Zawartość
- Różne środowiska Azure AD i Server AD
- Wspólności między usługą Azure AD i Server AD
- Jak się różnią
- Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia
- Usługa Azure AD ułatwia życie wszystkim użytkownikom dzięki usłudze IDaaS
Źródło: Rvlsoft / Dreamstime.com
Na wynos:
W tym artykule omawiamy podobieństwa i różnice między Microsoft Azure i Server AD, a także, w jaki sposób Azure AD może ulepszyć możliwości lokalnej AD w tej erze chmury i jej wielu usług.
Pewnego dnia rozmawiałem z dyrektorem ds. Technologii dość dużego systemu szkół publicznych, który wyrażał swoją frustrację z powodu Microsoft Azure Active Directory. Niedawno przydzielono im zespół małych i średnich przedsiębiorstw na ten temat, aby pomóc im przeprowadzić przez wdrożenie usługi Azure AD. Po kilku rozmowach konferencyjnych reżyser porzucił współpracę z „ekspertami”, ponieważ doszedł do wniosku, że nie wiedzieli dużo więcej niż on. „Mogę czytać artykuły TechNet tak łatwo, jak mogą” - żartował.
Nie jest to tak zaskakujące, ponieważ istnieje wiele nieporozumień dotyczących integracji usługi Azure AD i lokalnej usługi AD w środowisku chmury hybrydowej. Zazwyczaj początkowe założenie jest takie, że Azure AD jest po prostu repliką wersji tradycyjnej Server AD, która po prostu znajduje się w chmurze. Dlatego jest tak wiele klisz na temat zakładania rzeczy. (Aby porównać usługi w chmurze, zobacz Czterech głównych graczy w chmurze: zalety i wady.)
Różne środowiska Azure AD i Server AD
Faktem jest, że te dwie wersje AD mają prawie tyle samo różnic, co podobieństwa. To dlatego, że każdy z nich zbudowany jest w innym środowisku.
Kiedy specjaliści IT odnoszą się do AD, odnoszą się do tradycyjnej AD, do której wszyscy przyzwyczailiśmy się przez lata, która znajduje się na płaszczyźnie fizycznej. Serwer AD zbudowany jest wokół zasad organizacji, zarządzania i zasad. Przejmujemy naszą domenę i dzielimy ją na mniejsze, łatwiejsze do zarządzania jednostki organizacyjne, w których mieszkają użytkownicy i komputery o wspólnych cechach. Być może twoje AD jest podzielone według fizycznych lokalizacji lub funkcji zadania. Zarówno użytkownicy, jak i ich komputery biorą udział w procesie autoryzacji, logując się do kontrolerów domeny za pomocą LDAP i uzyskując dostęp do zasobów fizycznych za pomocą biletów Kerberos. Aplikacje są tworzone z plików ISO, a zasady grupy blokują komputery i ustawienia dla użytkowników.
A potem jest Azure. Platforma Azure została stworzona z myślą o chmurze, co oznacza, że została zaprojektowana specjalnie do obsługi usług internetowych. Chmura polega na elastyczności, zwinności i ciągłej modyfikacji. Azure to płaska struktura pozbawiona jednostek organizacyjnych i obiektów zasad grupy, w której lokalizacja jest nieistotna. W rzeczywistości Azure to ogromny ocean przedmiotów zgromadzonych w jednym ogromnym pojemniku. To miejsce, w którym aplikacje są usługami, rozszerzeniami samych użytkowników. Aplikacje w tym środowisku są po prostu przypisywane, a nie instalowane. Podczas gdy tradycyjne AD jest znane z tego, że obsługa użytkowników jest tak zarządzana i kontrolowana, jak to możliwe, w Azure AD chodzi o to, aby doświadczenie użytkownika było jak najbardziej płynne.
Wspólności między usługą Azure AD i Server AD
Zatem usługa Azure AD nie jest przeznaczona do wersji serwerowej AD w chmurze. Został zbudowany w celu rozszerzenia go, ponieważ tradycyjna AD nigdy nie została zbudowana w celu wspierania świata internetowych usług internetowych. Zacznijmy od podobieństw między nimi.
Podobnie jak jego poprzednik, Azure AD obsługuje użytkowników i grupy. W środowisku chmury hybrydowej administratorzy AD mogą tworzyć użytkowników w lokalnej lokalnej usłudze AD i synchronizować je z platformą Azure za pomocą narzędzia pośredniczącego o nazwie Azure AD Connect, które oferuje kilka wspaniałych dodatkowych funkcji.
- Synchronizacja haseł - Ponieważ użytkownicy i grupy są synchronizowane z usługą Azure AD, użytkownicy mogą logować się zarówno lokalnie, jak i w chmurze, ponieważ hasła są synchronizowane między nimi. Ponieważ lokalny jest wyznaczony jako organ, usługa Azure AD również stosuje lokalne zasady haseł.
- Zapisywanie hasła - Użytkownicy mogą zmienić swoje hasła w usłudze Azure AD i poprosić o ich ponowne zapisanie w lokalnej wersji. To fantastyczna funkcja dla organizacji takiej jak system szkolny, w którym hasła nauczycieli i pracowników wygasają latem. Zamiast być zablokowanym i dostępem do Internetu, dopóki nie wrócą do pracy, aby zmienić hasło przy biurku, mogą to zrobić z domu w usłudze Azure AD w dowolnym momencie.
- Filtruj synchronizację - Pozwala to administratorom wybrać dokładnie, które obiekty mają być synchronizowane z chmurą, a które nie.
Jak się różnią
Podczas gdy użytkownicy i grupy mogą jednocześnie współistnieć w ramach usług Azure AD i Server AD, nie dotyczy to kont komputerów. Azure nie oferuje funkcji „przyłączenia do domeny”, do której przywykliśmy. Wynika to z faktu, że Azure dotyczy Internetu, środowiska pozbawionego tradycyjnych protokołów uwierzytelniania, takich jak LDAP i Kerberos, ale opiera się na protokołach uwierzytelniania internetowego, takich jak SAML, WS, Graph API i OAuth 2.0. Komputery są podłączone do platformy Azure. Oznacza to, że konta komputerowe mogą rezydować lokalnie lub w chmurze, ale nie jedno i drugie. (Aby dowiedzieć się o niektórych z największych problemów w zarządzaniu usługą Active Directory, zobacz Pięć najważniejszych punktów zarzadzania usługą Active Directory).
Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia
Nie możesz poprawić swoich umiejętności programistycznych, gdy nikt nie dba o jakość oprogramowania.
Nie jest to jednak tak duże, jak się wydaje, ponieważ wiele organizacji ma obecnie dwa rodzaje flot komputerowych, takie jak komputery stacjonarne i urządzenia mobilne. W tym scenariuszu urządzenia mobilne mogą znajdować się na platformie Azure, a komputery stacjonarne lokalnie. Instytucje edukacyjne K-12, które oferują uczniom indywidualną obsługę laptopów, dobrze pasują również do platformy Azure, ponieważ pod koniec każdego roku tysiące laptopów są ponownie tworzone, co czyni je idealnymi kandydatami na platformę Azure.
Jak wspomniano, usługa Azure AD nie ma funkcji zasad grupy, jednak urządzeniami Azure można zarządzać za pomocą usługi Microsoft Intune, która oferuje funkcje takie jak zarządzanie aktualizacjami i zdalne czyszczenie w przypadku naruszenia bezpieczeństwa urządzenia. Co więcej, Intune można zintegrować z Microsoft SCCM, aby zapewnić bardziej szczegółowe zarządzanie urządzeniami.
Usługa Azure AD ułatwia życie wszystkim użytkownikom dzięki usłudze IDaaS
Najważniejsze jest to, że Server AD jest przede wszystkim rozwiązaniem usługi katalogowej, podczas gdy Azure AD, która ma pewne możliwości usługi katalogowej, jest rozwiązaniem tożsamości. Zarządzanie tożsamością nie stanowiło problemu przy tworzeniu serwera AD, ale jest kluczowym elementem dla dzisiejszych organizacji.
Użytkownicy w niemal każdej organizacji korzystają dziś z wielu aplikacji w chmurze, takich jak Office 365, Saleforce.com, Dropbox itp. Gdy aplikacje w chmurze powstały po raz pierwszy, użytkownicy musieli uwierzytelniać się w każdej aplikacji, która okazała się bardzo nieefektywna i wprowadziła zabezpieczenia podatności, ponieważ w niektórych przypadkach użytkownicy musieli zarządzać wieloma hasłami, ponieważ dostawcy aplikacji w chmurze egzekwowali różne zasady dotyczące haseł.
Potem pojawiły się usługi federacyjne, które oferowały logowanie jednokrotne lub logowanie jednokrotne. Początkowo oznaczało to, że aplikacja w chmurze przekierowałaby proces uwierzytelnienia z powrotem do lokalnej usługi AD użytkownika, gdzie skonfigurowany serwer stowarzyszony uwierzytelniałby użytkownika zgodnie z lokalnymi danymi uwierzytelniającymi AD. Ułatwiło to użytkownikowi, ale wymagało dużej ilości ręcznej konfiguracji dla zespołów IT, ponieważ dla każdego dostawcy aplikacji musiała zostać ustanowiona relacja federacyjna.
A potem przyszła Tożsamość jako usługa (IDaaS), na tym właśnie polega usługa Azure AD.Azure AD obsługuje federację dla samych setek aplikacji, umożliwiając użytkownikom Azure AD płynne przechodzenie z aplikacji do aplikacji prawie tak łatwo, jak przechodzenie aplikacji na pulpicie. W pewnym sensie usługa Azure AD jest centrum federacyjnym.
Ponadto usługa Azure AD oferuje organizacjom możliwość hostowania wirtualnego kontrolera domeny w chmurze, oferując użytkownikom mobilne uwierzytelnianie, a także nadmiarowość w przypadku całkowitej awarii lokalnej. Tak, Azure AD i Server AD nie replikują się nawzajem, lecz je uzupełniają, oferując użytkownikom najlepsze z obu światów.