Azure混合标识(混合认证)
官方文档
https://docs.microsoft.com/zh-cn/azure/active-directory/hybrid/
Azure Active Directory (Azure AD)是一个综合性的标识即服务(IDaas)解决方案,由数百万组织用来跨标识、访问管理和安全的各个方面。Azure AD拥有超过10亿用户身份,并可帮助用户登录和安全访问两者:(Azure AD Connect是本地安装的代理服务器目的是Azure AD连接到本地服务器)
- 外部资源,例如Microsoft Office 365、Azure门户和上千个软件即服务(SaaS)应用程序。
- 内部资源,如组织企业网络和intranet上的应用程序,以及由该组织开发的任何云应用程序。
如果组织使用的是"纯云”,则可以使用Azure AD,如果它们有本地工作负荷,则可以使用"混合"部署。Azure AD的混合部署可以是组织的策略的一部分,以将其I资产迁移到云,或继续集成现有的本地基础结构和新的云服务。
从历史上看,"混合"组织已Azure AD作为其现有本地基础结构的扩展。在这些部署中,本地标识管理管理、Windows Server Active Directory或其他内部目录系统,是控制点,用户和组都从这些系统同步到云目录,如Aure AD。一旦这些标识位于云中,就可以将它们提供给Office 365、Azure以及其他应用程序。
以Azure AD做为总核心
在混合环境中,Microsoft的策略是实现部署,其中云是标识的控制平面,本地目录和其他标识系统(如Active Directory和其他本地应用程序)是设置具有访问权限的用户的目标。此策略将继续确保依赖于它们的应用程序和工作负荷中的权限、标识和访问权限。在此结束状态下,组织将能够完全从云中推动最终用户的工作效率。
Azure混合标识解决方案的身份验证方法
- Azure AD密码哈希同步(PHS);这是在Azure AD中为本地目录对象启用身份验证的最简单方法。用户可以使用其在本地使用的同一用户名和密码,不必部署任何其他基础结构。某些Azure AD高级功能(如标识保护和Azure AD域服务)需要密码哈希同步,无论选择哪种身份验证方法均是如此。
- Azure AD直通身份验证(PTA):通过使用在一个或多个本地服务器上运行的软件代理,为Azure AD身份验证服务提供简单密码验证。服务器直接使用本地Active Directory验证用户,这将确保云中不发生密码验证。
- 联合身份验证(Federation):选择此身份验证方法时,Azure AD将身份验证过程移交给单独的受信任身份验证系统(例如
本地Active Directory联合身份验证服务(AD FS))来验证用户的密码。
Azure AD密码哈希同步(PHS)
把本地密码复制到Azure AD上,访问 Azure AD与云端比对就可以访问Azure AD其他服务
本地每30分钟复制到Azure AD
Azure AD 与本地域名尽量保证一致,达到同步的效果(添加自定义域,验证后设置为主域,作为用户名后缀)
- 工作量:密码哈希同步所需的有关部署、维护和基础结构的工作量最少。此级别的工作量通常适用于只需用户登录到Office355、SS应用以及其他基于Azure AD的资源的组织。启用后,密码哈希同步即是Azure AD Connect同步过程的一部分,并且每两分钟运行一次。
- 用户体验:若要改善用户的登录体验,请将无缝ssO随密码哈希同步一起部署。在用户登录时,无缝SsO将消除不必要的提示。
- 高级方案:如果组织选择,可以将来自标识的见解与Azure AD Premium P2的"AZure AD标识保护"报告配合使用。例如已泄漏凭据报告。Windows Hello for Business 在使用密码哈希同步时有特定要求。Azure AD域服务需要密码哈希同步才能在托管域中为用户预配公司凭据。
- 需要多重身份验证以及密码哈希同步的组织必须使用Azure多重身份验证或条件访问自定义控件。这些组织不能使用依赖于联合身份验证的第三方或本地多重身份验证方法。
- 业务连续性:密码哈希同步与云身份验证结合在一起完全可以作为云服务使用,适合所有Microsot 数据中心。若要确保密码哈希同步不会在长时间内无法工作,请在备用配置中部署另一个处于暂存模式的 Azure AD Connect服务器。
注意事项:目前,密码哈希同步不会即时强制本地帐户状态更改生效。在此情况下,除非用户帐户状态已同步到Aure AD,否则用户有权访问云应用。组织可能希望在管理员对本地用户帐户状态执行批量更新后运行新的同步循环来克服此限制。例如禁用帐户。
Azure AD直通身份验证(PTA)
通过用户访问云端时 Azure AD将请求发送到配置好的AD connect几个代理,与本地密码进行比对。起到中介代理的作用
认证是在云端,密码是存放于本地,密码要符合本地密码策略
- 工作量:对于直通身份验证,需要有一个或多个(我们建议三个)轻量代理安装在现有服务器上。这些代理必须有权访问本地Active Directory域服务,包括本地AD域控制器。它们需要具有对’nternet的出站访问权限以及对域控制器的访问权限。因此,不支持将这些代理部署在外围网络中。
- 直通身份验证需要对域控制器进行不受约束的网络访问。所有流量都已进行加密并受限于身份验证请求。有关此过程的详细信息,请参阅传递身份验证的安全性深入研究。
- 用户体验:若要改善用户的登录体验,请将无缝ssO随直通身份验证一起部署。在用户登录后,无缝SsO将消除不必要的提示。
- 高级方案:直通身份验证在登录时强制实施本地帐户策略。例如,如果本地用户的帐户状态为禁用、锁定,或其密码过期,或者登录尝试不在用户被允许登录的时间段,则访问会被拒绝。
- 需要多重身份验证以及直通身份验证的组织必须使用Azure多重身份验证(MFA)或条件访问自定义控件。这些组织不能使用依赖于联合身份验证的第三方或本地多重身份验证方法。高级功能都需要密码哈希同步已部署,无论你是否选择直通身份验证。例如“标识保护"的已泄漏凭据报表。
- 业务连续性:我们建议部署两个额外的直通身份验证代理。这些额外的代理是Azure AD Connect服务器上第一个代理之外的代理。此额外部署将确保身份验证请求的高可用性。如果部署了三个代理,关闭一个代理进行维护时另一个仍然可能失败。
- 在除了部署直通身份验证之外还部署密码哈希同步有另一个好处。它将在主要身份验证方法不再可用时充当备份身份验证方法。当代理由于明显的本地故障而无法验证用户的凭据时,可以使用密码哈希同步作为直通身份验证的备份身份验证方法。故障转移到密码哈希同步不会自动发生,并且必须使用Azure AD Connect手动切换登录方法。
联合身份验证(Federation)
访问Azure AD时,重定向到本地的AD FS服务器,在本地进行密码的验证,验证成功后 AD FS服务器会给Azure AD发送确认信息,就可以通过Azure AD访问其他服务
配置复杂,工作中用的多些,考试很少提到
- 工作量:联合身份验证系统依赖于外部受信任系统对用户进行身份验证。某些公司想要借助Aure AD混合标识解决方案重复使用现有联合系统投资。联合系统的维护和管理超出Azure AD控制。这由组织负责,组织可通过使用联合系统确保它已安全部署并可处理身份验证负载。
- 用户体验:联合身份验证的用户体验依赖于联合服务器场功能、拓扑和配置的实现。某些组织需要这种灵活性来调整和配置对联合服务器场的访问权限,以满足其安全要求。例如,可以配置内部连接用户和设备以使用户自动登录,不会提示其输入凭据。因为他们已登录到其设备,所以此配置将发挥作用。必要时,某些高级安全功能将使用户的登录过程更加困难。
- 高级方案:客户有 Azure AD本机不支持的身份验证要求时,需要联合身份验证解决方案。请考虑以下常见要求:
1:需要智能卡或证书的身份验证。
2:需要联合标识提供程序的本地 MFA服务器或第三方多重身份验证提供程序。
3:使用第三方身份验证解决方案的身份验证。请参阅Azure AD联合身份验证兼容性列表。
4:需要SAMAccountName(例如,DOMAIN(username)而不是用户主体名称(UPN)(例如,user@domain.com)的登录。 - 业务连续性:联合身份验证系统通常需要负载均衡的服务器阵列(称为场)。此场在内部网络和外围网络拓扑中配置,以便为身份验证
请求确保高可用性。 - 请将密码哈希同步以及联合身份验证部署为当主要身份验证方法不再可用时使用的备份身份验证方法。
注意事项:联合系统诵常在本地基础结构方面需要更可观的投资。大多数组织会选择此选项,前提是它们已有本地联合身份验证投资,并且使用单标识提供者是非常强烈的业务需求。与云身份验证解决方案相比,联合的操作和故障排除更加复杂。
安装和配置Azure AD Connect了解同步选项
需要Azure AD全局管理员账户以及服务器里的管理员账户
Azure AD信息同步权限
Azure AD Connect 使用 3 个帐户将信息从本地或 Windows Server Active Directory 同步到 Azure Active Directory。这些帐户是
- AD DS Connector 帐户:用于将信息读/写到 Windows Server Active Directory
- ADSync 服务帐户:用于运行同步服务和访问 SQL 数据库(同步服务可以在不同的帐户下运行。它可以在虚拟服务帐户(VSA)、组托管服务帐户(gMSA/sMSA) 或常规用户帐户下运行)
- Azure AD Connector 帐户:用于将信息写入 Azure AD
安装 Azure AD Connect用户权限
- 本地管理员帐户(Local Administrator account): 在计算机上具有本地管理员权限的管理员以便安装 Azure AD Connect。
- AD DS 企业管理员帐户(AD DS Enterprise Administrator account):(可选)用于创建上面的"AD DS 连接器帐户"。
- Azure AD 全局管理员帐户(Azure AD Global Administrator account):用于创建 Azure AD 连接器帐户和配置 Azure AD。可以在 Azure 门户中查看全局管理员帐户。请参 阅列出 Azure AD 角色分配。
- SQL SA 帐户(SQL SA account)(可选):用于在使用完整版 SQL Server 时创建 ADSync 数据库。此 SQL Server 可以是 Azure AD Connect 安装的本地或远程。此帐户可能与企业管理员的帐户相同。现在可以由 SQL 管理员带外执行数据库预配,然后由具有数据库所有者权限的 Azure AD Connect 管理员安装
服务器安装 Azure AD Connect
密码写回
暂存模式(staging mode)
暂存模式下,服务器对导入和同步处于活动状态,但它不运行任何导出。 处于暂存模式的服务器未运行密码同步或密码写回,即使您在安装期间选择了这些功能。 当您禁用暂存模式时,服务器开始导出、启用密码同步并启用密码写回。
Azure AD Connect Health
- 将与目录同步服务相关的任何问题通知名为IT Support的电子邮件通讯组
- 您可以配置Azure AD Connect Health 服务,以便在警报指示您的身份基础结构不健康时发送电子邮件通知。当生成警报时,以及当生成警报
配置和管理密码同步和密码写回
借助 Azure Active Directory (Azure AD)自助式密码重置(SSPR),用户可以使用web浏览器更新其密码或解锁其帐户。在AzureAD连接到本地Active Directory域服务(AD DS)环境的混合环境中,此方案可能会导致两个目录的密码不同。
可以使用密码写回将Azure AD中的密码更改同步回到本地AD DS环境。Azure AD Connect 提供一种安全机制用于将这些密码更改从Azure AD发回到现有本地目录。
限制:
- 一个至少启用了Azure AD Premium P1或试用版许可证的有效Azure AD租户。
- —个拥有全局管理员特权的帐户。
- 为自助式密码重置配置的Azure AD。
- 配置有最新Azure AD Connect版本的现有本地AD DS环境。
- 若要使用密码写回,域控制器必须是Windows Server 2012或更高版本。
配置single sign-on单一登录
Azure Active Directory无缝单一登录(Azure AD无缝sSO)可使连接到企业网络的企业设备上的用户自动登录。启用此功能后,用户无需键入其密码即可登录到Azure AD;通常情况下,甚至无需键入其用户名。此功能可让用户轻松访问基于云的应用程序,而无需使用其他任何本地组件。
无缝sso可与密码哈希同步或传递身份验证登录方法结合使用。无缝SSO不适用于 Active Directory联合身份验证服务(ADFS)。
需要预先配置用户可以登录的应用程序
- 普通单一登录:不同应用程序可以使用一种登录方式,用同一用户名密码登录不同的程序
- 无缝单一登录:登录一次,之后可以访问应用程序,不需要输入用户名密码
使用Azure AD Connect Health
Azure Active Directory (Azure AD) Connect Health为本地标识基础结构提供可靠的监视功能。它可以用于维护到Office 365和 MicrosoftOnline Services的可靠连接。此可靠性是通过针对关键标识组件提供监视功能来实现的。另外,它还使有关这些组件的关键数据点可轻松访问。文章来源:https://www.toymoban.com/news/detail-470907.html
这些信息显示在Azure AD Connect Health门户中。可以使用AzureAD Connect Health 门户来查看警报、性能监视、使用情况分析和其他信息。Azure AD Connect Health 在一个集中的位置提供重要标识组件的运行状况单一可重用功能区。
文章来源地址https://www.toymoban.com/news/detail-470907.html
到了这里,关于ZA303学习笔记七管理应用程序(Azure AD Connect/使用SSO)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
