización de directorios o para el inicio de sesión único (SSO). A su vez podemos observar los pasos que debemos seguir antes de activar la sincronización de directorios.
Si observamos en la página de integración de directorios nos aparecen los pasos que debemos seguir para preparar la integración de directorios (no se muestra en la imagen), el segundo de ellos es prepararse para la sincronización, los requisitos son en su mayoría para preparar el entorno para el inicio de sesión único, en nuestro caso como solo probaremos la sincronización de directorios, podemos hacer clic en la opción Activado, que se muestra en la imagen anterior, aparecerá un mensaje que pregunta si deseamos activar la sincronización de directorios, hacemos clic en Sí, y de este modo se habilitará la característica, sin embargo, es importante verificar si todo está listo para la integración de directorios, para ello, está a disposición la herramienta Microsoft Deployment Readiness Tool que inspecciona el entorno de AD y ofrece un reporte de la verificación de requisitos para utilizar la herramienta de sincronización de directorios, lo cual permite que podamos resolver cualquier inconveniente antes de activar la sincronización de directorios, entre los requisitos antes de la activación se ofrecen los enlaces para la preparación del SSO, .Net Framework, y los cmdlets de PowerShell necesarios para preparar el entorno antes de la activación.
Como en nuestro caso aún no estamos preparando el entorno para SSO, simplemente activamos la sincronización de directorios, y nos aparecerá un mensaje que indica que la sincronización de directorios nunca se ha realizado.
INSTALAR LA HERRAMIENTA DE INTEGRACIÓN DE DIRECTORIOS
Para descargar la herramienta de integración de directorios haga clic en el enlace a continuación, también se ofrece un enlace de descarga desde la opción de integración de directorios en WAAD.
Una vez la descarguemos, la ejecutamos (es necesario hacerlo con privilegios de administrador local).
Hacemos clic en siguiente para iniciar la instalación.
Aceptamos los términos de la licencia.
Elegimos la carpeta de instalación.
Al hacer clic en Siguiente se iniciará el proceso de instalación.
Al finalizar la instalación iniciamos la herramienta, hacemos clic en Siguiente para iniciar
Proporcionamos nuestra cuenta de Active Directory en Windows Azure.
Luego proporcionamos las credenciales del administrador de Active Directory en nuestro entorno local (on-premise)
En la pantalla de implementación híbrida la dejamos tal cual y hacemos clic en Siguiente
Ahora, en Sincronización de contraseña, hacemos clic en la casilla de verificación, esto permitirá que las contraseñas locales se sincronicen con el directorio en Windows Azure.
Al finalizar la configuración, podemos forzar para que inicie de manera inmediata la sincronización del directorio local con WAAD.
Se iniciará el proceso de sincronización, cuyo tiempo dependerá de la cantidad de objetos que tengamos para sincronizar en nuestro directorio local, podemos verificar que la sincronización haya finalizado a través del visor de eventos en los registros de aplicación, de igual forma quedará registrado cuando finalice la sincronización de contraseñas.
Al final, si revisamos la lista de usuarios en WAAD, podemos ver que aparecerán los usuarios de nuestro directorio local, podemos ver que en la columna con origen en se muestra Active Directory Local, aparecen tres cuentas, que son las que tengo creadas en mi directorio local.
De este modo tenemos hecha nuestra sincronización de directorios, con ello podemos administrar las cuentas desde nuestra red, sincronizar los cambios y las aplicaciones en la nube funcionando de manera transparente, las identidades administradas desde un solo sitio. Espero esto sea de utilidad para muchos, un abrazo y hasta el próximo artículo.
.jpg)
