La situación es que tenemos varios sitios (AWS VPC), cada uno con sus propios dominios ADDS autoadministrados sin conectividad de red entre ellos (por diseño). Necesitamos aprovisionar a cada sitio AGREGAR usuarios automáticamente desde identidades de AzureAD, incluida la reescritura de contraseñas (las contraseñas solo deben cambiarse desde Azure).
Una posible solución (creo) es usar un cron (tarea programada) para consultar Azure Graphapi para obtener una lista de usuarios y aprovisionar usuarios usando cmdlets de usuario nuevo de PowerShells, configurando atributos de usuario para permitir la escritura de la contraseña de Azure AD Connect para garantizar la contraseña. sincronización.
Sin embargo, lo anterior necesita mucha más investigación y parece una solución personalizada que requiere monitoreo.
¿Existe una solución más lista para usar (¿incluidos terceros?) que permita AzureAD --> sincronización de usuarios de AD local?
Respuesta1
No existe una solución lista para usar que pueda satisfacer sus necesidades. Sus opciones son: repensar su diseño, realizar un desarrollo personalizado (scripting) o comprar una solución de terceros.
Las soluciones de terceros que podrían cubrir sus necesidades se incluyen enGestión de identidad (IDM)oGobernanza y administración de identidad (IGA)categorías. Puedes encontrar productos fácilmente usando tu motor de búsqueda favorito.
POR CIERTO
configurar atributos de usuario para permitir la reescritura de contraseñas de Azure AD Connect para garantizar la sincronización de contraseñas
Esto no funcionará porque Azure AD Connect sincroniza usuarios y contraseñas de AD a Azure AD, pero no al revés. Por lo tanto, la reescritura de contraseña solo funciona cuando la fuente de la cuenta es AD