Microsoft AZURE cz. 4
24.11.17r.
Azure Active Directory to zaawansowane zarządzanie tożsamościami z funkcjami takimi jak wieloskładnikowa autentykacja, samoobsługa i federacja między organizacjami.
Usługa
Azure Active Directory jest rozwiązaniem do zarządzania tożsamościami i dostępem do zasobów chmurowych. Główne założenia:
• funkcje zarządzania użytkownikami i grupami,
• zabezpieczenie dostępu do aplikacji lokalnych i aplikacji w chmurze (Azure Multi-Factor Authentication),
• prosty dostęp użytkowników do dowolnej aplikacji w chmurze (z poziomu systemów Microsoft, Mac, Android, iOS),
• samoobsługa dostępna dla wszystkich pracowników (resetowanie haseł, tworzenie i zarządzanie grupami),
• skalowalność i Service Level Agreement gwarantujący dostępność na poziomie 99,9%,
• konfiguracja usług federacyjnych pomiędzy organizacjami,
Na dzień dzisiejszy mamy dostępne pięć planów usługi AAD: bezpłatny, podstawowy, premium p1 i p2 oraz dedykowany dla aplikacji Office365.
W wielu kwestiach AAD i AD DS są bardzo podobne, ale jest również między nimi sporo różnic.
AD DS
• jest usługą katalogową z hierarchiczną strukturą opartą o protokół X.500,
• wykorzystuje rolę
DNS w celu lokalizacji zasobów, chociażby kontrolerów domeny,
• może być odpytywany i zarządzany poprzez LDAP,
• w kwestii uwierzytelnienia wykorzystuje protokół Kerberos,
• w kwestii zarządzania pozwala na tworzenie Jednostek Organizacyjnych i GPO (Group Policy Objects),
• pozwala na zarządzanie obiektami komputerów, które odpowiadają komputerów przyłączonym do domeny,
• pozwala na tworzenie relacji zaufania pomiędzy domenami.
AAD
• jest przede wszystkim rozwiązaniem do zarządzania tożsamością i jest przeznaczona dla aplikacji internetowych przy użyciu komunikacji HTTP (port 80) i HTTPS (port 443),
• użytkownicy i grupy Azure AD są tworzone w płaskiej strukturze i nie ma jednostek organizacyjnych ani obiektów GPO,
• nie można uzyskać zapytania o AAD za pośrednictwem LDAP, zamiast tego usługa AAD używa interfejsu API REST przez HTTP i HTTPS,
• w kwestii uwierzytelnienia używa protokołów HTTP i HTTPS, takich jak SAML, WS-Federation i OpenID Connect (i OAuth do autoryzacji),
• obejmuje usługi federacyjne i wiele usług trzecich (np. Facebook) może być sfederowanych z usługami AAD (czyt. możemy wykorzystać konta użytkowników Facebook do uwierzytelniania się w aplikacjach platformy Azure)
Kupując pierwszą subskrypcję Azure, otrzymujemy pierwszą usługę katalogową AAD, której nazwa tworzona jest wg wzoru <tenant>.onmicrosoft.com i jest nieusuwalna. Oczywiście możemy kupić/zarejestrować własną nazwę domeny. W tym celu należy otworzyć konsolę do zarządzania domenami.
Wybrać opcję dodania nowej domeny. Otrzymamy informacje o wpisie TXT, który powinniśmy wprowadzić w strefie DNS naszego serwera DNS lub u dostawcy, u którego mamy wykupioną rejestrowaną domenę w celu potwierdzenia, że domena jest naszą własnością. Po wprowadzeniu wpisu, usługa odpyta ów wpis w celu weryfikacji i jeśli będzie prawidłowy, nasza domena zostanie zatwierdzona. Dzięki temu będziemy mogli np. ustawić ją jako domyślną dla kont użytkowników AAD.
dziekuję i zapraszam do kolejnej lektury.
----------------------------------
Autor:
Patryk Łączny - MCT, MCSE: Cloud Platform and Infrastructure, Private Cloud