Mise en œuvre Microsoft Azure Active Directory avec fédération – partie 5 – Synchronisation d’Active Directory
Ceci est le cinquième article d’une série de billets expliquant le montage d’une plateforme permettant de faire de la fédération d’identité entre le SI et les services de Cloud public Microsoft.
La première partie est visible ici : https://blogs.technet.com/b/stanislas/archive/2014/08/01/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspx
La seconde concernant le serveur ADFS est ici : https://blogs.technet.com/b/stanislas/archive/2014/08/02/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-2-le-serveur-adfs.aspx
La troisième partie décrit l'installation et la configuration du serveur WAP : https://blogs.technet.com/b/stanislas/archive/2014/08/03/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-3-le-serveur-web-application-proxy-wap.aspx
La quatrième partie décrit l'établissement de la relation de confiance entre AD et WAAD : https://blogs.technet.com/b/stanislas/archive/2014/08/04/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-4-installation-outil-de-gestion-f-233-d-233-ration-d-identit-233-de-windows-azure-active-directory.aspx
Cette cinquième partie concerne l’installation et le paramétrage de l’outil de synchronisation d'annuaire DirSync.
0– Vérifier et/ou configurer les UPN du domaine Active Directory
Se connecter sur le DC et ouvrir la console Active Directory Domains and Trusts
Vérifier la présence d’un alternate UPN suffixe : ADinAzure.info
Si cet UPN n’existe pas, ajouter le nom de domaine externe (ADinAzure.info) dans la liste des suffixes UPN possible pour cet AD.
Pour les utilisateurs de l’AD concernés modifier l’UPN avec le nom de domaine externe (ici: ADinAzure.info)
Informations complémentaires : cf. fiche KB 243629 de la base Microsoft
1– Activation de la Synchronisation d’annuaire
Ces opérations sont à faire depuis la machine destinée à être le serveur de synchronisation (Dirsync01 dans cette plateforme)
Depuis le portail d’administration de Microsoft Azure (https://manage.windowsazure.com), cliquer sur Directory Integration
Cliquer sur Activated
2– Installation et configuration de l’outil de synchronisation d’annuaire (Windows Azure Active Directory Sync)
Windows Azure Active Directory Sync Tool 64 bit : https://go.microsoft.com/fwlink/?LinkID=278924
Prérequis :
- Avoir un un serveur Windows Server 2008 64 et > en version 64 bit
- Ce serveur est membre de l'Active Directory à synchroniser
- Il doit avoir .Net Framework 3.5 SP1 ou 4.0
- Il doit avoir PowerShell
- Avoir un compte avec des privilèges d'administration sur l'AD
- Avoir un compte d'administration global sur le Cloud Microsoft (WAAD)
- Les UPN Alternatifs doivent avoir été configurés sur Active Directory (cf. ci-dessus)
Saisir ici des identifiants d’un administrateur de Windows Azure Active Directory (Global Admin)
Saisir ici un identifiant administrateur du domaine ADinAzure.net (domaine AD interne)
Ici il n’est pas nécessaire de synchroniser les mots de passe (car l’objectif est de faire de la fédération d’identité). Ceux ci vont donc demeurer dans l’Active Directory sur site (on-premise)
3- Vérification de la synchronisation
Dans le portail d’administration d’Azure, dans la partie WAAD, dans l’onglet USERS, vérifier la présence de comptes issus de l’Active Directory sur site (Local Active Directory)
Sur le disque C du serveur DirSync01, aller dans le répertoire c:\program files\Windows Azure Directory Sync\SYNBUS\Synchronization Service\UIShell et exécuter miisclient.exe (qui est la console d’administration de Forefront Identity Manager 2008 R2)
Les informations sur les synchronisations sont disponibles dans cet outil
Prochaine étape : Activation d’abonnement Office 365 et Windows Intune et vérification du fonctionnement de la fédération
Vous êtes professionnel et légitimement vous vous posez des questions sur le Cloud, Windows Azure, Hyper-V, Windows Server, l’évolution du datacenter vers un cloud privé ou hybride alors pour en savoir plus, n’hésitez pas à suivre les sessions gratuites de formation de la Microsoft Virtual Academy : https://www.microsoftvirtualacademy.com/
Pour évaluez gratuitement Windows Azure : https://azure.microsoft.com/fr-fr/pricing/free-trial/