Hola a todos. Muchas gracias por leer este blog de nuevo.
Quisiera destacar la importancia de estos pasos para el despliegue correcto de Office 365, Intune, Entre Otros Servicios Cloud.
¿Es necesario tener AD-DirSync? - No, sin embargo los usuarios de nuestra nube, no tendrán la misma contraseña ni se llevaran la misma nomenclatura, por ellos la administración de los usuarios On-Premise y Cloud se gestionan de manera independiente, Ademas de no poder utilizar el Single sign-on (SSO) y en consiguiente los usuarios serán obligados a realizar Login varias veces dependiendo de los servicios a activar. (Solo con DirSync no lograremos el SSO...), Nuestros usuarios Cloud tendrán el mismo SID, On-Premise.
Active Directory Fereration Services (ADFS), es el servicio Fundamental para lograr el SSO, y lo que nos permite es usar nuestro usuario y contraseña, o propiedades el usuario como grupos de pertenecía, ante servicios externos, algunos ejemplos de utilización, unificación de servicios empresariales de DropBox, Office 365, zscaler, Etc...
En los siguientes entradas ir desgranado paso a paso el despliegue necesario para desde 0, desplegar los servicios necesarios para una integración completa de Directorio Activo On-Premise y AzureAD, Junto con ADFS.
Así será la infraestructura, resultante.
En el caso practico que vamos a utilizar, solo utilizaremos PowerShell.
Vamos a empezar Definiendo la Red que para nosotros será la Red Privada donde estarán ubicadas las maquinas virtuales destinadas para el ADFS, que se sincronizara con la red interna atreves de ExpressRouter o VPN (Site-Site), Adicionalmente crearemos otra red donde expondremos nuestros ADFS-Proxy que será la DMZ, el cual serán publicados a internet para los servicios...
En este capitulo crearemos las redes necesarias para desplegar los servicios.
El primer paso es crea el grupo de seguridad de Red:
Lo primero será desplegar el Grupo de seguridad de red que se utilizara por defecto, utilizaremos el siguiente comando de line.
New-AzureNetworkSecurityGroup -Name "DMZ-HTTPS" -Location "North Europe" -Label "Grupo de Seguridad DMZ SubRed"
una vez creado el grupo de seguridad podremos visualizar las reglas predeteminadas, y asi asociarlas.
Get-AzureNetworkSecurityGroup -Name "DMZ-HTTPS" -Detailed
El siguiente paso es añadir cualquier reglas de entrada para el grupo de seguridad de red que requerimos. Es decir el tráfico de entrada a la subred que el grupo de seguridad de red será asignado a más tarde. En este ejemplo, el tráfico de entrada a la subred que se utiliza como la red privada y los servidores proxy. Estas reglas no se limitan a permitir , sino también reglas de denegación.
Get-AzureNetworkSecurityGroup -Name "DMZ-HTTPS" | Set-AzureNetworkSecurityRule -Name "Permitir entrantes RDP de todas las redes internas" -Type Inbound -Priority 110 -Action Allow -SourceAddressPrefix 'RED_VIRTUAL' -SourcePortRange '*' -DestinationAddressPrefix 'RED_VIRTUAL' -DestinationPortRange '3389' -Protocol TCP
Get-AzureNetworkSecurityGroup -Name "DMZ-HTTPS" | Set-AzureNetworkSecurityRule -Name " Permitir HTTPS entrante desde Internet " -Type Inbound -Priority 120 -Action Allow -SourceAddressPrefix 'INTERNET' -SourcePortRange '*' -DestinationAddressPrefix "Red_Privada" -DestinationPortRange '443' -Protocol TCP
Get-AzureNetworkSecurityGroup -Name "DMZ-HTTPS" | Set-AzureNetworkSecurityRule -Name " Permitir entrantes RDP desde Internet " -Type Inbound -Priority 130 -Action Allow -SourceAddressPrefix 'INTERNET' -SourcePortRange '*' -DestinationAddressPrefix "RED_PRIVADA" -DestinationPortRange '3389' -Protocol TCP
Get-AzureNetworkSecurityGroup -Name "DMZ-HTTPS" | Set-AzureNetworkSecurityRule -Name " Denegar el tráfico entrante a la subred de confianza " -Type Inbound -Priority 200 -Action Deny -SourceAddressPrefix 'RED_VIRTUAL' -SourcePortRange '*' -DestinationAddressPrefix 'RED_VIRTUAL' -DestinationPortRange '*' -Protocol '*'
Una vez que todas las reglas de entrada se han creado su momento de añadir reglas de salida . Una vez más se trata de tráfico saliente de la subred que se utiliza como la Privada en este ejemplo.
Get-AzureNetworkSecurityGroup -Name "DMZ-HTTPS" | Set-AzureNetworkSecurityRule -Name " Permitir salientes HTTPS de subred Privada" -Type Outbound -Priority 110 -Action Allow -SourceAddressPrefix 'RED_VIRTUAL' -SourcePortRange '*' -DestinationAddressPrefix 'RED_VIRTUAL' -DestinationPortRange '443' -Protocol TCP
Get-AzureNetworkSecurityGroup -Name "DMZ-HTTPS" | Set-AzureNetworkSecurityRule -Name " Denegar el tráfico de salida de subred Privada" -Type Outbound -Priority 200 -Action Deny -SourceAddressPrefix 'RED_VIRTUAL' -SourcePortRange '*' -DestinationAddressPrefix 'RED_VIRTUAL' -DestinationPortRange '*' -Protocol '*'
Una vez más en esta etapa podemos usar el cmdlet " Get- AzureNetworkSecurityGroup ' con el interruptor -Detailed como anteriormente para obtener una salida de pantalla de las reglas ya configuradas en el Grupo de Seguridad de red.
El último paso para la configuración es asignar el Grupo de Seguridad de red a nuestra subred privada . Esta subred es donde se aplicarán las reglas de entrada y de salida una vez que el grupo de seguridad de red ha unido a la subred.
Get-AzureNetworkSecurityGroup -Name "DMZ-HTTPS" | Set-AzureNetworkSecurityGroupToSubnet -VirtualNetworkName "RED_VIRTUAL_X" -SubnetName "Subnet_Privada"
Recordar que estos son ejemplo y que deben adaptarse a sus redes.
Si os a gustado no olviden compartirlo.
