I - Sơ lược về các công cụ đồng bộ (Directory Integration Tool)
Mô hình Synchronize Identity là mô hình được Microsoft khuyên dùng (recommend) cho việc triển khai Office 365 tích hợp với hạ tầng Active Directory On-Prem. Và thông qua quá trình sử dụng của doanh nghiệp, Microsoft luôn cập nhật và phát triển thêm các công cụ đồng bộ theo thời gian của sản phẩm Office 365. Microsoft cung cấp 3 công cụ chính đó là:
- Azure Active Directory Synchronization Tools (DirSync Tool)
- Azure Active Directory Synchronization Services (AAD Sync)
- Azure Active Directory Connect (Azure AD Connector)
Azure Active Directory Synchronization Tools (DirSync Tool) (End of Support soon)
Đây là công cụ đồng bộ đầu tiên của Microsoft, được phát triển từ 31/05/2013 cho đến 31/07/2014. Bao gồm 14 phiên bản theo thời gian, bắt đầu version 6385.0012 cho đến version 7020.0000 liên tục được Microsoft nâng cấp và vá lỗi cho công cụ. Bạn đọc có thể tham khảo tại đường dẫn này “Directory Sync Tool Version Release History“. Thành phần cốt lõi của DirSync cho phép đồng bộ dữ liệu từ AD On-Prem lên Azure AD là Forefront Identity Manager 2010 R2.
Microsoft vừa thông báo công cụ này không còn phù hợp với Office 365 do không hỗ trợ một số tính năng mới mà Office 365 vừa cập nhật, và tương lai sẽ hết hỗ trợ cho công cụ này.
Azure Active Directory Synchronization Services (Remaining)
Công cụ tiếp theo trong giải pháp Hybrid Identity (tích hợp định danh AD On-Prem lên Office 365). Microsoft tung ra công cụ này vào tháng 9/2014 và Azure AD Sync sẽ thay thế công cụ DirSync ở trên. Bao gồm 5 phiên bản theo thời gian, bắt đầu version 1.0.470.1023 cho đến version 1.0.494.0501. Bạn đọc có thể tham khảo tại đường dẫn này “Azure Active Directory Sync Version Release History”
Việc thay thế này nhằm gia tăng khả năng đồng bộ và tích hợp thêm một số tính năng mới cho Azure AD Premium (tham khảo Azure AD Premium tại bài viết “II) Tổng quan về Windows Azure Active Directory”). Thành phần cốt lõi Forefront Identity Manager 2010 R2 sẽ được thay thế thành “Microsoft Identity Manager – MIM”. Công cụ này đơn giản hóa việc triển khai, cài đặt cũng như việc đồng bộ và cấu hình thuộc tính sẽ chi tiết hơn.
Azure Active Directory Connect (Newest Tool – General Available)
Azure AD Connector là công cụ mới nhất hiện nay trong giải pháp đồng bộ (Hybrid Identity) của Microsoft vừa tung ra bản chính thức vào ngày 24/06/2015. Azure AD Connector đơn giản hóa việc cấu hình chỉ vài cú click chuột là cho phép người dùng đồng bộ những thông tin trong AD On-Prem lên Azure Active Directory.
Công cụ này gồm 3 thành phần chính là Synchronize Service, ADFS và Health:
- Azure AD Synchronize Services (MIM): thành phần này chịu trách nhiệm chính trong việc đồng bộ users, contacts, groups từ AD On-Prem lên Azure Active Directory
- ADFS components: thành phần này cho phép người quản trị triển khai, cấu hình mô hình Federated Identity with ADFS thông qua giao diện Azure AD Connector. Đơn giản hơn so với cấu hình theo cách truyền thống
- Health component: thành phần này tích hợp với công cụ Active Directory Health để giám sát hệ thống.
II - So sánh khả năng giữa các công cụ đồng bộ (Comparison between Directory Tools)
Như ở hạng mục trên giới thiệu về một số công cụ đồng bộ của Microsoft. Chắc chắn người đọc sẽ hỏi câu hỏi tại sao lại có nhiều công cụ như thế, và chúng có gì khác nhau. Hạng mục này tôi sẽ so sánh khả năng của từng công cụ
III - Cách hoạt động của thành phần Synchronize Components (MIM hoặc FIM)
Hình bên trên mô tả 6 bước triển khai công cụ Synchronize Tool, bao gồm:
- Prepare for DirSync: chuẩn bị các thành phần cần thiết để cài đặt DirSync
- Active Dirsync: kích hoạt tính năng Active Directory Synchronize trên Office 365 Portal
- Setup DirSync: cài đặt, cấu hình DirSync và kích hoạt tính năng đồng bộ password
- Sync Directories: cấu hình chỉ cho phép Sync dựa trên OU phòng ban (OU Filtering) hoặc thuộc tính người dùng (User-attribute), sau đó thiết lập thời gian đồng bộ (Schedule sync)
- Active Users: trong suốt quá trình người dùng sử dụng. Nếu người dùng trong tổ chức thay đổi mật khẩu bên dưới, thì hệ thống sẽ phát hiện và đồng bộ mật khẩu mới lên Azure Active Directory ngay lập tức
- Manage DirSync: lúc này người quản trị có thể cấu hình đồng bộ theo cơ chế Full Sync hoặc Delta Sync, giám sát việc đồng bộ thông qua Event Log (Event Viewers)
Thành phần DirSync làm trung gian kết nối giữa Active Directory (On-Prem) với Microsoft Online Services. Hình bên trên mô tả các bước hoạt động của DirSync, bao gồm:
- Sync Cycle Step 1: Dirsync sẽ thu thập các thông tin thuộc tính Users, Groups và Contacts từ hệ thống định danh bên dưới (Source Active Directory Connector) và import vào cơ sở dữ liệu của nó.
- Sync Cycle Step 2: sau khi thu thập đầy đủ thông tin, DirSync sẽ gửi các thông tin này lên Azure Web Service (DirSync Web Service) trên Microsoft Online Services. Thông tin này bao gồm Users, Groups và Contacts
- Sync Cycle Step 3: DirSync Web Service sau khi nhận được thông tin của DirSync On-Prem thì sẽ so sánh thông tin trong “Online Directory – Azure Active Directory”. Sau đó sẽ cập nhật thêm các thông tin còn thiếu vao Online Directory
IV - Giới thiệu công cụ Azure Active Directory Connect
Với sự ra đời của công cụ Azure Active Directory Connect, cho phép doanh nghiệp dễ dàng cấu hình và tích hợp hạ tầng định danh bên dưới (On-Prem) đồng bộ lên Azure Active Directory, về cơ bản xin nhắc lại các lợi điểm của mô hình Synchronize Identity:
- Tích hợp tài khoản của người dùng ở On-Prem lên Azure Active Directory, lúc này người dùng không chỉ sử dụng các dịch vụ
- hạ tầng bên dưới mà còn dùng tài khoản của họ để sử dụng các dịch vụ Cloud Services, tiêu biểu là Office 365.
- Người quản trị có thể cấu hình nâng cao như quản lý việc truy cập ứng dụng (conditional access based on application), giám sát thiết bị (device management) và cấu hình việc chứng thực 2 lớp (Multi-Factor Authentication)
- Công cụ Azure AD Connector tập hợp tất cả những cấu hình cần thiết, giúp người quản trị đơn giản hóa cấu hình chỉ trên 1 giao diện duy nhất. Bao gồm cấu hình các dịch vụ như Sync Services, Password Sync, Single-Sign-On with ADFS, User writeback, Password Writeback….
- Ngoài ra, tính năng mới là Azure Active Directory Health được Microsoft cung cấp. Với tính năng này, cho phép người quản trị giám sát liên tục toàn bộ sức khỏe hệ thống định danh và quá trình đồng bộ trong mô hình Synchronize Identity.
Công cụ này gồm 3 thành phần chính là Synchronize Service, ADFS và Health:
- Azure AD Synchronize Services (MIM): thành phần này chịu trách nhiệm chính trong việc đồng bộ users, contacts, groups từ AD On-Prem lên Azure Active Directory
- ADFS components: thành phần này cho phép người quản trị triển khai, cấu hình mô hình Federated Identity with ADFS thông qua giao diện Azure AD Connector. Đơn giản hơn so với cấu hình theo cách truyền thống
- Health component: thành phần này tích hợp với công cụ Active Directory Health để giám sát hệ thống.
V - Yêu cầu trước khi triển khai Azure Active Directory Connect
Yêu cầu về Azure Active Directory và Active Directory On-Prem:
- Phải có Azure Subcription để có Azure Active Directory (đối với khách hàng dùng Office 365 thì sẽ có sẵn Azure AD Basic)
- Tài khoản Global Admin của Azure Active Directory
- Active Directory Domain Controller phiên bản 2008 trở lên
- Tài khoản Enterprise Admin của Active Directory On-Prem trước khi cài đặt
Yêu cầu về phần cứng máy chủ chạy công cụ Azure Active Directory Connector:
Các Components mà Azure AD Connect hỗ trợ và được cài vào trong quá trình cài đặt:
- Azure AD Connect Azure AD Connector
- Microsoft SQL Server 2012 Command Line Utilities
- Microsoft SQL Server 2012 Native Client
- Microsoft SQL Server 2012 Express LocalDB
- Azure Active Directory Module for Windows PowerShell (PowerShell để kết nối vào Azure AD, Exchange Online)
- Microsoft Online Services Sign-In Assistant for IT Professionals
- Microsoft Visual C++ 2013 Redistribution Package
VI - Cài đặt và cấu hình Azure AD Connect
Hạng mục này hướng dẫn người dùng cấu hình, cài đặt Azure AD Connect cơ bản nhất, người dùng có thể cài trực tiếp trên máy chủ Domain Controller:
1. Trước tiên, người dùng tải công cụ Azure Active Directory Connect, http://go.microsoft.com/fwlink/?linkid=615771&clcid=0x409
2. Đăng nhập tài khoản có các quyền như sau (Enterprise Admin, Schema Admin, Domain Admin), chạy file vừa tải về -> Click chọn cấu hình theo Customize để có cái nhìn rõ hơn về công cụ Azure AD Connector:
3. Thay vì hệ thống cài đặt theo cấu hình chuẩn, hạng mục này cho phép người dùng tùy chọn các cấu hình như:
- Specify a custom installation location: tùy chọn đường dẫn cài đặt thư mục thay vì cài đặt mặc định “C:\Program Files\…”
- Use an existing SQL Server: thay vì mặc định công cụ sẽ cài đặt SQL Express để làm database lưu trữ cho Azure AD Connect, thì người dùng có thể tận dụng cài trên SQL Server của mình
- Use an existing service account: sử dụng tài khoản service account
- Specify custom sync groups: lựa chọn những group sync
Để mặc định như hình bên dưới nếu không muốn cấu hình gì thêm -> chọn Install:
4. Hệ thống bắt đầu cài các thành phần cần thiết:
5. Bước này người quản trị sẽ bắt đầu lựa chọn mô hình triển khai Hybrid Identity -> Ở bài viết này tôi chọn mô hình Synchronize Identity nên chọn vào “Password Synchronization”
6. Khai báo tài khoản Global Admin để kết nối tới Azure Active Directory (đối với người dùng Office 365 thì tài khoản Global Admin cũng chính là tài khoản Admin của Azure AD):
7. Khai báo tài khoản Enterprise Admin để kết nối tới Active Directory On-Prem, chọn Forest sẽ đồng bộ lên Azure Active Directory:
8. Azure Active Directory sẽ xác định user đồng bộ dựa trên 2 thuộc tính (attribute) là UserPrincipalName và ObjectGUID (số định danh độc quyền trong mỗi user trong AD)
9. Giữ mặc định, đồng bộ tất cả các user và thiết bị lên Azure Active Directory:
10. Tới đây người dùng chọn thêm các tính năng cho việc đồng bộ, mặc định Azure AD Connect bắt buộc chọn đồng bộ password “Password Sync”, nếu người dùng có license Azure AD Premium thì chọn thêm “Password Writeback” để cho phép reset mật khẩu trên Portal và write-back ngược lại về Active Directory On-Prem.
11. Bỏ chọn “Start the synchronization process as soon as the configuration completes” để không đồng bộ tức thì mà tôi sẽ hướng dẫn người dùng đồng bộ theo cơ chế OU-Based Filtering ở hạng mục bên dưới tiếp theo của bài viết. Bỏ chọn “Enable staging mode: When selected, synchronization will not export any data to AD or Azure AD“. Nếu chọn như trên thì Azure AD Sync Scheduler trong Task Scheduler sẽ bị Disable đồng bộ theo chu kỳ, các bước tiếp theo tôi sẽ hướng dẫn cấu hình sau.
12. Hoàn tất việc cấu hình Azure Active Directory Connect và quá trình đồng bộ bị disable do tôi chọn 2 option trên như trên.
Hạng mục tiếp theo sẽ hướng dẫn cấu hình thành phần Synchronize Services trong Azure Active Directory Connector
VII - Cấu hình thành phần Azure Active Directory Synchronize Services (AAD Sync Tool)
Giới thiệu cơ chế OU-Based Filtering:
Thay vì phải sync toàn bộ thông tin của bộ Active Directory (Users, Contacts, Groups, Service Account). Đôi khi không cần thiết phải sync toàn bộ thông tin và cơ sở dữ liệu của AD On-Prem lên Azure AD. Ví dụ, nếu trong tổ chức của doanh nghiệp đã chuẩn hóa phòng ban, tổ chức theo dạng OU (Organization Unit) thì đôi khi phòng ban kế toán sử dụng dịch vụ Cloud Services, phòng ban marketing không cần sử dụng dịch vụ Cloud Services thì không cần thiết phải sync lên Azure AD các tài khoản này, ngoài ra các service account chạy các dịch vụ bên dưới On-Prem cũng không cần thiết phải đồng bộ lên Azure AD. Cơ chế OU-Based Filtering cho phép người quản trị lựa chọn những OU cần thiết để đồng bộ lên Azure AD
Cấu hình cơ chế OU-Based Filtering và sơ bộ về Synchronization Service:
1. Chọn Start -> gõ “Synchronization Service” -> mở “Synchronzation Service” để vào công cụ quản lý việc đồng bộ
2. Lúc này hệ thống báo lỗi “Unable to connect to the Synchronization Service“, là do thiếu quyền để mở công cụ này
3. Vào Active Directory Users & Computers (ADUC), Users -> bạn sẽ thấy trong lúc cài sẽ sinh ra một số Group như “ADSyncAdmins, ADSyncBrowse, ADSyncOperators, ADSyncPasswordSet“. Do tài khoản đăng nhập của bạn chưa add vào các group này.
4. Tôi đang sử dụng tài khoản Administrator để đăng nhập, hình bên dưới khai báo vào các group của Synchronization Services:
5. Thực hiện Sign Out và đăng nhập lại để load lại profile:
6. Lúc này chạy lại Synchronize Service Manager và vào thẻ Connectors ta sẽ thấy như hình bên dưới, bao gồm 2 kết nối:
- Connector Vivazure.vn: kết nối giữa Synchronize service với database của Active Directory On-Prem
- Connector Hptcloud.onmicrosoft.com: kết nối giữa Synchronize service với database của Azure AD
- Về cơ chế đồng bộ, tham khảo part 1
Tiếp theo, ấn chọn connector Vivazure.vn để vào cấu hình cơ chế đồng bộ “OU-Based Filtering”
7. Chọn thẻ “Configure Directory Partition” -> Chọn tiếp “Containers” -> Hệ thống sẽ yêu cầu chứng thực bằng quyền “Enterprise Admin“
8. Sau khi chứng thực, người quản trị sẽ thấy cây thư mục cấu trúc AD của mình, và lúc này chỉ cần chọn OU (Organization Unit) để đồng bộ lên Azure Active Directory.
9. Sau khi đã chọn những OU cần thiết, người quản trị sẽ tiến hành đồng bộ bằng tay (Manually) để kiểm tra quá trình đồng bộ, thực hiện các bước như sau:
- Mở Windows Powershell, gõ CD “C:\Program Fiels\Microsoft Azure AD Sync\Bin”
- Tiếp tục gõ .\DirectorySyncClientCmd.exe initial
Hệ thống sẽ tiến hành đồng bộ và báo success như hình bên dưới
Tới đây người dùng đã hoàn tất việc cấu hình thành phần Synchronize Services đồng bộ theo cơ chế OU-Based Filtering.
VIII - Cấu hình Schedule lịch trình đồng bộ của thành phần Synchronzie Services (Task Scheduler)
Cấu hình trước đã disable tính năng tự đồng bộ theo lịch trình, phần này sẽ hướng dẫn người quản trị enable lại tính năng này trong dịch vụ của Synchronize Service:
1. Lịch trình đồng bộ của công cụ Synchronzie Service nằm ở Task Scheduler -> người quản trị vào Task Scheduler sẽ thấy một dịch vụ “Azure AD Sync Scheduler” -> double click vào dịch vụ này
2. Vào thẻ “Triggers” sẽ thấy thời gian đồng bộ -> Mặc định là đồng bộ 3 tiếng 1 lần, ở đây tôi chọn lại là đồng bộ 1 tiếng một lần:
3. Sau khi chọn xong và nhấn OK -> hệ thống sẽ yêu cầu chứng thực -> lúc này khai báo tài khoản Enterprise Admin vào:
Lúc này trên Portal Office 365 -> Users –> Active Users đã sync thành công các user từ bên dưới hạ tầng AD On-Prem lên Azure Active Directory, người quản trị có thể nhìn thấy tài khoản với “Synced with Active Directory” là tài khoản sync từ bên dưới lên Azure Active Directory. Người dùng sẽ đăng nhập tài khoản và mật khẩu bên dưới AD On-Prem và sử dụng dịch vụ Office 365
Như vậy đã hoàn tất quá trình đồng bộ và cấu hình Synchronzie Service, bài viết tiếp theo tôi sẽ giới thiệu cách triển khai Azure AD Health để giám sát hệ thống