Chcete vědět, jak se daří Vašim ADFS serverům?

Pokud implementujeme Office 365 a potřebujeme SSO s On-Premises Active Directory tak musíme implementovat ADFS infrastrukturu, která nám umožní „delegovat“ cloudové ověření na On-Premises infrastrukturu. Podobně můžeme ADFS servery využít pro ověření mnoha dalších cloud i On-Premises aplikací. ADFS servery se tedy stávají kritickou součástí IT infrastruktury, s tím že jejich význam do budoucna ještě poroste. Z toho jednoznačně vyplývá, že si rozhodně zaslouží naši pozornost z pohledu monitoringu a sledování využití, abychom věděli jak se našim ADFS serverům daří, zda nepotřebují náš zásah např. nový certifikát nebo další server do farmy.

Se sledováním stavu ADFS serverů nám pomůže nová Azure služba, která je nyní ve fázi Preview – Azure Active Directory Connect Health.

V tomto článku si ukážeme jak službu zprovoznit a co nám přinese.

Instalace

  1. Zalogujeme se do nového Azure portálu https://portal.azure.com s účtem, který musí mít Azure AD global admin práva a přiřazenu licenci Azure AD Premium
  2. Vybereme MarketPlace a pod záložkou Identity najdeme Azure AD Connect health extension
    image
    Zvolíme Create
    image
  3. Vybereme Quick Start a Get Tools – stáhneme agenta, kterého nainstalujeme na všechny ADFS i ADFS proxy servery
    image
    image
    image
  4. Následně musíme agenta zaregistrovat pomocí příkazu Register-ADHealthAgent z PowerShellu. Zadáme účet, který jsme použili v bodu 1.
    image
  5. Na ADFS serverech povolíme security audit auditpol.exe /set /subcategory:”Application Generated” /failure:enable /success:enable

ADFS monitoring

V Azure portálu můžeme vidět Alerty pokud dojde k nějakému problému s ADFS službou, je problém s výkonem nebo například se blíží vypršení certifikátů.

image

Službu můžeme využít pro více ADFS farem:

image

V části Usage Analytics můžeme sledovat aktivitu uživatelů, kolik úspěšných pokusů o přihlášení bylo zaznamenáno, z které Relaying Party. Jednoduše tedy můžeme sledovat využití jednotlivých aplikací. Jedno uživatelské přihlášení může generovat až 80 záznamů ve Windows security logu. AAD Connect Health nabízí algoritmus, kdy jsou tyto záznamy zpracovány do smysluplných grafů a hodnot.

image

V části monitoring můžeme sledovat využití jednotlivých serverů a můžeme tedy odhalit například problém s rozdělením zátěže.

image

Co přinese budoucnost

AAD Connect Health se bude do budoucna dále rozvíjet. Příklady uvažovaných vylepšení:

  • Upozornění do mailu
  • Monitoring a reporting directory sync serverů
  • Sledování stavu a využití Azure AD služeb jako SaaS aplikací, MFA a reset hesel

- Ondřej Štefka, Microsoft