Azure Active Directory zapewnia kontrolę dostępu oraz funkcje zarządzania tożsamościami dla usług w Microsoft Azure. Wiele organizacji zaczyna swoją przygodę z Microsoft 365 lub z Microsoft Azure od usług katalogowych Active Directory Domain Services. W takiej sytuacji, aby uniknąć ponownego tworzenia kont w chmurze, do synchronizacji tożsamości między AD DS a Azure AD najprościej wykorzystać usługę AD Connect.
Udostępnij!
Jest to narzędzie, które umożliwia spełnienie wymagań związanych z tożsamościami hybrydowymi i oferuje następujące funkcje:
- synchronizację skrótów haseł — metodę logowania, która umożliwia synchronizowanie skrótów haseł lokalnych użytkowników usługi AD w usłudze Azure AD.
- uwierzytelnianie przekazywane — metodę logowania pozwalającą użytkownikom na używanie tego samego hasła w infrastrukturze lokalnej i w chmurze, bez wymogu posiadania dodatkowej infrastruktury w środowisku federacyjnym.
- integrację federacyjną — usługi federacyjne to opcjonalny składnik programu Azure AD Connect, za pomocą którego można skonfigurować środowisko hybrydowe przy użyciu lokalnej infrastruktury usług AD FS. Składnik ten udostępnia również takie funkcje zarządzania usługami AD FS, jak odnawianie certyfikatów i dodatkowe wdrożenia serwera usług AD FS.
- synchronizację – odpowiada za tworzenie użytkowników, grup i innych obiektów oraz za zapewnienie zgodności informacji o tożsamości lokalnych użytkowników i grup z informacjami w chmurze. Dotyczy również skrótów haseł.
- monitorowanie kondycji — Azure AD Connect Health może zapewnić niezawodne monitorowanie, a do wyświetlenia tego działania centralną lokalizację w Azure Portal.
Dlaczego warto korzystać z programu Azure AD Connect?
Zintegrowanie katalogów lokalnych z usługą Azure AD zwiększa produktywność użytkowników, zapewniając wspólną tożsamość na potrzeby dostępu do zasobów, zarówno lokalnych, jak i zamieszczonych w chmurze. Jest przy tym całkowicie bezpłatne! Użytkownicy i organizacje zyskują następujące korzyści:
- jedna tożsamość w celu uzyskiwania dostępu do aplikacji lokalnych oraz usług w chmurze, takich jak Microsoft 365.
- jedno narzędzie zapewniające łatwe w użyciu środowisko wdrażania na potrzeby synchronizacji i logowania.
- najnowsze możliwości we wszystkich scenariuszach; Azure AD Connect zastępuje starsze wersje narzędzi integracji tożsamości, takie jak DirSync i Azure AD Sync.
Wybór odpowiedniej metody uwierzytelniania to pierwszy problem, z którym spotykają się organizacje planujące przejście do chmury. Stanowi krytyczny czynnik, kontroluje bowiem dostęp do wszystkich danych i zasobów w chmurze oraz jest podstawą wszystkich innych zaawansowanych funkcji zabezpieczeń i środowiska użytkownika w usłudze Azure AD.
Metody uwierzytelniania
Aby wybrać właściwą metodę uwierzytelniania, należy wziąć pod uwagę czas, istniejącą infrastrukturę, złożoność oraz koszt implementacji. W każdej organizacji te czynniki są różne i mogą zmieniać się w czasie.
Usługa Azure AD obsługuje następujące metody uwierzytelniania dla hybrydowych rozwiązań do obsługi tożsamości.
Uwierzytelnianie w chmurze
Po wybraniu tej metody uwierzytelniania, usługa Azure AD obsługuje proces logowania użytkowników. W połączeniu z bezproblemowym logowaniem jednokrotnym, użytkownicy mogą logować się do aplikacji w chmurze bez konieczności ponownego wprowadzania poświadczeń.
Przy użyciu uwierzytelniania w chmurze możesz wybrać jedną z dwóch opcji:
Synchronizacja skrótów haseł w usłudze Azure AD – najprostszy sposób włączenia uwierzytelniania dla obiektów katalogu lokalnego w usłudze Azure AD. Użytkownicy mogą używać tej samej nazwy użytkownika i hasła, z których korzystają lokalnie bez konieczności wdrażania dodatkowej infrastruktury. Niektóre z funkcji Premium, takie jak Ochrona tożsamości i Azure AD Domain Services, niezależnie od wybranej metody uwierzytelniania, wymagają synchronizacji skrótów haseł.
Uwierzytelnianie przekazywane przez usługę Azure AD – zapewnia prostą weryfikację hasła dla usług uwierzytelniania usługi Azure AD przy użyciu agenta oprogramowania działającego na co najmniej jednym serwerze lokalnym. Serwery weryfikują użytkowników bezpośrednio przy użyciu lokalnych Active Directory, co gwarantuje, że sprawdzanie poprawności hasła nie odbywa się w chmurze.
W przypadku firm, w których wymogiem bezpieczeństwa jest natychmiastowe wymuszenie lokalnych stanów konta użytkownika, zasady haseł i godziny logowania mogą korzystać z tej metody. Aby uzyskać więcej informacji o rzeczywistym procesie uwierzytelniania przekazywanego, zobacz Logowanie użytkownika przy użyciu uwierzytelniania przekazywanego przez usługę Azure AD.
Uwierzytelnianie federacyjne
W przypadku wybrania tej metody, aby sprawdzić poprawność hasła użytkownika, usługa Azure AD przełączy proces uwierzytelniania do oddzielnego zaufanego systemu, takiego jak Active Directory Federation Services lokalnego (AD FS).
System uwierzytelniania może zapewnić dodatkowe zaawansowane wymagania – na przykład uwierzytelnianie oparte na kartach inteligentnych lub uwierzytelnianie wieloskładnikowe innej firmy.
AD Connect pozwala synchronizować tożsamości z jednego lub wielu lasów AD DS i ma przy tym bardzo elastyczne możliwości konfiguracji.
Na koniec warto wspomnieć także o usłudze Azure AD Connect Health, która pomaga monitorować i uzyskiwać informacje o lokalnej infrastrukturze do obsługi tożsamości, dzięki czemu gwarantuje niezawodność środowiska. Jej użycie wymaga jedynie zainstalowania agenta na każdym z lokalnych serwerów tożsamości.
Mam nadzieję, że te kilka informacji ułatwi Państwu rozpoczęcie pracy z tożsamościami hybrydowymi w Waszych organizacjach.
