חיבור Active Directory לתשתית OneLogin

by אלי שלמה · 08/03/2019

סדרת מאמרים של איך לבצע פעולות מסוימות והגדרות בשירות הענן של OneLogin בסביבה היברידית וכן חיבור אפליקציות ומערכות מקומיות ואפליקציות ענן על גבי מערכת אחת ועל גבי זהות אחת, ושילוב אוטומציה ויכולות אבטחה מתקדמות.

השלב הראשון בתשתית זהויות היברידית של OneLogin היא לחבר Directory מקומי ואובייקטים קיימים אל תשתית OneLogin, ברוב המקרים תמיד ישנו Leading Directory וגם בתוך אחזו המקרים הזה הרוב הגדול מיכל Active Directory, ולכן השלב הראשון (לאחר הקמת שירות הענן) הוא התקנת AD Connector.

כמו בכל תשתית זהויות היברידית אנו צריכים לוודא שישנם פרמטרים נדרשים לסנכרון של אותו Directory ואם נקח לדוגמה את Active Directory אנו צריכים אובייקט מסוג משתמש עם הערכים הבאים: UPN, Email, Display Name, SamAccountName וכן הלאה בכדי לבצע סנכרון ראשוני.

אחד היתרונות של תשתית OneLogin היא היישום הפשוט מתוך Active Directory, והאפשרויות המגוונות בביצוע סנכרון אובייקטים, לדוגמה: אם נקח אובייקט מסוג משתמש, אין צורך בשינוי ערכים בצד המשתמש כמו ערך UPN בכדי לבצע סנכרון ובכדי שלא ייווצרו אובייקטים מסוג משתמש כפולים בענן וכאלה שאינם תואמים.

הסנכרון של AD COnnector של OneLogin מאפשר לקחת פרמטר אחר שהינו פרמטר מוביל לביצוע הסנכרון, למשל ערך Email. במצב כזה אנו יכולים לבצע את הסנכרון כבר בשבל הראשוני מבלי לבצע הכנות ארוכות בתשתית Active Directory מקומי.

הערה: ישנם מערכות סנכרון רבות שדורשות שינוי UPN לביצוע התאמה בענן ולכן שינוי UPN גור הכנות ולעיתים מסוימות אין אפשרות לבצע שינוי UPN בגלל תאימות אפליקציות או כרטיסים חכמים אשר מוגדרים על אותו UPN.

האינטגרציהה הראשונית של Active Directory מול OneLogin מצריכה עוד מספר דרישות (יחסית פשוטות ומתוארות בהמשך המאמר) לביצוע סנכרון של אובייקטים. screenshot_02

איך מחברים Active Directory לתשתית OneLogin

בכדי לחבר Active Directory של תשתית OneLogin יש לבצע את הפעולות הבאות ותחילה נכין דרישות סף, הדרישות המתוארות מטה הם דרישות בסיסיות לכל תשתית אינטגרציה עם Active Directory ורתחיש של Single Domain.

הכנת דרישות סף

יש להכין את הדרישות הבאות:

שרת מבוסס Windows Server 2008 R2 SP1 ומעלה לטובת הרצת קונקטור
תקשורת חיצונית בפורט TCP 443 החוצה בלבד מול הכתובות הבאות

52.29.255.192/26 (52.29.255.192 – 52.29.255.255)
52.48.63.0/26 (52.48.63.0 – 52.48.63.63)
52.24.165.42
52.15.145.203

הגדרת דומיינים לתקשורת חיצונית בלבד

your_domain.onelogin.com
admin.eu.onelogin.com
api.eu.onelogin.com (new /1 API)
api-eu.onelogin.com (legacy v1-v3 API)
smux.eu.onelogin.com
radius.eu.onelogin.com
radius2.eu.onelogin.com
ldap.eu.onelogin.com

משתמש ייעודי אין צורך במשתמש ייעודי אך במידה ונדרש ניתן ליצור משתמש עם הרשאות אדמין מקומיות מול שרת מקומי
ערכים מסוימים לסנכרון וברוב המקרים ערכים אלה כבר מוגדרים בתשתית Active Directory

screenshot_01

התקנת OneLogin AD Connector

התקנת AD Connector וחיבור Active Directory מקומי אורך מספר דקות בודדות, ובכדי להתקין יש לבצע את הפעולות הבאות:

לוגין לפורטל הניהול של OneLogin (פורטל https://your_domain.onelogin.com/admin)
מתוך Users נבחבר באפשרות Directories

screenshot_03

לאחר מכן נבחר באפשרות Active Directory

screenshot_04

לאחר מכן נתחיל בהגדרת הקונקטור עם הפרטים הבאים:
- אפשרות Name Directory – יכול להיות כל שם אך במידה וישנם ריבוי דומיינים מומלץ לרשום את שם הדומיין הייעודי
- הורדת הקונקטור לשרת OneLogin או לשרת Domain Controller
- העתקת הטוקן להתקנת AD Connectors

screenshot_06

התקנת AD Connector – התקנת AD Connector היא תהליך מאוד פשוט שמצריכה את ההגדרות הבאות בלבד:

screenshot_07 screenshot_08 screenshot_09 screenshot_10 screenshot_11 screenshot_12

לאחר סיום התקנת הקונקטור ולאחר ביצוע תקשורת ראשונית בין שרת Active Directory לבין תשתית OneLogin נוכל לסיים את ההגדרה מתוך פורטל הניהול של OneLogin ולוודא שישנו סטטוס תקין.

הערה: בשלב זה עדיין לא בוצע סנכרון משתמשים או בחירת OU לסנכרון אובייקטים

screenshot_15 בסיום נוכל לבחור את האובייקטים הנדרשים לסנכרון וכן את אופי הסנכרון בהגדרות Directory.

חשוב להדגיש כי:

סנכרון אובייקטים נעשה באופן מיידי וללא המתנה של Cycle מסוים, כמובן שהשרת המסנכרן עדיין תלוי רפליקציה של Active Directory
ניתן לבצע סנכרון מתוך פורטל הניהול של OneLogin
לאחר התקנת רכיב AD Connector אין שום צורך לבצע שינויים ברמת השרת וכלל הניהול ושינוי הגדרות נעשה מתוך פורטל הניהול של OneLogin בלבד

לסיכום

אינטגרציה בין Active Directory לבין שירות הענן של OneLogin הינו תהליך פשוט ביותר ואינו מצריך הכנת הגדרות מסיביות בצד המקומי.

ביצוע סנכרון אובייקטים יכול להיעשות על גבי מספר אפשרויות הכוללות בין היתר: ערכים, סוגי אובייקטים, פרמטרים שונים, בחירה סלקטיבית, פילטרים מוגדרים לפי דרישה וכן הלאה.

מאמרים נוספים בשירות הענן של OneLogin

חיבור Active Directory לתשתית OneLogin