Jei naudojate katalogų valdymo tarnybą „Active Directory“ ir planuojate perkelti į „debesį“, pavyzdžiui, el. paštą, susidursite su dilema: klasikinis „Active Directory“ su „debesimi“ neveiks, o debesų paslaugoms pritaikytų „Active Directory“ yra net keli tipai. Ar įmanoma šiuos produktus sinchronizuoti su senąja katalogų valdymo tarnyba? O kas jeigu naudojate tik debesijos paslaugas ir norite turėti visas „Active Directory“ funkcijas? Bet svarbiausia – kaip užtikrinti, kad pokyčiai, susiję su tapatybės valdymu, nesutrukdytų darbuotojams naudotis sistemomis, kurių reikia kasdieniam darbui? Apie tai, kokie yra „Active Directory“ produktai, kada jie naudojami ir kaip juos derinti, pasakoja „Blue Bridge“ sistemų inžinierius Vidmantas Šulskis.

Tas pats pavadinimas trims produktams

Daugeliui pažįstama katalogų valdymo tarnyba „Active Directory“ yra skirta valdyti elektroninėms naudotojų tapatybėms ir slaptažodžiams. Šis produktas sukurtas fizinei, nuosavai IT infrastruktūrai. Pradėjus populiarėti debesijos paslaugoms, „Microsoft“ sukūrė naują produktą – „Azure Active Directory“. Šis įrankis skirtas valdyti „Office 365“ debesijos paslaugoms, tokioms kaip el. pašto tarnyba „Exchange Online“, bendradarbiavimo platforma „SharePoint Online“ ir kt. Vėliausiai atsirado „Azure Active Directory Domain Services“ paslauga. Ji yra skirta tradicinių sistemų perkėlimui į debesį.

Pasakodamas apie šiuos tris produktus, V. Šulskis sako, kad svarbiausia – atskirti vieną įrankį nuo kito. „Reikėtų įsidėmėti, kad tai trys skirtingi produktai, kurių pavadinimai – panašūs. Kadangi visose pavadinimuose yra „Active Directory“, neretai galvojama, kad tai skirtingos „Active Directory“ versijos. Iš tikrųjų taip nėra. Antra, produkto debesims, kuris atstotų klasikinį „Active Directory“, nėra. Jeigu jums reikia visų „Active Directory“ funkcijų ir naudojatės tik debesų paslaugomis, jums reikės „Azure Active Directory“ ir jį papildančios paslaugos, pavyzdžiui, „Microsoft Intune“. Ši paslauga suteikia daugiau galimybių valdyti kompiuterines darbo vietas“, – pasakoja V. Šulskis.

„Na, o jei turite savo IT infrastruktūrą ir naudojate debesijos paslaugas, jums reikės kurti hibridinę „Active Directory“ infrastruktūrą. Tokia infrastruktūra leis klasikinį „Active Directory“ sinchronizuoti su „Azure Active Directory“. Ši sinchronizacija gali būti įgyvendinama keliais skirtingais būdais, pagal organizacijos poreikius“, – dar vieną „Active Directory“ derinimo pavyzdį pateikia pašnekovas.

Kaip pasirinkti tinkamiausią?

Sudėtingiausiai pasirinkti „Active Directory“ sprendimą tiems, kas tik pradeda naudotis debesų kompiuterijos paslaugomis arba tiems, kas naudoja debesų paslaugas be tapatybės valdymo sprendimo.

„Pirmoji grupė – tai organizacijos, turinčios „monolitines“ sistemas, pritaikytas fizinei IT infrastruktūrai. Antroji grupė – „debesyse“ nuo pat pradžių „gyvenančios“ įmonės. Padidėjus naudotojų skaičiui, valdyti visus įrenginius gali būti per sudėtinga. Dėl to gali prireikti papildomų debesims skirtų produktų“, – pasakoja V. Šulskis.

Šių dviejų grupių poreikiai skirtingi, bet joms reikėtų įsidėmėti tą patį – skirtumą tarp „Azure Active Directory“ ir „Azure Active Directory Domain Services“ produktų. „Dažniausiai susiduriame su klausimu, ar „Azure Active Directory Domain Services“ galėtų atstoti klasikines „Active Directory“ funkcijas. Atsakymas yra „ne“. Šis produktas yra skirtas tik senųjų sistemų integracijai su debesų paslaugomis, bet ne naudotojų ir įrenginių valdymui. Trumpai tariant, jis padeda dirbti „Azure Active Directory“, jeigu naudojamasi ne tik „cloud-native“ sistemomis“,– sako „Blue Bridge“ sistemų inžinierius.

Duomenų sinchronizavimas neretai būna sudėtingas

Išsirinkus tinkamą produktą, didžiausias iššūkis – duomenų perkėlimas ir sinchronizavimas tarp skirtingų minėtų sprendimų.

„Nors iš esmės pats sinchronizavimo procesas kasmet tampa vis paprastesnis, su problemomis susiduriama vis dar labai dažnai. Pirmiausia, kadangi dirbama su naudotojais ir jų slaptažodžiais, reikia ieškoti būdų, kaip išvengti klaidų ir techninių nesklandumų. Pavyzdžiui, jeigu perkėlus el. paštą į debesį, staiga darbuotojų nebepasiekia laiškai, problema tampa kritinė, nors jos priežastis – ne visai tinkamas konfigūravimas – gali būti greitai pašalinta“, – pasakoja V. Šulskis.

Kita problema, su kuria susiduria organizacijos, derinančios savo IT infrastruktūrą ir debesų paslaugas – kaip parinkti „Active Directory“ konfigūracijas taip, kad sprendimas nenaudotų per daug resursų, kaip nuspręsti kokius duomenis reikia sinchronizuoti, o kuriuos – ne. Be to, migruojant svarbus saugumo klausimas – migracija turi būti įgyvendinta taip, kad neatsirastų laikotarpis, kai visos kompiuterinės darbo vietos ir paslaugos būtų visiškai nevaldomos.

„Svarbiausia nepasiklysti tarp daugybės informacijos apie „Active Directory“. Nors susidaro įspūdis, kad turinti tiek instrukcijų ir grafinių schemų, viskas paprasta, realybėje tai gali net apsunkinti migracijos įgyvendinimą. Tikrovėje, kiekvienos organizacijos „Active Directory“ derinimo scenarijus, ypač jeigu kalbame apie hibridinį modelį, yra individualus“,– pastebi pašnekovas.


Reikia pagalbos dėl tapatybės valdymo lokaliai ir „debesyje“? Susisiekime!