Hoy vamos a seguir con el tema de Azure Active Directory, y veremos como realizar la sincronizacion de nuestro directorio con directorios no son AD locales. La versión actual de la herramienta Azure AD Connect no proporciona soporte para directorios no AD (directorio LDAP, base de datos SQL y otros).
A diferencia de la herramienta Azure AD Connect, Azure AD Connector no requiere un Active Directory desde el que sincronizar (como vimos antes, utiliza el metaverso FIM como fuente). En consecuencia, casi cualquier directorio o combinación de directorios se puede utilizar como una fuente de sincronización, siempre que un agente de gestión (o conector) FIM esté disponible para admitir este directorio o directorios.
El artículo de Microsoft TechNet Management Agents en FIM 2010 R2 proporciona una lista de agentes de gestión que están disponibles con FIM, como el Conector Forefront Identity Manager para LDAP genérico para directorios LDAP.
Alternativamente, también es posible desarrollar agentes de gestión personalizados, utilizar otras interfaces, como archivos de texto, o aprovechar agentes de gestión que son proporcionados por terceros o en el dominio público como soluciones de código abierto como el OpenLDAP Extensible Management Agent XMA en SourceForge.
Azure AD Module para Windows PowerShell y Azure AD Graph API también se pueden utilizar para automatizar el aprovisionamiento y el mantenimiento de las identidades de Azure AD. El módulo Azure AD para Windows PowerShell sirve para todos los clientes que tienen experiencia extensa en secuencias de comandos o están dispuestos a trabajar para desarrollar una solución personalizada. En esta última situación, el Azure AD Graph API puede ser de gran ayuda.
Por ejemplo, para crear un usuario federado para Office 365, proceda con los pasos siguientes:
-
1. Abrimos Windows PowerShell e importamos el módulo:
PS: C:\Windows\system32> Import-Module MSOnline -
2. Realizamos una sesión con nuestro AD “inquilino” del directorio AD de Azure con el cmdlet
-
Connect-MsolService . Nos pedirá que ingresemos nuestras credenciales de administrador (como [email protected] y contraseña) para autenticarnos en nuestro directorio de Azure AD.
PS: C:\Windows\system32> Connect-MsolService -
-
3. Obtengamos el ID único de la combinación de cuenta (SKU) que se necesitará para asignar una licencia, por ejemplo "idmgt:ENTERPRISEPACK" en nuestra configuración con el cmdlet Get-MsolAccountSku.
PS C:\Windows\system32> Get-MsolAccountSku -
4. Creamos el usuario con el cmdlet New-MsolUser :
PS C:\Windows\system32> New-MsolUser -DisplayName user1 –UserPrincipalName [email protected] -UsageLocation FR -BlockCredential $false –ImmutableId 81372 -
-
5. Asignamos la licencia del usuario con el cmdlet Set-MsolUserLicense :
PS: C:\Windows\system32> Set-MsolUserLicense -UserPrincipalName [email protected] -AddLicenses "idmgt:ENTERPRISEPACK" -
Varias soluciones de terceros basadas en estas interfaces están disponibles hoy en día, proporcionando una solución simple para tales escenarios. Como ejemplo, podemos mencionar la solución Optimal IdM. Dicho esto, tengamos en cuenta que:
• Estas dos interfaces no fueron diseñadas para la sincronización de directorios
• Las operaciones tardarán más tiempo en completarse debido a la limitación del lado del servidor,
• Algunas funciones no son compatibles con el aprovisionamiento basado en estas interfaces.
La siguiente tabla sintetiza las opciones disponibles para los escenarios de directorios locales no AD:
Espero que les sea de interes. Saludos. Roberto Di Lello.