Kazalo:
- Nastavitev in povezovanje z On-Prem AD
- Integracija imenika
- Microsoft Identity Manager
- Potrošniška IDM
- Zagotavljanje uporabnikov
- Enkratna prijava
- Poročanje
- Cenitev
Video: Введение в Active Directory Microsoft Azure (Oktober 2024)
Microsoft je bil desetletja vodilni v več industrijskih kategorijah, ena od teh, v kateri je bilo podjetje učinkovito, je lokalni omrežni imenik. Windows Server Active Directory (AD) uporabljajo korporacije in vlade po vsem svetu in je zlati standard za upravljanje identitete podjetja (IDM) v podjetju. Cene Microsost Azure AD so poleg naprednih funkcij in tesne integracije z najbolj priljubljenim lokalnim imenikom na svetu zelo konkurenčne na področju upravljanja identitete kot storitve (IDaaS), saj ponujajo brezplačno stopnjo, osnovno stopnjo za 1 dolar na uporabnika na mesec in dve premijski stopnji, ki imata 6 USD oziroma 9 USD na mesec. Napredne funkcije, tesna integracija z vodilno lokalno platformo IDM in nova prijazna cena združujejo Azure AD na izbiro urednikov v prostoru IDaaS poleg Okta Identity Management.
Nastavitev in povezovanje z On-Prem AD
Iz očitnih razlogov najpogostejša uporaba za Azure AD ostajajo podjetja, ki želijo integrirati obstoječo lokalno domeno AD z aplikacijami, ki delujejo v oblaku, in celo uporabniki, ki se povezujejo prek interneta. Za zagotovitev črevesja, ki bo premostilo lokalno AD z Azure AD, je najbolj priljubljena Microsoftova rešitev Azure AD Connect, sinhronizacijsko orodje, ki je prosto dostopno pri Microsoftu. Številni tekmeci ponujajo podobna orodja za sinhronizacijo, s katerimi svoje izdelke IDaaS povežete z lokalnimi AD domenami, vendar je Azure AD Connect dober primer, kako to storiti pravilno. Največja razlika med Azure AD Connect in drugimi sinhronizacijskimi orodji je v tem, da Azure AD Connect ponuja varno sinhronizacijo z geslom, ki omogoča, da se postopek avtentifikacije zgodi znotraj Azure AD, namesto da se uporabniške poverilnice potrdijo s korporativnim AD. Največja razlika med Azure AD Connect in drugimi sinhronizacijskimi orodji je v tem, da Azure AD Connect sinhronizira gesla privzeto, postopek preverjanja pristnosti pa se zgodi znotraj Azure AD, namesto da se uporabniške poverilnice potrdijo s korporativnim AD. Mnoge organizacije imajo morda težave s sinhronizacijo šifranj gesla v oblak, zaradi česar je sinhronizacija gesla Azure AD Connect možna težava.
Azure AD podpira tudi uporabo storitev federacije Active Directory Federation (ADFS). ADFS, ki se tradicionalno uporablja za zagotavljanje pristnosti zunanjih aplikacij ali storitev, zahteva, da se zahteve za preverjanje pristnosti izvedejo z vašim lokalnim AD, vendar ima svoj nabor zahtev in korake konfiguracije, zaradi katerih je veliko bolj zapleten kot konkurenčni izdelki s podobno funkcijo preverjanja pristnosti. Idealna možnost je nekaj, kar je v skladu s PingFederate Ping Identity, ki zagotavlja federacijo identitete z minimalno konfiguracijo, vendar vam bo omogočilo natančno prilagoditev vseh vidikov postopka federacije.
Najnovejša možnost integracije AD-ja z Azure AD še vedno uporablja agent Azure AD Connect, vendar ponuja združeno možnost. Eden pogostih očitkov glede Azure AD med večjimi podjetji je pomanjkanje sredine med sinhronizacijo z uporabo Azure AD Connect in federacijo z uporabo ADFS. Preverjanje pristnosti uporablja Azure AD Connect, da ponudi preprosto pot do združenega dostopa do vaših identitet v AD-ju. Teoretično preverjanje pristnosti ponuja najboljše iz obeh svetov, ohranja identiteto in avtentikacijo na kraju samem, vendar odpravlja potrebo po ADFS. Dodatna prednost overjanja prek ADFS je, da povezljivost temelji na agentu, kar odpravlja potrebo po pravilih požarnega zidu ali umestitvi v DMZ. Ta funkcionalnost je bolj skladna z veliko konkurenco Azure AD, vključno z Okta, OneLogin, Bitium in Centrify. Preverjanje pristnosti je trenutno v predogledu, splošna razpoložljivost pa se pričakuje v naslednjih mesecih.
Integracija imenika
Zdi se varno pričakovati, da se bo rešitev Microsoft IDaaS tesno vključila v AD, Azure AD pa ne bo razočaral. Sinhronizacijo atributov je mogoče konfigurirati z Azure AD Connect in jih pozneje preslikati v posameznih konfiguracijah programske opreme Software-as-a-Service (SaaS). Azure AD podpira tudi, da se spremembe gesla zapišejo nazaj v AD, ko se zgodijo v programu Microsoft Office 365 ali uporabniškem portalu Azure AD. Ta funkcija je na voljo pri tekmecih, kot sta OneLogin in Editor's Choice zmagovalec Okta Identity Management, vendar bo morda zahtevala dodatno programsko opremo ali spremembe privzete politike sinhronizacije.
Druga pomembna integracijska točka za Azure AD je za stranke, ki uporabljajo Microsoft Exchange za svoje poštne storitve, zlasti za tiste, ki uporabljajo Exchange ali Exchange Online v povezavi s Officeom 365 v hibridnem oblačnem scenariju, kjer je celotna ali delna e-poštna storitev gosti v -predstavlja podatkovni center, medtem ko se ostali viri gostijo v oblaku. Ob namestitvi bo Azure AD Connect prepoznal dodatne atribute sheme, ki označujejo namestitev Exchange, in jih bo samodejno sinhroniziral. Azure AD ima tudi možnost sinhronizacije skupin Office 365 nazaj v AD kot distribucijske skupine.
Windows 10 prinaša tudi nove zmogljivosti za integracijo z Azure AD. Windows 10 podpira pridružitev naprav Azure AD kot alternativo korporacijskemu AD-ju. Vendar bodite previdni, saj se funkcionalnost bistveno razlikuje med priključitvijo naprave na Azure AD v primerjavi s priključitvijo naprave na tradicionalni lokalni AD. To je zato, ker ko je naprava povezana z Azure AD, napravo Windows 10 upravljate z orodji Azure AD in Microsoftovim upravljanjem mobilnih naprav (MDM), ne pa s skupinsko politiko. Velika korist za uporabnike Azure AD je, da je avtentikacija na uporabniškem portalu brezhibna, saj je uporabnik že overjen na napravo, aplikacije Windows 10, kot sta Pošta in Koledar, pa bodo prepoznale, če je na voljo račun Office 365 in bodo samodejno konfigurirane. Postopek prijave je zelo podoben privzetemu slogu prijave v sistemu Windows 8, kjer zahteva podrobnosti vašega Microsoftovega računa.
Microsoft Identity Manager
Redko se veliko podjetje za identiteto zanese na en vir. Ne glede na to, ali gre za kombinacijo Active Directory in človeških virov (HR), več gozdov Active Directory ali povezave s poslovnimi partnerji, je v večjih podjetjih dodatna zapletenost neizogibna. Microsoftova rešitev za integracijo več ponudnikov identitete je Microsoft Identity Manager. Kljub različnemu programskemu paketu so licence za dostop do strank vključene v stopnje Azure AD Premium. Sodelovanje s podjetjem Azure AD B2B (Azure AD B2B) ponuja način, kako poslovnim partnerjem ponuditi dostop do korporativnih aplikacij. Čeprav je Azure AD B2B trenutno v predogledu, olajša sodelovanje s poslovnimi partnerji in jim ponuja dostop do aplikacij, ne da bi za to potrebovali ustvarjanje uporabniških računov v Active Directory ali zaupanju Active Directory.
Resnična podpora za enotno prijavo (SSO) z uporabo poverilnic imenika je zdaj podprta s pomočjo Azure AD pri uporabi sinhronizacije z geslom ali preverjanja pristnosti. Prej je to funkcijo ponujal samo ADFS. Uporabniki se lahko zdaj potrdijo na Azure AD in svoje aplikacije SaaS, ne da bi zagotovili poverilnice, če izpolnjujejo tehnične zahteve (in sicer računalnik Windows, ki se pridružuje domeni, podprta različica brskalnika itd.) SSO za korporativne namizne uporabnike je trenutno tudi v predogledu.
Potrošniška IDM
Azure AD B2C je Microsoftov potrošniški IDM. Uporabnikom omogoča avtentikacijo vaših storitev ali aplikacij z uporabo obstoječih poverilnic, ki so jih že vzpostavili z drugimi oblačnimi storitvami, kot sta Google ali Facebook. Azure AD B2C podpira tako OAuth 2.0 kot Open ID Connect, Microsoft pa ponuja različne možnosti za vključitev storitve v vašo aplikacijo ali storitev.
Cene ponudbe B2C so ločene od standardnih stopenj Azure AD in so razčlenjene po številu shranjenih uporabnikov na preverjanje pristnosti in številu avtentikacij. Uporabniki, ki jih shranite, so brezplačni do 50.000 uporabnikov in začnejo pri 0, 0011 dolarjih na avtentikacijo do 1 milijona. Prvih 50.000 avtentikacij na mesec je prav tako brezplačnih in se začnejo pri 0, 0028 dolarjih na avtentikacijo do 1 milijona. Večfaktorska avtentikacija je na voljo tudi za Azure AD B2C in ima standardnih 0, 03 USD na avtentikacijo.
Zagotavljanje uporabnikov
Azure AD ponuja podobno funkcijo za večino prodajalcev IDaaS, ko gre za pridobivanje uporabnikov in skupin za dodeljevanje in zagotavljanje dostopa do aplikacij SaaS. Tako uporabniki kot varnostne skupine se lahko sinhronizirajo s pomočjo Azure AD Connect ali pa se uporabniki in skupine ročno dodajo v Azure AD. Na žalost ni mogoče skriti uporabnikov ali skupin v Azure AD, zato bodo kupci v velikih podjetjih morali pogosto uporabljati funkcije iskanja, da bi lahko prišli do določenih uporabnikov ali skupin. Azure AD vam omogoča ustvarjanje dinamičnih skupin na podlagi poizvedb na podlagi atributov s pomočjo funkcije (trenutno v predogledu), imenovane napredna pravila.
Azure AD podpira samodejno zagotavljanje uporabnikov v aplikacijah SaaS in ima izrazito prednost, da izjemno dobro deluje z uvajanjem Office 365. Azure AD po možnosti poenostavi ta postopek kot v primeru Google Apps. S preprostim postopkom v štirih korakih vas Azure AD zahteva za prijavo v Google Apps in zahteva vaše dovoljenje za konfiguracijo Google Apps za samodejno zagotavljanje uporabnikov.
Enkratna prijava
Microsoftov portal za končne uporabnike je podoben večini konkurence, saj ponuja mrežo ikon aplikacij, ki uporabnike usmerjajo v aplikacije SSO. Če skrbniki izberejo, je uporabniški portal Azure AD lahko konfiguriran tako, da dovoli samopostrežna dejanja, kot so ponastavitev gesla, zahteve za aplikacije ali zahteve in odobritve članstva v skupini. Naročniki Office 365 imajo še dodatno prednost, ker lahko dodajo aplikacije SSO v meni aplikacije Office 365 in tako nudijo udoben dostop do kritičnih poslovnih aplikacij iz Outlooka ali drugih ponudb Office 365.
Azure AD podpira varnostne pravilnike, povezane z posameznimi aplikacijami, zato vam omogočajo večfaktorsko preverjanje pristnosti (MFA). Običajno MFA vključuje varnostno napravo ali žeton neke vrste (na primer pametna kartica) ali celo aplikacijo za pametne telefone, ki mora biti prisoten pred prijavo. Azure AD lahko podpira MFA za posamezne uporabnike, skupine ali na podlagi omrežne lokacije. Okta Identity Management na enak način obravnava njihove varnostne politike. Na splošno bi raje ločili varnostne politike, da bi lahko isti pravilnik uporabili za več aplikacij, vendar imate vsaj možnost nastavitve več pravilnikov.
Ena edinstvena funkcija, ki jo Microsoft ponuja v Azure AD Premium, vam lahko pomaga, da začne vaše podjetje prepoznati aplikacije SaaS, ki jih vaša organizacija že uporablja. Cloud App Discovery uporablja programske zastopnike, da začnejo analizirati vedenje uporabnikov v zvezi s aplikacijami SaaS in vam tako pomagajo pri prijavi v aplikacije, ki se najpogosteje uporabljajo v vaši organizaciji, in jih začnete upravljati na ravni podjetij.
Tradicionalni scenarij rešitev IDaaS vključuje preverjanje pristnosti uporabnikov v oblaku z uporabo poverilnic, ki izvirajo iz lokalnega imenika. Azure AD te meje potisne tako, da omogoči avtentikacijo lokalnim aplikacijam z aplikacijskim proxyjem, ki uporablja agent, ki uporabnikom omogoča varno povezovanje z aplikacijami prek Azure. Zaradi arhitekture na osnovi agentov, ki jo uporablja Application Proxy, ni potrebe po odprtih vratih požarnega zidu za interne korporativne aplikacije. Končno lahko ponudbe domenskih storitev Azure AD ponudite v imeniku, ki ga vsebuje Azure, in tako ponuja tradicionalno domensko okolje za overjanje uporabnikov na virtualne stroje, ki jih gostujejo v Azure. Aplikacijski proxy Azure AD je lahko konfiguriran tudi tako, da uporabi pravilnike pogojnega dostopa za uveljavitev dodatnih pravil za preverjanje pristnosti (na primer MFA), ko so izpolnjeni določeni pogoji.
Azure AD vsak dan prenese več kot 1, 3 milijarde avtentikacij. Ta čista lestvica omogoča Microsoftu, da ponudi vsaj eno storitev, s katero lahko trenutno konkurira malo rešitev IDM, in to je Azure AD Identity Protection. Ta funkcija uporablja celotno širino Microsoftovih storitev v oblaku (Outlook.com, Xbox Live, Office 365 in Azure), pa tudi strojno učenje (ML) za zagotavljanje primerljive analize tveganja za identitete, shranjene v Azure AD. S temi podatki Microsoft zazna vzorce in nepravilnosti, s katerimi lahko izračuna oceno tveganja za vsakega uporabnika in vsakega vpisa. Microsoft tudi aktivno spremlja kršitve varnosti, ki vključujejo poverilnice, in tako napreduje, da lahko te kršitve oceni na podlagi zaupnih dokumentov v vaši organizaciji. Ko je ta ocena tveganja izračunana, jo lahko skrbniki uporabijo v pravilnikih za preverjanje pristnosti, ki jim nato omogočijo dodatne zahteve za prijavo, kot sta MFA ali ponastavitev gesla.
Poročanje
Nabor poročil, ki jih Microsoft ponuja z Azure AD, je odvisen od vaše ravni storitev. Tudi prosti in osnovni nivoji nudijo osnovna varnostna poročila, to so poročila v pločevinkah, ki prikazujejo osnovne dnevnike dejavnosti in uporabe. Naročniki Premium dobijo dostop do naprednega nabora poročil, ki omogočajo Azurejevo strojno učenje, da dobijo vpogled v nenavadno vedenje, kot so uspešni poskusi preverjanja pristnosti po večkratnih napakah, tisti iz več zemljepisov ali tisti iz sumljivih naslovov IP.
Azure AD ne ponuja celotnega poročevalskega nabora, toda konzervirana poročila, ki so na voljo Premium strankam, so veliko bolj izpopolnjena od tistega, kar ponujajo konkurenti. Na koncu mi je bil zelo všeč nivo vpogleda, ki ga dobite pri poročilih v pločevinkah v Azure AD Premium, celo glede na pomanjkanje načrtov ali poročil po meri.
Cenitev
Cene Azure AD se začnejo z brezplačno stopnjo, ki podpira do 500.000 predmetov imenikov (v tem primeru to pomeni uporabnike in skupine) in do 10 aplikacij za enotno prijavo (SSO) na uporabnika. Brezplačna različica Azure AD je samodejno vključena v naročnine na Office 365, v tem primeru omejitev predmeta ne velja. Z maloprodajno ceno 1 USD na uporabnika na mesec je osnovna raven Azure AD izjemno konkurenčna. Osnovna storitev doda zmogljivosti, kot so blagovno znamko za uporabniški portal in skupinski dostop do SSO ter zagotavljanje, tako da lahko samodejno ustvarite uporabniške račune v aplikacijah SaaS, potrebujete osnovno stopnjo.
Osnovna raven obdrži omejitev 10 aplikacij na uporabnika, doda pa tudi možnost podpiranja lokalnih aplikacij z aplikacijskim proxyjem. Stopnje Premium P1 in P2 v Azure AD odstranijo omejitve glede na količino aplikacij SSO, ki jih lahko imajo uporabniki, in dodajo zmožnosti samopostrežnih storitev in MFA za 6 USD in 9 USD na uporabnika na mesec. Obe stopnji Azure AD Premium vključujeta tudi uporabniške licence za dostop do strank (CAL) za Microsoft Identity Manager (prej upravitelj identitet Forefront), ki se lahko uporabljajo za sinhronizacijo in upravljanje identitet v zbirkah podatkov, aplikacijah, drugih imenikih in drugo. Premijski nivoji na mizo prinašajo tudi licence pogojnega dostopa in Intune MDM, ki močno povečujejo varnostne zmogljivosti. Najpomembnejše prednosti premijskega nivoja P2 nad Premium P1 so zaščita identitete in privilegirano upravljanje identitete, ki sta obe uvrščeni v vodilne varnostne značilnosti v industriji.
Upoštevati je mogoče tudi možnost licenciranja storitve MFA za Azure MFA ločeno od Azure AD, kar ima dve prednosti: Prvič, MFA je mogoče dodati brezplačnim ali osnovnim nivojem Azure AD za 1, 40 USD na uporabnika na mesec ali 10 avtentikacij (kar najbolje ustreza vaši uporabi primer), s čimer so skupni stroški osnovne storitve z MFA znašali 2, 40 USD na uporabnika. Drugič, lahko izberete MFA samo za podmnožico svoje uporabniške baze in s tem prihranite znaten znesek denarja vsak mesec.
Azure AD pokriva večino glavnih funkcij, ki bi jih morali iskati pri ponudniku IDaaS. Na mizo prinese nekaj orodij na ravni podjetja, ki bi jih pričakovali od podjetja, kot je Microsoft. Funkcije, kot sta Application Proxy in Identity Protection, so med najboljšimi v razredu ali, preprosto povedano, nimajo konkurence. Cene so zelo konkurenčne, integracija z Office 365 in drugimi Microsoftovimi izdelki in storitvami pa je trdna in se nenehno razvija. Azure AD se pridruži Okta Identity Management kot izbira urednikov v kategoriji IDaaS.