← Back
Hybrid Identity Lab
Detta labbet byggdes för att förstå hybrid identity mellan on-prem Active Directory och Microsoft Entra ID i praktiken.
Fokus låg på:
- Hybrid identity
- Entra Connect
- Sync mellan AD och Entra
- Gruppbaserad RBAC
- Identity lifecycle
Arkitektur
On-Prem AD → Entra Connect → Microsoft Entra ID
Steg 1 — Installera Windows Server 2022
Först skapades en ny VM i Oracle VirtualBox.
Miljö:
- Oracle VirtualBox
- Windows Server 2022
Efter installation:
- Statisk IP konfigurerades
- Servern bytte namn
- Servern startades om
Steg 2 — Installera Active Directory
Sedan installerades Active Directory Domain Services.
- Server Manager
- Add Roles and Features
- Active Directory Domain Services
Servern promotades sedan till Domain Controller.
Domän:
lab.local
Efter detta startades servern om.
Steg 3 — Skapa OU-struktur
I Active Directory Users and Computers skapades OU-struktur för att separera users och grupper.
OU:
Tanken:
- OU används för struktur
- Grupper används för access
Steg 4 — Skapa users
Users skapades i respektive OU.
HR:
IT:
Users placerades sedan i rätt OU:
Steg 5 — Skapa globala säkerhetsgrupper
I OU=Groups skapades globala säkerhetsgrupper.
Grupper:
- GG_HR_Read
- GG_IT_Admin
- GG_App_Reader
Inställningar:
- Group scope → Global
- Group type → Security
Steg 6 — Lägg users i grupper
Users placerades i grupper för att simulera RBAC.
Exempel:
Anna HR → GG_HR_Read
Johan IT → GG_IT_Admin
Fokus:
User → Group → Access
Steg 7 — Installera Entra Connect
För att bygga hybrid identity installerades Microsoft Entra Connect.
- Ladda ner Entra Connect
- Installera programmet
- Logga in med Entra Global Admin
- Koppla lokal AD-domän
Password Hash Sync aktiverades under setup.
Steg 8 — Testa sync
Efter installation verifierades sync i Microsoft Entra Admin Center.
Verifierade:
- Users syns i Entra
- Grupper syns i Entra
- Gruppmedlemskap syns korrekt
Steg 9 — Köra manuell sync
För att testa sync snabbare användes PowerShell.
Importera modul:
Import-Module ADSync
Köra Delta sync:
Start-ADSyncSyncCycle -PolicyType Delta
Köra Initial sync:
Start-ADSyncSyncCycle -PolicyType Initial
Steg 10 — Felsökning
Under setup uppstod problem med sync.
Fel:
- Token/certifikat-autentisering fungerade inte
Orsak:
Lärdom:
Auth- och tokenflöden är väldigt känsliga för korrekt systemtid.
Steg 11 — Testa förändringar
Efter att sync fungerade testades olika förändringar:
- Lägga users i grupper
- Ta bort users ur grupper
- Ändra users
- Disable users
Efter varje förändring:
- Kördes Delta sync
- Verifierades resultatet i Entra
Steg 12 — RBAC-tänk
Fokus låg på gruppbaserad access istället för direkt access till users.
Exempel:
GG_App_Reader → Reader access
Tanken:
User → Group → Access
Detta gör RBAC mycket enklare att hantera i större miljöer.
Resultat
Labbet kunde nu:
- Synca identiteter mellan on-prem och Entra
- Synca grupper och medlemskap
- Hantera hybrid identity
- Testa gruppbaserad RBAC
- Visa identity lifecycle i praktiken
Lärdomar
- AD fungerar som source of truth
- Entra speglar identiteter från on-prem
- Entra Connect styrs av sync rules
- RBAC bör gå via grupper
- Delta vs Initial sync påverkar hur snabbt förändringar slår igenom
- Auth- och tokenflöden är beroende av korrekt systemtid