O Fluig Identity permite 3 formas de integração com o Active Directory:
- Integração para sincronização de usuários e acesso com credenciais do AD, via SmartSync
- Integração para Single Sign On, via Desktop SSO
- Integração para provisionamento e desprovisionamento de acessos no AD, feito via Administração no Fluig Identity
Nos 2 primeiros casos, utilizamos componentes de apoio, que viabilizam essa integração.
O SmartSync é um componente construído em .Net, e que consiste em uma aplicação desktop, onde podemos configurar a conexão entre o Fluig Identity e os domínios do AD com o qual desejamos realizar a integração.
Podemos ter n domínios configurados. Nesta configuração, informamos os dados de conexão:
- Servidor do AD
- Base DN
- Usuário para leitura / gravação no AD
- Senha do usuário
- Token de conexão, criado pelo Fluig Identity
Por conta destas configurações, é importante que o cliente destaque um funcionário com conhecimento da infraestrutura do AD para que possa auxiliar com estas informações.
No caso do Desktop SSO, trata-se de um script, que pode e normalmente é instalado no mesmo servidor do SmartSync. Este script deve ser instalado no IIS e deve ser exposto de forma que o Fluig Identity possa acessá-lo.
Este script será responsável por viabilizar o Single Sign On para o Fluig Identity. Desde que o usuário tenha entrado com suas credenciais de rede, no login do Windows, quando ele tentar acessar o Fluig Identity, ou qualquer aplicação que esteja integrada com o Fluig Identity, nenhum usuário e senha será requisitado para o usuário.
A integração entre o Fluig Identity e o Active Directory deve ser configurada, iniciando pela importação de usuários do AD.
O Fluig Identity possui um componente chamado SmartSync, cujas responsabilidades consistem em:
- Executar a importação inicial de usuários do AD
- Permitir que um usuário do Fluig Identity possa utilizar suas credenciais de rede / AD para autenticação.
- Efetuar a sincronização de dados entre o Active Directory e o Fluig Identity, incluindo informações da conta de usuários existentes e novas contas que venham a ser criadas no AD.
Como pode ser visto no diagrama abaixo, o SmartSync funciona como um agente entre o Fluig Identity e o Active Directory do cliente.
As contas do AD serão sempre sincronizada, desde que este agente esteja online. É importante que o SmartSync esteja sempre disponível para que ele possa prover os serviços de sincronização e autenticação com credenciais AD.
No caso deste componente estar off-line, usuários do Fluig Identity possuem uma contingência para continuar com acesso aos seus softwares, que consiste em utilizar uma credencial própria que é informada no momento da ativação do usuário.
Alguns cenários possíveis:
- Cenário 1: 1 servidor com SmartSync instalado, provendo sincronização e autenticação com credenciais AD
- Cenário 2: 2 servidores, cada um com o SmartSync instalado, contemplando alta disponibilidade para sincronização e autenticação com credenciais AD
- Cenário 3: 1 servidor com SmartSync e Desktop SSO instalados, provendo sincronização de usuários e Single Sign On para o Fluig Identity, utilizando credenciais AD informadas no login do Windows
- Cenário 4: 3 servidores, onde 2 possuem Smartsync e Desktop SSO instalados, contemplando um ambiente de alta disponibilidade e o terceiro servidor agindo como Load Balancer.
Figura 2 - Cenários simples, sem single sign on e sem alta disponibilidade
Este cenário contempla a integração entre Fluig Identity e AD, contemplando sincronização de usuários e autenticação utilizando credenciais do AD. Não contempla alta disponibilidade.
Figura 3 - Cenário contemplando alta disponibilidade de sincronização e autenticação com credencial AD, sem contemplar Single Sign On
Neste cenário, temos 2 servidores atendendo a sincronização de usuários e a autenticação com credenciais AD.
Se um dos 2 servidores ficar off-line, o outro servidor continua sustentando a sincronização e autenticação dos usuários.
Não há necessidade de load balancer porque o SmartSync possui um comportamento ativo, consumindo uma fila de requisições disponibilizadas pelo Fluig Identity.
Single Sign On não está disponível neste cenário.
Figura 4 - Cenário onde temos sincronização de usuários e Single Sign On para acesso ao Fluig Identity, sem alta disponibilidade
Neste cenário temos o SmartSync fornecendo sincronização de usuários e o Desktop SSO fornecendo Single Sign On. Desde que o usuário tenha informado suas credenciais corretamente na tela de login do Windows, ele poderá acessar o Fluig Identity sem entrar com credenciais novamente.
Este cenário não contempla alta disponibilidade. Se o Desktop SSO estiver off-line, o usuário poderá autenticar no Fluig Identity com suas credenciais do AD.
Se o SmartSync estiver off-line, o usuário poderá acessar o Fluig Identity utilizando credenciais que ele informou na ativação da conta. Trata-se de uma credencial de contingência.
Figura 5 - cenário onde temos sincronização de usuários e Single Sign On, com alta disponibilidade
Neste cenário temos o SmartSync fornecendo sincronização de usuários e o Desktop SSO fornecendo Single Sign On. Desde que o usuário tenha informado suas credenciais corretamente na tela de login do Windows, ele poderá acessar o Fluig Identity sem entrar com credenciais novamente.
Este cenário contempla alta disponibilidade. Se um Desktop SSO estiver off-line, o Load Balancer se encarrega de direcionar a requisição para o servidor que está online.
Se um SmartSync estiver off-line, a outra instalação continua provendo o serviço de sincronização de usuários.
Consideramos que o ideal é providenciar um ambiente de alta disponibilidade, com 2 máquinas dedicadas para o SmartSync e Destkop SSO e uma terceira máquina, utilizada para Load Balance no caso do Desktop SSO.
Opcionalmente, o cliente pode optar por utilizar apenas 1 máquina, onde ficará instalado o SmartSync e o Desktop SSO, eliminando a máquina de redundância e o Load Balancer.
Na tabela abaixo temos os requisitos de hardware e software necessários para manter o serviço de sincronização de usuários com o AD, autenticação com credenciais do AD e Single Sign On.
Figura 2 - Requisitos de Hardware para implantação de SmartSync e Desktop SSO
Este servidor, ou servidores caso se opte por alta disponibilidade, devem atender mais alguns requisitos:
- Deve possuir acesso à internet, para acesso ao Fluig Identity
- Deve ter acesso ao domínios ou domínios a serem configurados no SmartSync
- Deve ser providenciado um usuário com privilégios de leitura do AD, para fins de sincronização e autenticação de usuários.
- Este usuário deve ter privilégio de gravação, caso decida-se implantar um projeto com provisionamento e desprovisionamento de usuários no AD.
- Preferencialmente, a máquina onde será instalado o SmartSync / Desktop SSO não deve ser a máquina onde temos instalado o AD / controlador de domínio, evitando expor a mesma a internet.