Einige der Cloud-Identitäten, die ich in dem Artikel Azure Active Directory: Identitätstypen erläutert habe, setzen eine Synchronisation der On-premises-Benutzerkonten voraus. Dabei stellt sich natürlich die Frage, welches Tool für die Synchronisation verwendet werden kann. Eine Antwort auf diese Frage möchte ich Euch bis zum Ende des Artikels liefern.
Microsoft stellt zum heutigen Zeitpunkt vier Tools für die Synchronisation in Richtung Azure Active Directory bereit. Bei den Programmen handelt es sich um:
1. Azure Active Directory Synchronization Tool (DirSync)
2. Azure Active Directory Sync (AAD Sync)
3. Azure Active Directory Connect (AAD Connect)
4. Forefront Identity Manager 2010 R2 (FIM; künftig: Microsot Identity Manager, MIM)
Die Wahl des Tools ist natürlich von den benötigten Features als auch von der vorhandenen Infrastruktur sowie organisatorischen Anforderungen abhängig. Aus dem Grund ist eine allgemein gültige Antwort schwer zu definieren. Daher bleiben wir bei dem in der IT allseits geliebten „it depends“ und schauen uns die Möglichkeiten genauer an.
Die einzelnen Features der Tools sind in den nachfolgenden Tabellen (Quelle: https://msdn.microsoft.com/en-us/library/azure/dn757582.aspx) aufgeführt.
Da es sich bei dem Azure Active Directory Connect noch um eine Preview-Variante handelt, sind in diesem Fall noch nicht alle geplanten Features enthalten. Dennoch führen die Tabellen bereits die zukünftigen Features mit der Bezeichnung CS (coming soon). Features, die bereits in der Preview enthalten sind, sind mit PP (Public Preview) gekennzeichnet.
On-Premises to Cloud Synchronization |
||||
Feature |
Azure Active Directory Synchronization Tool (DirSync) |
Azure Active Directory Synchronization Services (AAD Sync) |
Azure Active Directory Connect |
Forefront Identity Manager 2010 R2 (FIM) |
Connect to single on-premises AD forest |
X |
X |
PP |
X |
Connect to multiple on-premises AD forests |
X |
PP |
X |
|
Connect to single on-premises LDAP directory |
CS |
X |
||
Connect to multiple on-premises LDAP directories |
CS |
X |
||
Connect to on-premises AD and on-premises LDAP directories |
CS |
X |
||
Connect to custom systems (i.e. SQL, Oracle, MySQL, etc.) |
X |
|||
Synchronize customer defined attributes (directory extensions) |
CS |
Ein Blick auf die Featureübersicht im Bereich der Synchronisation von On-Premises in Richtung Cloud verdeutlicht, dass DirSync in diesem Bereich die wenigsten Funktionen beinhaltet. So bietet DirSync nur die Möglichkeit, einen einzelnen Active-Directory-Forest in Richtung Cloud zu synchronisieren.
Microsoft hat dem Azure Active Directory Sync hier zusätzlich die Funktion zur Synchronisierung von mehreren Active-Directory-Forests implementiert.
Azure Active Directory Connect liefert in der derzeitig verfügbaren Preview ebenfalls die Möglichkeit, mehrere Active-Directory-Forests zu synchronisieren. Jedoch werden bald zusätzliche Features implementiert. So soll es zukünftig möglich sein, dass neben dem Microsoft Active Directory auch fremde LDAP-Verzeichnisse als Quelle für den Synchronisationsprozess dienen können. Ebenfalls soll die Synchronisierung von benutzerdefinierten Attributen im AAD Connect ermöglicht werden.
Mit dem Microsoft/Forefront Identity Manager 2010 R2 steht einem jetzt ein Tool zur Verfügung, wenn es darum geht Konten aus einem oder mehreren Active-Directory-Forests oder anderen LDAP-Verzeichnissen zu synchronisieren. Des weiteren ist der FIM die einzige Möglichkeit, um Konten aus anderen Systemen, wie zum Beispiel SQL, Oracle und MySQL zu synchronisieren.
Cloud to On-Premises Synchronization |
||||
Feature |
Azure Active Directory Synchronization Tool (DirSync) |
Azure Active Directory Synchronization Services (AAD Sync) |
Azure Active Directory Connect |
Forefront Identity Manager 2010 R2 (FIM) |
Writeback of devices |
X |
CS |
||
Attribute writeback (for Exchange hybrid deployment ) |
X |
X |
PP |
X |
Writeback of users and groups objects |
CS |
|||
Writeback of passwords (from self-service password reset (SSPR) and password change) |
X |
PP |
||
Writeback of customer defined attributes (directory extensions) |
CS |
Bei der Betrachtung der Features bei der Synchronisation von der Cloud in Richtung On-premises ist ersichtlich, dass derzeit die Tools über sehr unterschiedliche Features verfügen.
DirSync bietet hierbei zum heutigen Zeitpunkt als einziges Tool die Funktion des “Writeback” von Geräteinformationen, welches für die Nutzung des Azure Active Directory Device Registration Service (Workplace Join per Azure AC) notwendig ist. Zusätzlich kann DirSync ebenfalls die notwendigen Attribute ins lokale Active Directory zurückschreiben, welche für den Betrieb einer hybriden Exchange Infrastruktur notwendig sind.
Azure Actve Directory Sync bietet ebenfalls die Möglichkeit der Synchronisation der notwendigen Exchange-Attribute für eine hybride Exchange-Infrastruktur. Zusätzlich können mittels AAD Sync die Funktion des Self-Service-Password-Resets und Änderungen des Passworts genutzt werden. In diesem Fall werden Passwortänderungen, die in der Cloud durchgeführt wurden, wieder ins lokale Active Directory geschrieben.
Azure Active Directory Connect liefert zum derzeitigen Preview-Stand die identischen Features wie AAD Sync. Jedoch werden zukünftig sowohl die Möglichkeit des Writeback von Geräten, Benutzer und Gruppen sowie benutzerdefinierte Attribute hinzukommen.
Der Forefront Identity Manager 2010 R2 bietet in diesem Zusammenhang nur die Funktion des Zurückschreibens von Exchange-relevanten Attributen, die für die Bereitstellung einer hybriden Exchange-Infrastruktur notwendig sind.
Authentication Feature Support |
||||
Feature |
Azure Active Directory Synchronization Tool (DirSync) |
Azure Active Directory Synchronization Services (AAD Sync) |
Azure Active Directory Connect |
Forefront Identity Manager 2010 R2 (FIM) |
Password Sync for single on-premises AD forest |
X |
X |
PP |
|
Password Sync for multiple on-premises AD forests |
X |
PP |
||
Single Sign-on (SSO) (also called Federation) |
X |
X |
PP |
X |
Writeback of passwords (from SSPR and password change) |
X |
PP |
DirSync bietet im Bereich der Authentifizierungsfeatures sowohl die Möglichkeit zur Synchronisation des lokalen Passworts in Richtung Cloud als auch die Verwendungsmöglichkeit innerhalb eines Single-Sign-on-Szenarios an (Federation: nicht sicher was damit gemeint ist? Dann hast du hier noch mal die Möglichkeit nachzulesen: Azure Active Directory: Identitätstypen).
AAD Sync und AAD Connect bieten zusätzlich die Möglichkeit, Passwörter aus mehreren Active-Directory-Forests zu synchronisieren, als auch geänderte Passwörter (entweder durch Self-Service Passwort Reset oder Passwortänderungen) ins lokale Active Directory zurückzuschreiben.
Der Forefront Identity Manager bietet in dem Zusammenhang nur die Nutzung innerhalb eines Single-Sign-On-Szenarios an.
Set-up and Installation |
||||
Feature |
Azure Active Directory Synchronization Tool (DirSync) |
Azure Active Directory Synchronization Services (AAD Sync) |
Azure Active Directory Connect |
Forefront Identity Manager 2010 R2 (FIM) |
Supports installation on a Domain Controller |
X |
X |
PP |
|
Supports installation using SQL Express |
X |
X |
PP |
|
Step-up from DirSync to AAD Connect |
CS |
|||
Localization Windows Server languages |
X |
X |
CS |
|
Support for Windows Server 2008 and Windows Server 2008 R2 |
X |
X |
X |
|
Support for Windows Server 2012 and Windows Server 2012 R2 |
X |
X |
PP |
In der vorangegangenen Tabelle ist ersichtlich, dass sowohl DirSync als auch AAD Sync für den Betrieb auf Windows Server 2008 (R2) und Windows Server 2012 (R2) supportet sind. Bei AAD Connect hingegen wird nur der Betrieb auf Windows Server 2012 (R2) unterstützt. Bei FIM 2010 R2 hingegen wird der Betrieb auf Windows Server 2012 (R2) nicht supportet.
Des Weiteren können sowohl DirSync, AAD Sync als auch AAD Connect direkt auf einem Domänencontroller installiert werden.
Aus meiner Sicht ist der interessanteste Punkt jedoch, dass zukünftig ein Upgrade direkt von DirSync auf AAD Connect möglich sein soll, wobei die Konfiguration beibehalten wird.
Filtering and Configuration |
||||
Feature |
Azure Active Directory Synchronization Tool (DirSync) |
Azure Active Directory Synchronization Services (AAD Sync) |
Azure Active Directory Connect |
Forefront Identity Manager 2010 R2 (FIM) |
Filter on Domains and Organizational Units |
X |
X |
PP (this feature is configured in AAD Connect via the Synchronization Service Manager) |
X |
Filter on objects’ attribute values |
X |
X |
PP (this feature is configured in AAD Connect via the Synchronization Service Manager) |
X |
Allow minimal set of attributes to be synchronized (MinSync) |
X |
PP |
||
Allow different service templates to be applied for attribute flows |
X |
PP |
||
Allow removing attributes from flowing from AD to Azure AD |
X |
CS |
X |
|
Allow advanced customization for attribute flows |
X |
PP (this feature is configured in AAD Connect via the Synchronization Service Manager) |
X |
Die Featureübersicht zu dem Thema “Filtering and Configuration” zeigt, dass Microsoft in allen Tools Möglichkeiten zur Reduzierung der zu übertragenen Daten mitliefert. DirSync bietet hierbei den geringsten Umfang und beschränkt sich auf die Einschränkung der zu synchronisierenden Konten. Diese können entweder auf Domänen und Organisationseinheiten oder über bestimmte Attributwerte gefiltert werden. Dieses ermöglicht einem auf einfache Weise zum Beispiel nur Konten zu synchronisieren, die über eine E-Mail-Adresse verfügen.
AAD Sync bietet genauso wie AAD Connect und FIM 2010 R2 zusätzliche Möglichkeiten zur Einschränkung der zu übertragenden Attribute an. Hierbei können zum Beispiel Attribute, die zwar im Active Directory gepflegt sind, aber nicht in die Cloud synchronisiert werden sollen, von der Synchronisation ausgeschlossen werden. Microsoft liefert unter dem Link (https://msdn.microsoft.com/en-us/library/azure/dn764938.aspx) Informationen welche Microsoft Cloud-Dienste welche Attribute für einen reibungslosen Betrieb benötigen.
Fazit
Microsoft wird zukünftig AAD Connect als das Tool zur Synchronisation von Azure Active Directory und allen dazugehörigen Cloud-Services platzieren. Dieses ist aus meiner Sicht auch sinnvoll, da damit die Unsicherheit der Anwender, welches Tool das richtige sei, genommen wird. Aus diesem Grund wird Microsoft auch zukünftig keine Verbesserungen mehr in den Tools AAD Sync und DirSync implementieren und die Tools auch nicht mehr einzeln zur Verfügung stellen. Für Szenarien, in denen eine Synchronisation zwischen Azure AD und zum Beispiel SQL-Datenbanken eingerichtet werden soll, wird weiterhin der Forefront Identity Manager die einzige Möglichkeit darstellen.
Im nächsten Teil werde ich dann endlich mit der Technik beginnen und die Installation und Konfiguration des Azure Active Directory Connect erläutern.
http://faq-o-matic.net/?p=6677