设计决策:用户迁移注意事项
大多数最终用户使用自己的设备或企业中的设备访问云资源时,都是从 Azure 云外部进行连接。用户和设备特性极大地影响了云环境的设计和架构以及推荐的迁移路径。如果管理系统迁移到 Azure 中,您现在如何管理环境会带来一定的要求。
用户主要通过目录服务进行管理。如果您使用的是仅限云的用户部署,则应先创建 Azure AD 租户。然后将该租户链接到 Azure AD,并直接在 Azure AD 中创建用户和组。如果您有现有部署,则可以使用 Azure AD Connect 将您的 AD 用户和组自动同步到 Azure AD。
通常,安装和配置 Azure AD Connect 以与 Azure AD 同步是一个耗时的过程。花时间设置 Azure AD Connect 是值得的,因为用户能够更轻松地访问资源。建议将 Azure AD 作为身份验证的最佳长期云策略。
以下是您需要回答的有关用户管理的问题:
Citrix Cloud 需要哪个身份提供商?
- Citrix Cloud 本机支持以下身份提供商:
- 本地 Active Directory
- Azure Active Directory
- Citrix 身份提供程序
- 超过 20 家第三方联合提供商,例如 Okta 或 Ping
选择最适合您的 Citrix Cloud 部署的身份提供商。不要忘记考虑所有现有应用程序及其与云服务集成的要求
- 确定使用通过本地部署建立的联合身份验证是否是用户身份的必要条件。潜在联合的示例包括基于 Kerberos 的 SSO、SAML 或带有智能卡或 RSA SecurID 等硬件令牌的 MFA。
如何将现有的本地 AD 用户和组移动到 Azure AD?
查看可用的 Microsoft 文档,确定哪种设计最适合您的业务需求
验证 Azure AD 的许可模式是否支持环境的功能和用户数量。
Microsoft 建议在 Azure 中安装域控制器,以便通过 Azure ExpressRoute 或 VPN 与本地域控制器同步。在 Azure 中使用域控制器可提高 Azure AD 连接同步性能。
安装和配置 Azure AD Connect 并允许其将您的用户和组成员资格同步到 Azure AD
单个 Azure AD 连接服务器仅限于单个林以进行同步。当同步过程中涉及同一个林中的多个 AD 域时,使用 Azure AD Connect 会更加复杂。
- 根据所需的混合身份,可能会启用不同的选项:
- 密码哈希同步 (PHS)
- 直通身份验证 (PTA)
- 多重身份验证(仅限基于云)
- 使用联合服务进行单点登录(智能卡、密码过期通知、本地 MFA)
如果不是所有用户都必须同步到 Azure AD,则 Azure AD Connect 支持在域、组织单位、属性或组级别进行筛选。
筛选 AD 作用域以仅包含需要在 Azure AD 中的对象
导入大型目录需要相当长的时间。目前,Azure AD 将写入操作限制为每小时 84,000 次,因此您需要留出足够的时间来进行完全同步。
- 使用 Azure 中的 Azure AD 连接运行状况门户监视和配置警报
其他资源链接
Azure Active Directory 混合标识设计注意事项