Microsoft AZURE cz. 4

24.11.17r.


Azure Active Directory to zaawansowane zarządzanie tożsamościami z funkcjami takimi jak wieloskładnikowa autentykacja, samoobsługa i federacja między organizacjami.

Usługa Azure Active Directory jest rozwiązaniem do zarządzania tożsamościami i dostępem do zasobów chmurowych. Główne założenia:
• funkcje zarządzania użytkownikami i grupami,
• zabezpieczenie dostępu do aplikacji lokalnych i aplikacji w chmurze (Azure Multi-Factor Authentication),
• prosty dostęp użytkowników do dowolnej aplikacji w chmurze (z poziomu systemów Microsoft, Mac, Android, iOS),
• samoobsługa dostępna dla wszystkich pracowników (resetowanie haseł, tworzenie i zarządzanie grupami),
• skalowalność i Service Level Agreement gwarantujący dostępność na poziomie 99,9%,
• konfiguracja usług federacyjnych pomiędzy organizacjami,
• rozszerzenie lokalnej usługi Active Directory poprzez stworzenie środowiska hybrydowego
 
Na dzień dzisiejszy mamy dostępne pięć planów usługi AAD: bezpłatny, podstawowy, premium p1 i p2 oraz dedykowany dla aplikacji Office365. 
Porównanie ich funkcjonalności można znaleźć na stronie Compare Azure Active Directory service.
 
W wielu kwestiach AAD i AD DS są bardzo podobne, ale jest również między nimi sporo różnic.
 
AD DS
• jest usługą katalogową z hierarchiczną strukturą opartą o protokół X.500,
• wykorzystuje rolę DNS w celu lokalizacji zasobów, chociażby kontrolerów domeny,
• może być odpytywany i zarządzany poprzez LDAP,
• w kwestii uwierzytelnienia wykorzystuje protokół Kerberos,
• w kwestii zarządzania pozwala na tworzenie Jednostek Organizacyjnych i GPO (Group Policy Objects),
• pozwala na zarządzanie obiektami komputerów, które odpowiadają komputerów przyłączonym do domeny,
• pozwala na tworzenie relacji zaufania pomiędzy domenami.
 
AAD
• jest przede wszystkim rozwiązaniem do zarządzania tożsamością i jest przeznaczona dla aplikacji internetowych przy użyciu komunikacji HTTP (port 80) i HTTPS (port 443),
• użytkownicy i grupy Azure AD są tworzone w płaskiej strukturze i nie ma jednostek organizacyjnych ani obiektów GPO,
• nie można uzyskać zapytania o AAD za pośrednictwem LDAP, zamiast tego usługa AAD używa interfejsu API REST przez HTTP i HTTPS,
• w kwestii uwierzytelnienia używa protokołów HTTP i HTTPS, takich jak SAML, WS-Federation i OpenID Connect (i OAuth do autoryzacji),
• obejmuje usługi federacyjne i wiele usług trzecich (np. Facebook) może być sfederowanych z usługami AAD (czyt. możemy wykorzystać konta użytkowników Facebook do uwierzytelniania się w aplikacjach platformy Azure)
 
Kupując pierwszą subskrypcję Azure, otrzymujemy pierwszą usługę katalogową AAD, której nazwa tworzona jest wg wzoru <tenant>.onmicrosoft.com i jest nieusuwalna. Oczywiście możemy kupić/zarejestrować własną nazwę domeny. W tym celu należy otworzyć konsolę do zarządzania domenami.
 

Wybrać opcję dodania nowej domeny. Otrzymamy informacje o wpisie TXT, który powinniśmy wprowadzić w strefie DNS naszego serwera DNS lub u dostawcy, u którego mamy wykupioną rejestrowaną domenę w celu potwierdzenia, że domena jest naszą własnością. Po wprowadzeniu wpisu, usługa odpyta ów wpis w celu weryfikacji i jeśli będzie prawidłowy, nasza domena zostanie zatwierdzona. Dzięki temu będziemy mogli np. ustawić ją jako domyślną dla kont użytkowników AAD.
 

dziekuję i zapraszam do kolejnej lektury.


----------------------------------
 Autor:
 Patryk Łączny - MCT, MCSE: Cloud Platform and Infrastructure, Private Cloud

« powrót



Podziel się:

     
Copyright © 2003-2024 SOFTRONIC. Wszelkie prawa zastrzeżone
NASZE BIURA
Warszawa
Aleja Jana Pawła II 25 00-854 Warszawa tel.: +48 226280121 tel.: +48 228856296
Poznań
ul. J.H. Dąbrowskiego 79A 60-529 Poznań tel.: +48 618658840 tel.: +48 618658841