Azure Active Directory (Azure AD) är Microsofts molnbaserade Identity and Access Management-tjänst (IAM), som hjälper dina anställda att logga in på din Joomla-webbplats och komma åt dess resurser. miniOrange Joomla LDAP tillhandahåller en lösning där befintliga identiteter i Azure Active Directory Services kan utnyttjas för enkel inloggning (SSO) på din Joomla-webbplats. För att interagera med din Azure Active Directory Domain Services-hanterade domän (Azure AD DS) används oftast Lightweight Directory Access Protocol (LDAP). Som standard är LDAP-trafiken inte kodad, vilket är ett säkerhetsproblem för många miljöer. Med Azure Active Directory Domain Services kan du konfigurera den hanterade domänen att använda LDAPS (Lightweight Directory Access Protocol). När du använder säker LDAP är trafiken krypterad. Secure LDAP är även känd som LDAP over Secure Sockets Layer (SSL).

Följ steg-för-steg-guiden nedan för att konfigurera säker LDAP-anslutning mellan Azure Active Directory och miniOrange Joomla LDAP för intranät

1. Skapa och konfigurera en Azure Active Directory Domain Services-instans

(Hoppa över detta om du redan har konfigurerat en AADDS-instans för en prenumeration)

1. förutsättningar

• En aktiv Azure-prenumeration.
• Du behöver global administratör privilegier i din Azure AD-klient för att aktivera Azure Active Directory Domain Services antingen synkroniserade med en lokal katalog eller en molnkatalog.
• Du behöver Bidragsgivare privilegier i din Azure-prenumeration för att skapa de nödvändiga Azure Active Directory Domain Services-resurserna.

1.1 Skapa en instans och konfigurera grundläggande inställningar

• Klicka på i det övre vänstra hörnet av Azure-portalen + Skapa en resurs.
• Ange Domain Services i sökfältet och välj sedan Azure AD Domain Services från sökförslagen.



• På sidan Azure AD Domain Services klickar du på Skapa. Guiden Aktivera Azure AD Domain Services startas.



• Fyll i fälten i grundfönstret i Azure-portalen för att skapa en Azure AD DS-instans:
  • Ange ett DNS-domännamn för din hanterade domän, med hänsyn till de föregående punkterna.
  • Välj den Azure-prenumeration där du vill skapa den hanterade domänen.
  • Välj den resursgrupp som den hanterade domänen ska tillhöra. Välj att skapa ny eller välj en befintlig resursgrupp.
  • Välj den Azure-plats där den hanterade domänen ska skapas.
  • Klicka på OK för att gå vidare till avsnittet Nätverk.

1.2 Skapa och konfigurera det virtuella nätverket

• Fyll i fälten i nätverksfönstret enligt följande:
  • I nätverksfönstret väljer du Välj virtuellt nätverk.
  • För den här självstudien väljer du Skapa nytt virtuellt nätverk att distribuera Azure AD DS i.
  • Ange ett namn för det virtuella nätverket, såsom myVnet, och ange sedan ett adressintervall, såsom 10.1.0.0/16.
  • Skapa ett dedikerat subnät med ett tydligt namn, till exempel DomainServices. Ange ett adressintervall, till exempel 10.1.0.0/24.
• När det virtuella nätverket och subnätet skapats, bör subnätet väljas automatiskt, till exempel DomainServices. Du kan istället välja ett alternativt befintligt subnät som är en del av det valda virtuella nätverket.
• Klicka på OK för att bekräfta den virtuella nätverkskonfigurationen.

1.3 Konfigurera en administrativ grupp

• Guiden skapar automatiskt AAD DC-administratörer grupp i din Azure AD-katalog. Om du har en befintlig grupp med detta namn i din Azure AD-katalog, väljer guiden den här gruppen. Du kan valfritt välja att lägga till ytterligare användare till detta AAD DC-administratörer grupp under driftsättningsprocessen.
  
  OBS: Vi har inkluderat medlemmar i administratörsgruppen längre fram i detta dokument.

1.4 Konfigurera synkronisering

• Med Azure Active Directory Domain Services kan du synkronisera alla användare och grupper som är tillgängliga i Azure AD, eller en omfångad synkronisering av endast specifika grupper.
• Välj omfattning och klicka sedan på OK.
  
  OBS: Omfattning kan inte ändras senare. Om behovet uppstår kommer det att krävas skapande av en ny domän.

1.5 Distribuera din hanterade domän

• På sidan Sammanfattning av guiden granskar du konfigurationsinställningarna för den hanterade domänen. Du kan gå tillbaka till valfritt steg i guiden för att göra ändringar
• För att skapa den hanterade domänen, klicka på OK.
• Processen att tillhandahålla din hanterade domän kan ta upp till en timme. Ett meddelande visas i portalen som visar förloppet för din Azure AD DS-distribution. Välj aviseringen för att se detaljerade framsteg för distributionen.
• När den hanterade domänen är fullständigt tillhandahållen visar fliken Översikt domänens status som Körs.



OBS: Under etableringsprocessen skapar Azure AD DS två Enterprise Applications som heter Domain Controller Services och AzureActiveDirectoryDomainControllerServices i din katalog. Dessa företagsapplikationer behövs för att betjäna din hanterade domän. Det är absolut nödvändigt att dessa applikationer inte tas bort när som helst.

2. Skapa och delegera certifikat för säker LDAP

2.1 Skapa ett självsignerat certifikat

• Att använda Säker LDAP, används ett digitalt certifikat för att kryptera kommunikationen. Det här digitala certifikatet tillämpas på din Azure AD DS-hanterade domän.
• Öppna en Power fönster som Administratör och kör följande kommandon.
  
  OBS: Ersätt variabeln $dnsName med DNS-namnet som används av din egen hanterade domän, till exempel exampledomain.com. Den här domänen ska vara samma som din ADDS-hanterade domän.
Gör följande post i din hosts-fil <Define your own DNS name used by your Azure AD DS managed domain
$dnsName="exampledomain.com"
# Get the current date to set a one-year expiration
$lifetime=Get-Date
# Create a self-signed certificate for use with Azure AD DS New-SelfSignedCertificate -Subject *.$dnsName `

-NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
-Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName
2.2 Exportera ett certifikat för Azure AD DS
Innan du kan använda det digitala certifikatet som skapades i föregående steg med din Azure AD DS-hanterade domän, exportera certifikatet till en .PFX-certifikatfil som innehåller den privata nyckeln.


• För att öppna dialogrutan Kör, tryck på Windows- och R-tangenterna.
• Öppna Microsoft Management Console (MMC) genom att ange MMC i dialogrutan Kör och välj sedan OK.
• Klicka på kontrollprompten för användarkonto Ja för att starta MMC som administratör.
• Från Arkiv-menyn, klicka Lägg till/ta bort snapin-modul...
• I Snap-in-guiden för certifikatväljer Dator konto, Välj sedan >Nästa
• På sidan Välj dator väljer du Lokal dator: (den dator som denna konsol körs på) och välj sedan Slutför.
• I Lägg till eller ta bort snapin-moduler dialog, klicka OK för att lägga till snapin-modulen för certifikat till MMC.
• Expandera i MMC-fönstret Konsolrot. Välj Certifikat (lokal dator) och expandera sedan Personlig nodföljt av Certifikatnod.



• Det självsignerade certifikatet som skapades i föregående steg visas, till exempel exampledomain.com. Högerklicka på det här certifikatet och välj sedan Alla uppgifter > Exportera.



• I Guiden för certifieringsexport, välj Nästa.
• Den privata nyckeln för certifikatet måste exporteras. Om den privata nyckeln inte ingår i det exporterade certifikatet misslyckas åtgärden för att aktivera säker LDAP för din hanterade domän.
  På sidan Exportera privat nyckel, välj Ja, exportera den privata nyckeln och välj sedan Nästa.



• Azure AD DS-hanterade domäner stöder endast .PFX-certifikatfilformat som inkluderar den privata nyckeln. Exportera inte certifikatet som .CER-certifikatfilformat utan den privata nyckeln.
• På sidan Exportera filformat väljer du Utbyte av personlig information - PKCS #12 (.PFX) som filformat för det exporterade certifikatet. Markera rutan för Inkludera alla certifikat i certifieringssökvägen om möjligt och klicka på Nästa.



• På sidan Säkerhet väljer du alternativet för Lösenord för att skydda .PFX-certifikatfilen. Ange och bekräfta ett lösenord och välj sedan Nästa. Det här lösenordet används i nästa avsnitt för att aktivera säker LDAP för din Azure AD DS-hanterade domän.



• På sidan Fil att exportera anger du filnamnet och platsen där du vill exportera certifikatet, t.ex C:\Users\kontonamn\azure-ad-ds.pfx.
• På recensionssidan klickar du på Slutför till exportera certifikatet till en .PFX-certifikatfil. En bekräftelsedialogruta visas när certifikatet har exporterats
• Lämna MMC öppen för användning i följande avsnitt.
2.3 Exportera ett certifikat för klientdatorer
Klientdatorer måste lita på utfärdaren av det säkra LDAP-certifikatet för att framgångsrikt kunna ansluta till den hanterade domänen med LDAPS. Klientdatorerna behöver ett certifikat för att lyckas kryptera data som dekrypteras av Azure AD DS. Följ följande steg för att exportera och sedan installera det självsignerade certifikatet i det betrodda certifikatarkivet på klientdatorn:

• Gå tillbaka till MMC för Certifikat (lokal dator) > Personligt > Certifikatbutik. Det självsignerade certifikatet som skapats i ett tidigare steg visas, till exempel exampledomain.com. Högerklicka på det här certifikatet och välj sedan Alla uppgifter > Exportera...
• Välj Nästa i guiden Exportera certifikat.
• Eftersom du inte behöver den privata nyckeln för klienter, på Exportera privat nyckelsida välj Nej, exportera inte den privata nyckeln och välj sedan Nästa.



• På sidan Exportera filformat väljer du Base-64 kodade X.509 (.CER) som filformat för det exporterade certifikatet:



• På sidan Fil att exportera anger du filnamnet och platsen där du vill exportera certifikatet, till exempel C:\Users\accountname\client.cer.



• På granskningssidan väljer du Slutför till exportera certifikatet till en .CER-certifikatfil. En bekräftelsedialogruta visas när certifikatet har exporterats.

3. Aktivera Säker LDAP för Azure AD DS

• I Azur portalen, sök efter domäntjänster i rutan Sökresurser. Välj Azure AD Domain Services från sökresultatet.



• Välj din hanterade domän, till exempel exampledomain.com.



• På vänster sida av Azure AD DS-fönstret väljer du Säker LDAP.



• Som standard är säker LDAP-åtkomst till din hanterade domän inaktiverad. Växla Säker LDAP för att aktivera.
• Växla Tillåt säker LDAP-åtkomst över internet att möjliggöra.
• Välj mappikonen bredvid .PFX-fil med ett säkert LDAP-certifikat. Bläddra till sökvägen till .PFX-filen och välj sedan det certifikat som skapades i ett tidigare steg som innehåller den privata nyckeln.
• Ange lösenordet för att dekryptera .PFX-fil som angavs i ett tidigare steg när certifikatet exporterades till en .PFX-fil.
• Klicka på Save för att aktivera säker LDAP.
  
  OBS: Ett meddelande visas om att säker LDAP konfigureras för den hanterade domänen. Du kan inte ändra andra inställningar för den hanterade domänen förrän den här åtgärden är klar. Det tar några minuter att aktivera säker LDAP för din hanterade domän.



• Ett meddelande visas om att säker LDAP konfigureras för den hanterade domänen. Du kan inte ändra andra inställningar för den hanterade domänen förrän den här åtgärden är klar. Det tar en några minuter för att aktivera säker LDAP för din hanterade domän.



4. Lägga till säkerhetsregler

• På vänster sida av Azure AD DS-fönstret väljer du Våra Bostäder.
• Välj sedan relevant Network Group Associated med denna domän under Nätverkssäkerhetsgrupp associerad med subnät.



• Listan över befintliga inkommande och utgående säkerhetsregler visas. På vänster sida av nätverkssäkerhetsgruppens fönster väljer du Säkerhet > Inkommande säkerhetsregler.
• Välja Lägg till, skapa sedan en regel för att tillåta TCP-port 636.
• Alternativ A: Lägg till en inkommande säkerhetsregel för att tillåta alla inkommande TCP-förfrågningar.

Inställningar	Värde
Källa	Vilken som helst
Källportintervall	*
Destination	Vilken som helst
Destination portintervall	636
Protokoll	TCP
Handling	Tillåt
Budget	401
Namn	TillåtLDAPS

• Alternativ B: Lägg till en inkommande säkerhetsregel för att tillåta inkommande TCP-förfrågningar från en angiven uppsättning IP-adresser.(Rekommenderas)

Inställningar	Värde
Källa	IP-adresser
Käll-IP-adresser/CIDR-intervall	Giltig IP-adress eller intervall för din miljö.
Källportintervall	*
Destination	Vilken som helst
Destination portintervall	636
Protokoll	TCP
Handling	Tillåt
Budget	401
Namn	TillåtLDAPS





• När du är klar klickar du på Lägg till för att spara och tillämpa regeln.

5. Konfigurera DNS för extern åtkomst

• Med säker LDAP-åtkomst aktiverad över internet uppdaterar du DNS-zonen så att klientdatorer kan hitta denna hanterade domän. Den Secure LDAP externa IP-adressen listas på fliken Egenskaper för din Azure AD DS-hanterade domän:



• Gör följande post i din hosts-fil <Secure LDAP external IP address>ldaps.<domainname>
Replace <Secure LDAP external IP address> with the IP we get from azure portal and replace
&l;tdomainname> with the domain name for which the certificate was created.(Value used in $dnsName)
Eg: 99.129.99.939 ldaps.exampledomain.com

6. Aktivera en användare att binda framgångsrikt

• På vänster sida av Azure AD DS-fönstret väljer du Våra Bostäder.
• Välj sedan relevant Admin Group Associated med denna domän.



• Välj sedan Medlemmar under fliken Hantera från den vänstra sidopanelen.



• Klicka på Lägg till medlemmar och välj den medlem som du skulle använda för att göra bindningsoperationen. Logga sedan in på azure portal med samma användare som nu är admin.(Om du inte redan är inloggad)
• Välj användarinställning från det övre högra hörnet och klicka på visa konto.



• Välj sedan Konfigurera självbetjäningslösenordsåterställning och gå med i dess inställning.



• Efter lyckad installation väljer du Azure Portal från listan över appar.



• Gå sedan igen till användarprofilen och välj ändra lösenord.



• När lösenordet har ändrats framgångsrikt är denna användare berättigad till bindningsoperation.

7. Konfigurera Joomla LDAP med Azure Active Directory

• Ladda ner zip-filen för miniOrange LDAP-plugin för Joomla från länken här..
• Logga in på din Joomla-sajt Administratör konsol.
• Från vänster växlingsmeny, klicka på Systemkrav, klicka sedan på under Installera förlängningar.

• Klicka här vidare Bläddra efter fil knappen för att hitta och installera plugin-filen som laddades ner tidigare.

• När installationen av plugin har lyckats. Klicka nu på Börja använda miniOrange LDAP-plugin.

• Du kommer att omdirigeras till fliken Konfigurera LDAP. För att ansluta din Joomla-webbplats till Microsoft Azure Active Directory måste du konfigurera följande inställningar:

Fält	Värde
Katalogserver	Microsoft Active Directory
LDAP Server URL	LDAP Server URL - Detta är domännamnet som vi hade lagt till i värdfilkonfigurationen för domännamnssystem. Du kan hämta LDAP-serverns URL från här.
Tjänstkontodomän	Du kan få tjänstekontots domännamn från här.
Lösenord för tjänstkonto	Lösenord för kontot som används för bindning här..
Sökbas	Ange ett unikt namn på sökbasobjektet, t.ex.:cn=User,dc=domain,dc=com. Du kan välja sökbas som anges i rullgardinsmenyn
Sökfilter	Sökfilter gör att du kan definiera sökkriterier och ge en mer effektiv och effektiv sökning. Till exempel: användarnamn


• Under User LDAP Mapping-konfigurationer väljer du din Sökbas (LDAP-trädet där dina användare kommer att sökas i) och din Användarnamn Attribut (det värde med vilket din användare kommer att sökas i AD). Klicka på Spara Användarkartläggning för att spara dina inställningar.

• Enligt Testa autentiseringssektionen, kan du ange din användares Användarnamn och Lösenord för att testa din anslutning och autentisering med LDAP-servern.

• I Attributmappning fliken, skriv in Användarnamn av användaren som finns i din AD och klicka på Kontrollera att attribut tas emot knappen för att få en lista över de attribut som tas emot från AD.

• Från Inloggningsinställningar fliken, välj ,Aktivera LDAP-inloggning kryssrutan för att aktivera inloggning med LDAP. Klicka på knappen Spara för att spara det här alternativet. Du kan bara aktivera det efter att ha konfigurerat plugin-konfigurationen.

• Grattis, du har framgångsrikt konfigurerat miniOrange LDAP plugin med din Active Directory.

24*7 Aktiv support

Om du stöter på några problem eller om du har några frågor är du välkommen att kontakta oss på joomlasupport@xecurify.com. Om du vill att några ytterligare funktioner ska inkluderas i plugin, vänligen kontakta oss, så kan vi skräddarsy det för dig. Om du vill kan vi också boka ett onlinemöte för att hjälpa dig konfigurera Joomla LDAP Plugins.