Identidad sincronizada con Office 365

sábado, 7 de marzo de 2015



En la entrada anterior vimos como sincronizar nuestros usuarios locales existentes en un bosque de Active Directory con el servicio Azure Active Directory, lo hicimos utilizando la herramienta AAD Connect. Bien, ahora que ya tenemos nuestros usuarios locales sincronizados en la nube, que tal si les brindamos acceso a Office 365 usando sus mismas credenciales de red? pues bien de esto se trata el concepto identidad sincronizada, el cual diagraman de la siguiente manera en el blog oficial de Office


La única diferencia con nuestro ejercicio, es que no estamos usando la herramienta DirSync, en lugar de ello utilizamos AAD Connect Preview, pero el concepto es el mismo. Tenemos usuarios que existen en nuestro Active Directory local, mediante la herramienta de sincronización los llevamos hacia la nube de Azure (recordemos que Office 365 utiliza Azure para alojar las cuentas), no solamente se sincronizan las cuentas de usuario sino también sus contraseñas, lo cual conocemos como Password hashes, luego el usuario al iniciar sesión en Office 365 fuera de la red de la compañía, utilizará las mismas credenciales existentes en el bosque de Active Directory local para iniciar sesión en Office 365. Ahora veamos cómo se hace.

Primero recordemos nuestro directorio local, en él contaba solamente con dos usuarios de prueba, los cuales se muestran a continuación:


Éstos usuarios y sus contraseñas fueron sincronizados hacia Azure Active Directory, lo cual desde el portal de Azure se aprecia de la siguiente manera:


Se pueden identificar claramente los usuarios con origen en Active Directory local frente a los usuarios creados directamente desde el portal de Azure.

Contamos con una cuenta de Office 365, y ya que se trata de la misma cuenta que se usó para la suscripción de Azure, éstos dos se integran automáticamente, por lo cual si iniciamos sesión en el portal de Office 365 y vamos a la administración, veremos que se encuentran los mismos usuarios, ya que Office 365 se basa en Azure para almacenar las identidades, veamos como luce el portal de Office 365.


Como podemos apreciar tenemos las dos cuentas de usuario que sincronizamos desde nuestro directorio local, pero si observamos bien notamos que la cuenta que debe utilizar el usuario no tiene el dominio de la organización, en este caso cesarherrada.com, en lugar de ello cuentan con el dominio asignado al crear la cuenta en Office 365, el cual siempre es el nombre elegido por nosotros y se le agrega el famoso dominio onmicrosoft.com

No es muy cómodo para nuestros usuarios tener que entregarles una dirección con este dominio diferente, por lo cual lo ideal es que antes de sincronizar nuestras identidades agreguemos a las cuentas de los usuarios el upn que coincida con nuestro nombre de dominio público, para ello podemos hacer uso de PowerShell, donde básicamente busque la en la OU donde tenemos las cuentas de usuario a sincronozar y les establezca el nuevo upn con nuestro nombre de dominio, veamos cómo.

Utilizaremos el siguiente script de PowerShell:

import-module activedirectory
$oldSuffix = 'itpros-dc.local'
$newSuffix = 'cesarherrada.com'
$ouUsers = “OU=Usuarios,DC=itpros-dc,dc=local”
Get-ADUser -SearchBase $ouUsers -SearchScope Subtree -filter * | ForEach-Object {
$newUpn = $_.UserPrincipalName.Replace($oldSuffix,$newSuffix)
$_ | Set-ADUser -UserPrincipalName $newUpn -whatif
}

Nótese la parte en negrilla, se trata de un "whatif" que significa en español un "qué pasa si", en conclusión informa que pasaría si se ejecuta el script y muestra los resultados, pero en realidad no lo ejecuta, para que realmente sea efectivo el cambio debemos eliminar del script la parte -whatif

Por ahora, lo ejecutaremos con el whatif para ver que resultado nos arroja.


Vemos que en efecto se aplicará el cambio sobre los dos usuarios que tenemos en la OU especificada en la variable $ouUsers

Ahora que no tenemos ningún error procedamos con la ejecución del script sin el whatif

El script se ejecuta de manera satisfactoria sin mostrar ninguna advertencia ni mensaje de error.


Ahora si revisamos uno de nuestros usuarios, podemos ver que se estableció de forma satisfactoria el nuevo upn.



Luego de esto podemos realizar la sincronización de forma manual para no tener que esperar los 60 minutos que tarda en volverse a ejecutar la sincronización en el caso de cambio de atributos. Para ello vamos a la siguiente ruta: C:\Program Files\Microsoft Azure AD Sync\Bin

Buscamos y ejecutamos el archivo DirectorySyncClientCmd


Al ejecutarlo veremos una consola de comandos indicando el progreso del proceso.


Al finalizar, se cerrará automáticamente la consola y podemos ir a revisar el portal de Azure y ver si los cambios fueron aplicados de forma satisfactoria.



Vemos que el cambio ya se ve reflejado, ahora revisemos el portal de Office 365


También contamos ya con los cambios, ya que éste los trae desde Azure. Es importante aclarar que específicamente para el caso de Office 365 es posible cambiar el upn desde el mismo portal de Office en caso de requerirse, sin embargo para el caso de otras aplicaciones que hagan uso de las identidades en la nube podemos requerir de las cuentas con nuestro propio nombre de dominio.

Bueno, ahora que ya contamos con el nombre de dominio que necesitamos, asignemos una licencia de Office 365 a uno de los usuarios.

Desde el portal de administración, seleccionamos el usuario, y desde el panel de opciones de la derecha, hacemos clic en Editar bajo Licencia asignada


Marcamos la  casilla con la licencia que le vamos a asignar y hacemos clic en Guardar


Ya con esto podemos ir al portal de Offie 365 http://login.microsoft.com e iniciamos sesión con el usuario al cual le acabamos de asignar una licencia.


Como podemos apreciar en la imagen anterior, vamos a iniciar sesión con un un usuario existente en nuestro Active Directory local con las mismas credenciales y usando nuestro propio dominio.


Y listo, ya tenemos acceso a nuestras aplicaciones de Office 365 usando identidad sincronizada. Con esto finalizamos este artículo y nos vemos en el próximo.

6 comentarios:

Ricard Ibañez Rovira dijo...

Hola Cesar, primero te felicito por los tres post sobre el Azure AD Connect, son muy explicativos y clarificadores!!

Tengo una duda respecto a la sincronización de contraseñas.

Una vez configurado todo el sistema, Azure AD puede reconocer una contraseña caducada del AD on-premise en Office365???

Gracias de antemano.

César Herrada dijo...

Hola Ricard, muchas gracias por comentar. En cuanto a la sincronización de contraseñas te cuento que Azure AD no puede reconocer si la contraseña ha caducado on-premise, solamente se sincronizará la nueva contraseña una vez el usuario la cambie desde el Active Directory local, mientras esto ocurre el usuario puede seguir iniciando sesión en la nube con la contraseña que ha caducado localmente. Un saludo y espero te sriva la respuesta.

Fabio Camacho dijo...

Hola Cesar, excelente aporte. Le queria consultar que pasa con los usuarios que existen en la nube y tambien en Office 365, sincronizo los directorios y las cuentas hacen un merge, dan error o son cuentas diferentes si tiene por ejemplo una tilde de diferencia en sus nombre.

Son nuevo en esto y queremos implementarlo pero tengo algunas dudas que estoy buscando evacuar

Vísperas dijo...

Hola, tengo la misma duda que Fabio.
Por un tema que tuvimos al empezar a utilizar office365 tuve que crear las cuentas en AD Azure directamente.
Ahora quiero sincronizar los usuarios que tienen la misma cuenta en local y en Azure.

Si sincronizo los DDAA me creara dos cuentas por usuario - con la misma información, email, nombre... - o dará error?

Si se crean puedo transferir las licencias de office 365 entre cuentas y que me pase los buzones de una cuenta a otra?

Muchas gracias

Un saludo,
Nacho G.

Campi dijo...

Hola. Yo tengo el mismo problema. Si tengo usuarios ya existentes en Office 365 y en mi directorio activo local quería saber que sucederá con ellos, ¿aparecerá un error de sincronización? Entiendo que nunca eliminará el usuario en Office 365, ¿correcto? Entiendo que no se perdería todo el correo, configuraciones, etc. en 365.

Ricard Ibañez Rovira dijo...

Cuando conectas los usuarios existentes de AD con O365, en el caso que el UPN del usuario de AD coincida con el login de O365, se fusionan y la información que prevalece es la de AD. En el caso que tengas alias, deberás introducirlos de antemano en el atributo ProxyAddress del usuario en AD, sino perderás la información.
Los permisos sobre buzones compartidos y listas de distribución seguirán siendo válidos.

Espero que aclare tus dudas.
Ricard Ibañez - www.cenabit.com

 

Aprende en Net University

Aprende en Net University
Aprende más de Azure con los cursos de Net University

MVP Award

MVP Award
Microsoft Azure

Lo más visto

Certificaciones

Comunidad

Comunidad
Comunidad Técnica

Sobre mi

Mi foto
Microsoft Azure MVP MCT|MCSE|MCSA

Visitantes


flags.es