none
Relation Approbation entre 2 forêts et replication AD

    Question

  • Bonjour à tous,
     
    Je suis en train d'étudier la mise en place d'une relation d'approbation (uni ou bi directionnelle je verrai...) entre 2 forêts qui comportent chacune un domaine simple.
     
    J'ai bien en tête que cette relation permet de donner l'accès aux ressources d'un domaine A à un domaine B.  
     
    En revanche ma question est de savoir si la "base de données" des utilisateur/ordinateur sera répliquées entre les DC des 2 domaines ?
     
    En fait j'aimerai qu'un utilisateur créé sur le DC du  domaine B puisse "remonter" sur le DC du domaine A.
     
    Qu'en pensez-vous
    Est ce possible  ?
     
    Merci bcp pour vos réponses !
    vendredi 27 avril 2018 10:01

Réponses

  • Bonjour,

    Non aucune base de donnée ne sera répliquée. Chaque forêt fonctionnera de manière indépendante mais dans le cas ou un utilisateur de la forêt A tentera d'accéder à des ressources de la forêt B alors l'utilisateur se présentera avec son jetton de la forêt A et c'est la forêt B qui donnera ou non le droit d'accés.

    Il y aura toujours que les utilisateur de la forêt A dans la forêt A et ceux de B dans B.

    Un utilisateur de A ne sera pas présent sur B. Par contre, vous pouvez donner des droit à cet utilisateur pour avoir des accés à des ressources sur B. C'est le principe d'une relation d'approbation :)

    Ce qu'il faut bien comprendre dans l'AD c'est que la forêt est la frontière entre 2 environnement distinct. Si il n'y a pas de relation d'approbation, alors il n'y à pas de possibilité d'accéder à des ressources d'une forêt à l'autre. Si jamais vous faites une relation d'approbation, alors vous ouvrez une passerelle pour que les deux forêt puissent communiquer entres elles.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    vendredi 27 avril 2018 10:12
  • Bonjour.

    Une relation d'approbation de forêt(s) permet de donner des accès d'une forêt vers l'autre. Mais il n'y à pas de réplication. Chaque domaine de la forêt contient ses propres objets.

    vendredi 27 avril 2018 10:18
  • Azure AD Connect est juste une utilisation de l'outil de synchronisation Identify Manager pour faire de la synchro vers azure AD.

    Identify manager permet de faire de la synchro. il est également utilisé dans sharepoint pour synhcronisé certains attributs utilisateur.

    Dans tous les cas il faut un outil pour synchroniser, cela peut-être un script PowerShell

    System Center Orchstrator devrait également permettre ce genre d'opération.

    Maintenant quel est l'objectif de mettre à la fois une approbation, pour autoriser des accès aux ressources de l'autre domaine et de faire en même temps la synchro de compte ?

    Ensuite l'idée est de synchroniser les l'ensemble des utilisateurs collecté sur le point central vers d'autres services cloud type gmail, drupal, etc...

    Si c'est pour faire de la fédération d'identité et utiliser l'authentification unique il y a des outils comme AD FS pour Microsoft, Facebook connect ... Il faut que les deux parties offrent une solution compatible. Avec la fédération d'identité tu n'as pas besoin de multiplier les comptes dans tous les environnements. Un utilisateur obtient un jeton d'accès dans son environnement pour valider l'identité, il le présente à un fournisseur qui accepte ou non de faire confiance à l'entreprise et il affecte des autorisations à la personne.


    vendredi 27 avril 2018 12:58
    Modérateur

Toutes les réponses

  • Bonjour,

    Non aucune base de donnée ne sera répliquée. Chaque forêt fonctionnera de manière indépendante mais dans le cas ou un utilisateur de la forêt A tentera d'accéder à des ressources de la forêt B alors l'utilisateur se présentera avec son jetton de la forêt A et c'est la forêt B qui donnera ou non le droit d'accés.

    Il y aura toujours que les utilisateur de la forêt A dans la forêt A et ceux de B dans B.

    Un utilisateur de A ne sera pas présent sur B. Par contre, vous pouvez donner des droit à cet utilisateur pour avoir des accés à des ressources sur B. C'est le principe d'une relation d'approbation :)

    Ce qu'il faut bien comprendre dans l'AD c'est que la forêt est la frontière entre 2 environnement distinct. Si il n'y a pas de relation d'approbation, alors il n'y à pas de possibilité d'accéder à des ressources d'une forêt à l'autre. Si jamais vous faites une relation d'approbation, alors vous ouvrez une passerelle pour que les deux forêt puissent communiquer entres elles.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    vendredi 27 avril 2018 10:12
  • Bonjour.

    Une relation d'approbation de forêt(s) permet de donner des accès d'une forêt vers l'autre. Mais il n'y à pas de réplication. Chaque domaine de la forêt contient ses propres objets.

    vendredi 27 avril 2018 10:18
  • comment faire pour avoir de la réplication des objets utilisateurs/ordinateurs entre DC de forêts différentes ?

    Merci à vous pour vos réponses rapides :)

    vendredi 27 avril 2018 12:26
  • Uniquement avec Azure Active Directory en mode Hybride en utilisant AADConnect. Mais c'est pour de la gestion d'utilisateurs dans le Cloud.

    Peux être existe t'il des outils non Microsoft, mais je n'en connais pas permettant la réplication.

    vendredi 27 avril 2018 12:31
  • Ah oui donc ca peut etre une solution AADConnect car je pensai plutôt d'abord faire une synchro de tous les sites vers le site principal qui lui seul serait synchro avec Azure.

    Donc au final il faudrait que chaque site se synchronise avec un site Azure Central qui collecterai tous les utilisateurs.

    Ensuite l'idée est de synchroniser les l'ensemble des utilisateurs collecté sur le point central vers d'autres services cloud type gmail, drupal, etc...

    Merci bien

    vendredi 27 avril 2018 12:41
  • Tu peux effectivement synchroniser (répliquer) chaque forêt vers un même tenant Azure AD. Ca te fais ton méta-annuaire.

    Pense à mettre en UPN ton nom de domaine DNS de ton tenant sur chaque forêt pour répliquer les utilisateurs avec la même forme.

    ;-)

    vendredi 27 avril 2018 12:51
  • Azure AD Connect est juste une utilisation de l'outil de synchronisation Identify Manager pour faire de la synchro vers azure AD.

    Identify manager permet de faire de la synchro. il est également utilisé dans sharepoint pour synhcronisé certains attributs utilisateur.

    Dans tous les cas il faut un outil pour synchroniser, cela peut-être un script PowerShell

    System Center Orchstrator devrait également permettre ce genre d'opération.

    Maintenant quel est l'objectif de mettre à la fois une approbation, pour autoriser des accès aux ressources de l'autre domaine et de faire en même temps la synchro de compte ?

    Ensuite l'idée est de synchroniser les l'ensemble des utilisateurs collecté sur le point central vers d'autres services cloud type gmail, drupal, etc...

    Si c'est pour faire de la fédération d'identité et utiliser l'authentification unique il y a des outils comme AD FS pour Microsoft, Facebook connect ... Il faut que les deux parties offrent une solution compatible. Avec la fédération d'identité tu n'as pas besoin de multiplier les comptes dans tous les environnements. Un utilisateur obtient un jeton d'accès dans son environnement pour valider l'identité, il le présente à un fournisseur qui accepte ou non de faire confiance à l'entreprise et il affecte des autorisations à la personne.


    vendredi 27 avril 2018 12:58
    Modérateur