本地AD域迁移到 Azure AD,WS1怎么调整?

时间:2021-07-15 | 标签: | 作者:Q8 | 来源:莫得感情的搬运工网络

小提示:您能找到这篇{本地AD域迁移到 Azure AD,WS1怎么调整?}绝对不是偶然,我们能帮您找到潜在客户,解决您的困扰。如果您对本页介绍的本地AD域迁移到 Azure AD,WS1怎么调整?内容感兴趣,有相关需求意向欢迎拨打我们的服务热线,或留言咨询,我们将第一时间联系您!

< font-size: 16px;">现在使用Azure AD的企业慢慢变多,很多企业开始准备将本地AD域搬迁到Azure AD上面去。Workspace ONE中不管是UEM或者是Access都是将本地AD域作为最重要的认证和用找营销策划户信息来源,AD迁移到AAD必然是对目前架构的一次重大调整。

< font-size: 16px;">那么,与之对应的,Workspace ONE如何调整?理一下思路:

< font-size: 16px;">1Workspace ONE UEM和Azure AD对接

< font-size: 16px;">没问题,UEM支持将Azure AD作为认证源。

< font-size: 16px;">2Workspace ONE Access和Azure AD对接

< font-size: 16px;">也没有问题,Access和Azure AD都支持SAML。也就是说,我们可以将Azure AD作为WS1 Access的SAML IDP。

< font-size: 16px;">单独对接都没有问题,那么UEM和Access都有的情况呢?

< font-size: 16px;">3Workspace ONE UEM 和Access都有,如何和Azure AD对接?

< font-size: 16px;">我们需要看一下UEM和Access都存在的情况下,企业应用的场景包括:

  • < font-size: 16px;">UEM可以利用Access统一认证,单点登录。之前UEM、Access分别和AD同步,两边的用户信息是匹配的。

  • < font-size: 16px;">启用Hub Service,将各个平台(苹果/安卓/Windows)的Intelligent Hub作为企业门户。此时门户的应用发布是部分来自于UEM,部分来自于Access。

< font-size: 16px;">所以,我们在设置上会将注册时的认证来源选为Workspace ONE Access。

< font-size: 16px;">是不是开始有点懵了?

< font-size: 16px;">那么是不是UEM和Access分别与AAD对接,就可以了呢?

< font-size: 16px;">我曾经也这么认为,结果发现分别对接后两边的用户属性无法匹配,会出现一旦将Access作为认证源,Hub就无法进行正常注册。

< font-size: 16px;">如果将UEM作为认证源,Hub可以注册,但无法获取到Access发布的应用列表。

< font-size: 16px;">貌似是一个两难的境地。

< font-size: 16px;">突破点是让两边的用户属性统一,最合理的方式是:Access把用户写入到UEM里面。

< font-size: 16px;">事实上是用户属性从AAD→_→Access→_→UEM。

< font-size: 16px;">我知道听起来有点玄幻,但确实可以做。基于两点

< font-size: 16px;">1将Azure AD作为WS1 Access的SAML IDP,配置Just in Time用户,在 用户登录Access(其实是登录Azure AD)的同时,把信息写入Access。

< font-size: 16px;">实现了用户属性从AAD→_→Access。

< font-size: 16px;">2 利用Airwatch Provisioning APP,实现用户属性从Access→_→UEM。

< font-size: 16px;">也就是说在开始时Azure AD用户在UEM和Access都是没有账户,更不用说用户属性了。

< font-size: 16px;">Azure AD用户要做的就是登录一次Access,即可完成在Access和UEM的账户创建,包括用户属性和Azure AD同步。

< font-size: 16px;">接下来用户就可以用Azure AD凭证来注册设备,获取完整的应用门户了!

< font-size: 16px;">管理员无需进行用户生命周期管理。只需要负责Azure AD的部分就好了。

< font-size: 16px;">很好对吧,下面我们来看看如何实现

< font-size: 16px;">测试环境准备:

  • < font-size: 16px;">Workspace ONE UEM

  • < font-size: 16px;">Workspace ONE Access

  • < font-size: 16px;">Microsoft 365 (Azure AD)

< font-size: 16px;">如何获得以上测试环境我就不写了。

< font-size: 16px;">首先我们利用hub service的向导,将UEM和Access进行集成。这是最简易的方式,很轻松将UEM和Access集成起来。注意hub注册认证源选择成Access。

< font-size: 16px;">下面我们将Azure AD配置成Access的SAML IDP。

< font-size: 16px;">第一步先下载Access的SAML元数据,注意此时Access是作为服务提供商(SP),所以我们需要下载SP的元数据。


< font-size: 16px;">第二步,我们需要配置Azure AD。先打开https://aad.portal.azure.com/ 。

< font-size: 16px;">选择Azure Active Directory,创建一个新的企业应用程序。



< font-size: 16px;">选择最后一危机公关就是组织危机的公项Non-gallery。

< font-size: 16px;">授权用户,把自己的测试账户分配进去,要不然没有授权,用户是没法使用这个应用程序来完成SAML的。

< font-size: 16px;">点击单一登录,SAML。

< font-size: 16px;">设置基本SAML配置。

< font-size: 16px;">实体ID:刚才Access SP的XML地址。记得设置成默认。

< font-size: 16px;">回复URL:SP.xml里面可以找到。

< font-size: 16px;">注销URL:同上。


< font-size: 16px;">添加断言中的用户属性和声明:

< font-size: 16px;">注意这些值会作为Access的JIT用户属性,其中最关键的是ExternalID,是将来配置Airwatch Provisioning APP所必须的,如果没有则会造成用户无法置备到UEM里面去。注意声明名称的大小写

< font-size: 16px;">下载联合元数据XML。




< font-size: 16px;">第三步,我们回到Access界面。

< font-size: 16px;">在身份提供程序中点击添加SAML IDP。


< font-size: 16px;">填写身份提供程序的名称,绑定协议HTTP重定向。

< font-size: 16px;">SAML 元数据就是把刚才从Azure AD下载的联合元数据XML用编辑器打开,粘贴到框中,点击处理IDP元数据。

< font-size: 16px;">用户识别方式选为NameID元素,点击加号两次,添加:

< font-size: 16px;">“urn:oasis:names:tc:1.1:nameid-format:unspecified”映射到 

< font-size: 16px;">“userPrincipalName”。

< font-size: 16px;">“urn:oasis:names:tc:1.1:nameid-format:emailAddress”映射到

< font-size: 16px;">“userPrincipalName”。

< font-size: 16px;">选中即时用户置备,创建目录名称(可以是任意,不一定是FQDN那种)。

< font-size: 16px;">选中使用的网络范围,没有设置过就选中所有。默认是不选的,一定要选中。

< font-size: 16px;">身份验证方法自己随便起名字,SAML上下文是

< ">选中启用单点注销配置。

< font-size: 16px;">修改访问策略,根据实际情况,本文是修改了default策略。选中所使用刚才自己创建的身份验证名称。

< font-size: 16px;">可以观察到目录中多出了一个即时目录,希望你刚才起了一个容易分辨的名字。

< font-size: 16px;">打开另外一个浏览器或者是隐私模式之类的,尝试用Azure AD用户来登录Access。

< font-size: 16px;">你会发现界面会自动跳转到Azure AD登录。

< ">登录完成之后会发现该用户被即时创建了出来。

< ">注意观察此时的用户属性,包括了我们的ExternalID,也就是图中的外部ID。

< font-size: 16px;">第四步:配置Airwatch Provisioning APP来做用户置备。这步还是在Access界面上。

< font-size: 16px;">新建Web应用,从目录中选择Airwatch Provisioning,先不用做任何配置,一路点击下一步,保存。

< font-size: 16px;">回到Web应用列表。选中新建出来的Airwatch Provisioning,点击编辑。会发现界面有所变化。出现在置备的相关内容。


< font-size: 16px;">点开配置。这里可以采用粘贴XML内容的方式来自动填写。XML是来自UEM设置目录集成这里导出。


< font-size: 16px;">置备选项页中,可以选择启用证书身份验证,或者手动输入的方式。把启用置备改成“是”。

< font-size: 16px;">用户置备页面。带红色星号的是必须的,可以看到ExternalID(外部ID)的重要性。

< ">组置备可以不配置。

< font-size: 16px;">保存并分配给用户/组即可。稍后可以看到用户已经置备成功。

< font-size: 16px;">此时回到UEM界面,就可以看到置备出来的用户。

< font-size: 16px;">需要说明的是,用户只需要登录一次Access即可,并不需要手工点击Airwatch Provisioning这个APP,其实默认这个APP是隐藏,不显示在用户门户中的,因为没必要。

< font-size: 16px;">最后一步就可以用设备来注册试试看了。

< font-size: 16px;">至此我们就完成了WS1的挑战,和Azure AD的集成。

本地AD域迁移到 Azure AD,WS1怎么调整?

上一篇:多名资深开发者以实际案例分享卡牌游戏设计经
下一篇:什么是速卖通数据纵横?速卖通数据分析案例:


版权声明:以上主题为“本地AD域迁移到 Azure AD,WS1怎么调整?"的内容可能是本站网友自行发布,或者来至于网络。如有侵权欢迎联系我们客服QQ处理,谢谢。
相关内容
推荐内容
扫码咨询
    本地AD域迁移到 Azure AD,WS1怎么调整?
    打开微信扫码或长按识别二维码

小提示:您应该对本页介绍的“本地AD域迁移到 Azure AD,WS1怎么调整?”相关内容感兴趣,若您有相关需求欢迎拨打我们的服务热线或留言咨询,我们尽快与您联系沟通本地AD域迁移到 Azure AD,WS1怎么调整?的相关事宜。

关键词:本地AD域迁移到,Azure,AD,

关于 | 业务 | 案例 | 免责 | 隐私
客服邮箱:sales@1330.com.cn
电话:400-021-1330 | 客服QQ:865612759
沪ICP备12034177号 | 沪公网安备31010702002418号