Home
About
Archives
Contactenos
Ayuda | Help

31  03 2017

Azure Active Directory: cuando debemos pensar en utilizar Azure AD Connector for FIM

En el mes de Azure Active Directory, hoy revisaremos cuando el Azure AD Connector para FIM debe ser considerado para diferentes escenarios. Para el escenario de varios bosques, Azure AD Connector está siendo obsoleto en favor de la herramienta Azure AD Connect.

En términos generales, y como hemos visto anteriormente, el uso de la herramienta Azure AD Connect debería ser la solución preferida. Las razones principales son:

  • La herramienta Azure AD Connect se ha diseñado para ser fácil de implementar y su configuración está completamente automatizada a través de un asistente.
  • En caso de problemas con la sincronización de directorios, la resolución de problemas de la herramienta Azure AD Connect normalmente será más fácil. La implementación de Azure AD Connector es una tarea personalizada, que es más compleja y puede asociarse con errores de configuración. El despliegue y el mantenimiento son más intensivos en esfuerzo y por lo tanto más costosos.
  • No se aplican requisitos de licencia para la herramienta Azure AD Connect, mientras que se requiere una licencia de servidor FIM y posiblemente licencias de Visual Studio para el Azure AD Connector.

El uso del conector Azure AD con FIM 2010 R2 sigue estando disponible para los clientes existentes. Las organizaciones pueden así continuar controlando completamente la partición de información entre locales y la nube, soportan entornos multi-forestales de AD (como Azure AD Connect) y soportan otros directorios y fuentes de datos que no sean AD, por ejemplo OpenLDAP o SAP (como Azure AD Connect).

El conector esta disponible en el sitio de descarga de Microsoft: Microsoft Download Center

Se recomienda implementar Azure AD Connector en una instancia FIM dedicada. Si bien la implementación de Azure AD en un servidor FIM 2010 R2 existente es posible (pero no es compatible), también aumentará la complejidad de la configuración y dificultará la resolución de problemas y el mantenimiento.

Otras opciones para considerar potencialmente

Como ya saben, el Módulo AD de Azure para Windows PowerShell nos permite realizar una variedad de tareas de administración desde la línea de comandos, incluida la administración de usuarios, la administración de licencias de grupos y grupos y la administración de licencias.

El Azure AD Graph API permite funciones similares, a través de interfaces API basadas en REST. Asimismo, nos permite acceder a las propiedades más comunes de todos los tipos de objetos en el directorio. La documentación de MSDN describe estas propiedades y muestra las que son escritura. Es compatible con la administración de todos los objetos de directorio, incluidos Usuarios, Grupos, Contactos (eliminar / actualizar), asignación de licencias de usuario y gestión del administrador del usuario y las relaciones de informe directo.

A través de estas dos interfaces, podemos automatizar operaciones de aprovisionamiento tales como la creación, modificación o eliminación de objetos en su inquilino de directorio de Azure AD.

Para los clientes de Office 365, aunque también permite la creación de buzones de Exchange a través de la asignación de licencias, no permite la creación de grupos o contactos habilitados para correo. La gestión de objetos de Exchange no está cubierta. Los objetos habilitados el correo deben crearse a través de PowerShell remoto de Exchange Online, después de que los objetos se hayan replicado desde el directorio AD de Azure al directorio de Exchange Online.

Con Exchange PowerShell remoto en línea, podemos administrar objetos y propiedades de Exchange Online, ya sea para fines de automatización o para administrar elementos que de lo contrario no están expuestos a través del portal.

Tengamos en cuenta que estas interfaces no proporcionan el mismo conjunto de capacidades que las herramientas de sincronización de directorios previamente discutidas proporcionadas por Microsoft. Más específicamente:

  • Estas interfaces sólo proporcionan acceso a un subconjunto de atributos que se pueden administrar mediante la herramienta Azure AD Sync (o la herramienta DirSync o el conector Azure AD de FIM).
  • El control del lado del servicio se aplica en estas interfaces para proteger el servicio y los clientes contra lotes grandes de comandos. Esto puede ralentizar el aprovisionamiento / sincronización de los usuarios, y cada ciclo de sincronización completo puede tardar mucho tiempo en completarse.
  • Azure AD Module para Windows PowerShell no proporciona mecanismos para enumerar los cambios que ocurrieron en el inquilino del directorio, por lo que no es adecuado para los procesos de sincronización de directorios. (El Azure AD Graph API admite la consulta diferencial desde noviembre de 2012.)
  • Desde una perspectiva de servicio, los objetos aprovisionados a través de los cmdlets de Azure AD Module para Windows PowerShell no aparecerán como objetos "sincronizados".

En consecuencia, el uso de interfaces para la provisión de objetos debe limitarse actualmente a escenarios donde:

  • Es necesario gestionar un número limitado de objetos.
  • Exchange Híbrido ("rich coexistence") no es necesario para los clientes de Office 365. La sincronización de directorios sólo está disponible a través de la herramienta DirSync o el Azure AD Connector. La sincronización de directorios es obligatoria para admitir determinadas características, como la coexistencia híbrida de Exchange.

Como tal, el módulo Azure AD para Windows PowerShell (y potencialmente el portal de administración de Azure) se puede recomendar a los clientes que sólo necesitan identidades de nube y no requieren una solución de sincronización en absoluto, perteneciendo a la categoría "zero on-premises hardware".

La siguiente tabla sintetiza las opciones disponibles para los escenarios individuales o multi-forest AD local:

www.radians.com.ar

Saludos, Roberto Di Lello.

Si te parecio util la informacion del blog hace click en el boton "DONATE" o Ayudar al Blog - DONAR Si te ha gustado este post, por favor considera Dejar un Comentario o Suscribirse a este sitio por medio de RSS para tener los futuros artículos desarrollados en su lector de feeds.

Dejar un comentario

« »