Azure AD, Sincronizando de nuestro directorio con directorios que no son AD local

www.radians.com.arHoy vamos a seguir con el tema de Azure Active Directory, y veremos como realizar la sincronizacion de nuestro directorio con directorios no son AD locales. La versión actual de la herramienta Azure AD Connect no proporciona soporte para directorios no AD (directorio LDAP, base de datos SQL y otros).

A diferencia de la herramienta Azure AD Connect, Azure AD Connector no requiere un Active Directory desde el que sincronizar (como vimos antes, utiliza el metaverso FIM como fuente). En consecuencia, casi cualquier directorio o combinación de directorios se puede utilizar como una fuente de sincronización, siempre que un agente de gestión (o conector) FIM esté disponible para admitir este directorio o directorios.

El artículo de Microsoft TechNet Management Agents en FIM 2010 R2 proporciona una lista de agentes de gestión que están disponibles con FIM, como el Conector Forefront Identity Manager para LDAP genérico para directorios LDAP.

Alternativamente, también es posible desarrollar agentes de gestión personalizados, utilizar otras interfaces, como archivos de texto, o aprovechar agentes de gestión que son proporcionados por terceros o en el dominio público como soluciones de código abierto como el OpenLDAP Extensible Management Agent XMA en SourceForge.

Azure AD Module para Windows PowerShell y Azure AD Graph API también se pueden utilizar para automatizar el aprovisionamiento y el mantenimiento de las identidades de Azure AD. El módulo Azure AD para Windows PowerShell sirve para todos los clientes que tienen experiencia extensa en secuencias de comandos o están dispuestos a trabajar para desarrollar una solución personalizada. En esta última situación, el Azure AD Graph API puede ser de gran ayuda.

Por ejemplo, para crear un usuario federado para Office 365, proceda con los pasos siguientes:

  1. 1. Abrimos Windows PowerShell e importamos el módulo:
    PS: C:\Windows\system32> Import-Module MSOnline
  2. 2. Realizamos una sesión con nuestro AD “inquilino” del directorio AD de Azure con el cmdlet
  3. Connect-MsolService . Nos pedirá que ingresemos nuestras credenciales de administrador (como admin@xxx.onmicrosoft.com y contraseña) para autenticarnos en nuestro directorio de Azure AD.
    PS: C:\Windows\system32> Connect-MsolService
  4.  
  5. 3. Obtengamos el ID único de la combinación de cuenta (SKU) que se necesitará para asignar una licencia, por ejemplo "idmgt:ENTERPRISEPACK" en nuestra configuración con el cmdlet Get-MsolAccountSku.
    PS C:\Windows\system32> Get-MsolAccountSku
  6. 4. Creamos el usuario con el cmdlet New-MsolUser :
    PS C:\Windows\system32> New-MsolUser -DisplayName user1 –UserPrincipalName user1@corpfabrikam.onmicrosoft.com -UsageLocation FR -BlockCredential $false –ImmutableId 81372
  7.  
  8. 5. Asignamos la licencia del usuario con el cmdlet Set-MsolUserLicense :
    PS: C:\Windows\system32> Set-MsolUserLicense -UserPrincipalName user1@corpfabrikam.onmicrosoft.com -AddLicenses "idmgt:ENTERPRISEPACK"
  9.  

Varias soluciones de terceros basadas en estas interfaces están disponibles hoy en día, proporcionando una solución simple para tales escenarios. Como ejemplo, podemos mencionar la solución Optimal IdM. Dicho esto, tengamos en cuenta que:
• Estas dos interfaces no fueron diseñadas para la sincronización de directorios
• Las operaciones tardarán más tiempo en completarse debido a la limitación del lado del servidor,
• Algunas funciones no son compatibles con el aprovisionamiento basado en estas interfaces.

La siguiente tabla sintetiza las opciones disponibles para los escenarios de directorios locales no AD:

www.radians.com.ar

Espero que les sea de interes. Saludos. Roberto Di Lello.

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.