Decisión de diseño: consideraciones de migración de usuarios

La mayoría de los usuarios finales se conectan desde fuera de la nube de Azure cuando acceden a los recursos de la nube con sus propios dispositivos o dispositivos de la empresa. Las características del usuario y del dispositivo influyen en gran medida en el diseño y la arquitectura del entorno de nube y en las rutas de migración recomendadas. La forma en que administra su entorno hoy en día impone ciertos requisitos si ese sistema de administración se traslada a Azure.

Los usuarios se administran principalmente a través de los servicios de directorio. Si usa una implementación de usuarios solo en la nube, debe comenzar por crear un inquilino de Azure AD. A continuación, vincula ese inquilino a Azure AD y crea los usuarios y grupos directamente en Azure AD. Si ya tiene una implementación, puede usar Azure AD Connect para sincronizar los usuarios y grupos de AD con Azure AD automáticamente.

Por lo general, la instalación y configuración de Azure AD Connect para que se sincronice con Azure AD es un proceso que lleva un poco de tiempo. El tiempo dedicado a configurar Azure AD Connect vale la pena porque los usuarios pueden acceder a los recursos más fácilmente. Se recomienda implementar Azure AD como la mejor estrategia de autenticación en la nube a largo plazo.

Estas son las preguntas que debe responder con respecto a la gestión de usuarios:

¿Qué proveedor de identidades necesito para Citrix Cloud?

  • Citrix Cloud admite los siguientes proveedores de identidad de forma nativa:
    • Active Directory local
    • Azure Active Directory
    • Proveedor de identidades Citrix
    • Más de 20 proveedores federados de terceros, como Okta o Ping
  • Seleccione el proveedor de identidades que mejor se adapte a la implementación de Citrix Cloud. No olvide considerar todas las aplicaciones existentes y sus requisitos para integrarse con los servicios en la nube

  • Determine si el uso de una federación establecida con una implementación local es un requisito para las identidades de los usuarios. Algunos ejemplos de posibles federaciones incluyen SSO basado en Kerberos, SAML o MFA con tarjetas inteligentes o tokens de hardware como RSA SecurID.

¿Cómo puedo mover mis usuarios y grupos de AD locales existentes a Azure AD?

  • Revise la documentación de Microsoft disponible para determinar qué diseño funciona mejor para los requisitos de su empresa

  • Compruebe que el modelo de licencias de Azure AD admite las funciones y el número de usuarios de su entorno.

  • Microsoft recomienda instalar un controlador de dominio en Azure para sincronizarlo con los controladores de dominio locales a través de Azure ExpressRoute o VPN. Tener un controlador de dominio en Azure mejora el rendimiento de la sincronización de Azure AD Connect.

  • Instale y configure Azure AD Connect y permita que sincronice sus usuarios y miembros de grupos con Azure AD

  • Un único servidor Azure AD Connect está limitado a un solo bosque para la sincronización. El uso de Azure AD Connect es más complicado cuando varios dominios de AD dentro del mismo bosque participan en el proceso de sincronización.

  • Según la identidad híbrida requerida, se pueden habilitar diferentes opciones:
    • Sincronización hash de contraseñas (PHS
    • Autenticación pass-through (PTA)
    • Autenticación multifactor (solo en la nube)
    • Inicio de sesión único con Federated Services (tarjetas inteligentes, notificaciones de caducidad de contraseñas, MFA local)
  • Si no todos los usuarios deben estar sincronizados con Azure AD, Azure AD Connect admite el filtrado a nivel de dominio, unidad organizativa, atributo o grupo.

  • Filtre el ámbito de AD para incluir solo objetos que deben estar en Azure AD

  • La importación de directorios grandes lleva un tiempo considerable. Actualmente, Azure AD limita las operaciones de escritura a 84 000 por hora, por lo que debe dejar tiempo suficiente para que se produzca una sincronización completa.

  • Supervise y configure alertas mediante el portal de salud de Azure AD Connect en Azure

Enlaces a otros recursos

Consideraciones de diseño de identidad híbrida de Azure Active Directory

Sincronización con Azure AD Connect: conozca y personalice la sincronización

Conectar Azure Active Directory a Citrix Cloud

¿Qué es la identidad híbrida con Azure Active Directory?

Decisión de diseño: consideraciones de migración de usuarios

En este artículo