Volba správné metody ověřování pro řešení hybridních identit Microsoft Entra
Volba správné metody ověřování je prvním zájmem organizací, které chtějí přesunout své aplikace do cloudu. Toto rozhodnutí neberte na lehkou váhu z následujících důvodů:
Je to první rozhodnutí organizace, která chce přejít do cloudu.
Metoda ověřování je důležitou součástí přítomnosti organizace v cloudu. Řídí přístup ke všem cloudovým datům a prostředkům.
Je základem všech ostatních pokročilých funkcí zabezpečení a uživatelského prostředí v Microsoft Entra ID.
Identita je novou řídicí rovinou zabezpečení IT, takže ověřování je ochrana přístupu organizace k novému cloudovému světu. Organizace potřebují rovinu řízení identity, která posiluje jejich zabezpečení a chrání jejich cloudové aplikace před vetřelci.
Poznámka
Změna metody ověřování vyžaduje plánování, testování a potenciální výpadek. Fázované uvedení představuje skvělý způsob, jak otestovat migraci uživatelů z federace na cloudové ověřování.
Mimo rozsah
Tento článek se nezaměřuje na organizace, které nemají stávající nároky na místní adresář. Tyto firmy obvykle vytvářejí identity pouze v cloudu, což nevyžaduje řešení hybridních identit. Výhradně cloudové identity existují výhradně v cloudu a nejsou přidružené k odpovídajícím místním identitám.
Metody ověřování
Pokud je Microsoft Entra řešení hybridních identit vaší novou řídicí rovinou, ověřování je základem přístupu ke cloudu. Volba správné metody ověřování je zásadním prvním rozhodnutím při nastavování řešení Microsoft Entra hybridních identit. Zvolená metoda ověřování se konfiguruje pomocí Microsoft Entra Connect, která také zřídí uživatele v cloudu.
Pokud chcete zvolit metodu ověřování, musíte zvážit čas, stávající infrastrukturu, složitost a náklady na implementaci vaší volby. Tyto faktory se pro každou organizaci liší a můžou se v průběhu času měnit.
Microsoft Entra ID podporuje následující metody ověřování pro řešení hybridních identit.
Cloudové ověřování
Když zvolíte tuto metodu ověřování, Microsoft Entra ID zpracuje proces přihlášení uživatelů. Spolu s jednotným přihlašováním (SSO) se uživatelé můžou přihlašovat ke cloudovým aplikacím, aniž by museli znovu zadávat svoje přihlašovací údaje. V případě cloudového ověřování si můžete vybrat ze dvou možností:
Microsoft Entra synchronizaci hodnot hash hesel. Nejjednodušší způsob, jak povolit ověřování pro místní objekty adresáře v Microsoft Entra ID. Uživatelé můžou používat stejné uživatelské jméno a heslo, které používají místně, aniž by museli nasazovat jinou infrastrukturu. Některé prémiové funkce Microsoft Entra ID, jako jsou Identity Protection a Microsoft Entra Domain Services, vyžadují synchronizaci hodnot hash hesel bez ohledu na to, kterou metodu ověřování zvolíte.
Poznámka
Hesla se nikdy neukládají ve formátu prostého textu ani nejsou šifrovaná pomocí reverzibilního algoritmu v Microsoft Entra ID. Další informace o skutečném procesu synchronizace hodnot hash hesel najdete v tématu Implementace synchronizace hodnot hash hesel s Microsoft Entra Connect Sync.
Microsoft Entra předávací ověřování. Poskytuje jednoduché ověření hesla pro Microsoft Entra ověřovací služby pomocí softwarového agenta, který běží na jednom nebo několika místních serverech. Servery ověřují uživatele přímo pomocí vašeho místní Active Directory, což zajišťuje, že ověření hesla neproběne v cloudu.
Tuto metodu ověřování můžou používat společnosti s požadavkem na zabezpečení, aby okamžitě vynucovaly stavy místních uživatelských účtů, zásady hesel a dobu přihlašování. Další informace o skutečném procesu předávacího ověřování najdete v tématu Přihlášení uživatelů pomocí předávacího ověřování Microsoft Entra.
Federovaného ověřování
Když zvolíte tuto metodu ověřování, Microsoft Entra ID předá proces ověřování samostatnému důvěryhodnému ověřovacímu systému, například službě místní Active Directory Federation Services (AD FS), aby ověřil heslo uživatele.
Ověřovací systém může poskytovat další pokročilé požadavky na ověřování, například vícefaktorové ověřování třetích stran.
Následující část vám pomůže rozhodnout, která metoda ověřování je pro vás nejvhodnější, pomocí rozhodovacího stromu. Pomůže vám určit, jestli pro řešení hybridních identit Microsoft Entra nasadit cloudové nebo federované ověřování.
Rozhodovací strom
Podrobnosti o rozhodovacích otázkách:
- Microsoft Entra ID může zpracovávat přihlašování uživatelů, aniž by se při ověřování hesel spoléhaly na místní komponenty.
- Microsoft Entra ID může předat přihlášení uživatele důvěryhodnému zprostředkovateli ověřování, jako je služba AD FS od Microsoftu.
- Pokud potřebujete použít zásady zabezpečení služby Active Directory na úrovni uživatele, jako je vypršení platnosti účtu, zakázaný účet, vypršela platnost hesla, uzamčený účet a doba přihlášení jednotlivých uživatelů, Microsoft Entra ID vyžaduje některé místní komponenty.
- Funkce přihlašování, které Microsoft Entra ID nativně nepodporují:
- Přihlaste se pomocí řešení ověřování třetí strany.
- Místní řešení ověřování s více lokalitami.
- Microsoft Entra ID Protection vyžaduje synchronizaci hodnot hash hesel bez ohledu na to, kterou metodu přihlášení zvolíte, aby uživatelé mohli poskytnout sestavu s nevracenými přihlašovacími údaji. Organizace můžou převzít služby při selhání synchronizaci hodnot hash hesel, pokud jejich primární metoda přihlášení selže a byla nakonfigurovaná před událostí selhání.
Poznámka
Microsoft Entra ID Protection vyžadovat licence Microsoft Entra ID P2.
Podrobné informace
Cloudové ověřování: Synchronizace hodnot hash hesel
Úsilí. Synchronizace hodnot hash hesel vyžaduje co nejmenší úsilí týkající se nasazení, údržby a infrastruktury. Tato úroveň úsilí se obvykle vztahuje na organizace, které potřebují, aby se uživatelé přihlašovali k Microsoftu 365, aplikacím SaaS a dalším Microsoft Entra prostředkům založeným na ID. Když je zapnutá, synchronizace hodnot hash hesel je součástí procesu synchronizace Microsoft Entra Connect a spouští se každé dvě minuty.
Uživatelské prostředí. Pokud chcete zlepšit přihlašování uživatelů, použijte Microsoft Entra připojených zařízení nebo Microsoft Entra hybridních zařízeních. Pokud nemůžete připojit zařízení s Windows k Microsoft Entra ID, doporučujeme nasadit bezproblémové jednotné přihlašování se synchronizací hodnot hash hesel. Bezproblémové jednotné přihlašování eliminuje zbytečné výzvy, když jsou uživatelé přihlášení.
Pokročilé scénáře. Pokud se to organizace rozhodnou, je možné použít přehledy z identit s Microsoft Entra ID Protection sestavami s Microsoft Entra ID P2. Příkladem je sestava uniklých přihlašovacích údajů. Windows Hello pro firmy má specifické požadavky při použití synchronizace hodnot hash hesel. Microsoft Entra Domain Services vyžaduje synchronizaci hodnot hash hesel, aby uživatelé mohli ve spravované doméně zřizovat své podnikové přihlašovací údaje.
Organizace, které vyžadují vícefaktorové ověřování se synchronizací hodnot hash hesel, musí používat Microsoft Entra vícefaktorové ověřování nebo vlastní ovládací prvky podmíněného přístupu. Tyto organizace nemůžou používat metody vícefaktorového ověřování třetích stran nebo místní ověřování, které jsou závislé na federaci.
Poznámka
Microsoft Entra podmíněný přístup vyžaduje licence Microsoft Entra ID P1.
Provozní kontinuita. Použití synchronizace hodnot hash hesel s cloudovým ověřováním je vysoce dostupné jako cloudová služba, která se škáluje na všechna datacentra Microsoftu. Pokud chcete zajistit, aby synchronizace hodnot hash hesel nebyla delší dobu mimo provoz, nasaďte druhý server Microsoft Entra Connect v pracovním režimu v pohotovostní konfiguraci.
Důležité informace. Synchronizace hodnot hash hesel v současné době okamžitě nevynucuje změny ve stavech místního účtu. V této situaci má uživatel přístup ke cloudovým aplikacím, dokud se stav uživatelského účtu nesynchroniuje s Microsoft Entra ID. Organizace můžou chtít toto omezení překonat spuštěním nového synchronizačního cyklu poté, co správci hromadně aktualizují stavy místních uživatelských účtů. Příkladem je zakázání účtů.
Poznámka
Platnost hesla vypršela a stav uzamčení účtu se v současné době nesynchronizuje s id Microsoft Entra s Microsoft Entra Connect. Když změníte heslo uživatele a nastavíte, že uživatel musí změnit heslo při příštím příznaku přihlášení, hodnota hash hesla se nesynchronizuje s Microsoft Entra ID s Microsoft Entra Connect, dokud uživatel nezmění heslo.
Postup nasazení najdete v tématu implementace synchronizace hodnot hash hesel .
Cloudové ověřování: Předávací ověřování
Úsilí. Pro předávací ověřování potřebujete na existujících serverech nainstalovat jednoho nebo více (doporučujeme tři) odlehčených agentů. Tito agenti musí mít přístup k místní Active Directory Domain Services, včetně místních řadičů domény AD. Potřebují odchozí přístup k internetu a přístup k vašim řadičům domény. Z tohoto důvodu se nasazení agentů v hraniční síti nepodporuje.
Předávací ověřování vyžaduje síťový přístup k řadičům domény bez omezení. Veškerý síťový provoz je šifrovaný a omezený na žádosti o ověření. Další informace o tomto procesu najdete v podrobných informacích o zabezpečení předávacího ověřování.
Uživatelské prostředí. Pokud chcete zlepšit přihlašování uživatelů, použijte Microsoft Entra připojených zařízení nebo Microsoft Entra hybridních zařízeních. Pokud nemůžete připojit zařízení s Windows k Microsoft Entra ID, doporučujeme nasadit bezproblémové jednotné přihlašování se synchronizací hodnot hash hesel. Bezproblémové jednotné přihlašování eliminuje zbytečné výzvy, když jsou uživatelé přihlášení.
Pokročilé scénáře. Předávací ověřování vynucuje zásady místního účtu v době přihlášení. Přístup se například zakáže, když je stav účtu místního uživatele zakázaný, uzamčený nebo vyprší platnost hesla nebo když pokus o přihlášení spadá mimo dobu, kdy se uživatel může přihlásit.
Organizace, které vyžadují vícefaktorové ověřování s předávacím ověřováním, musí používat Microsoft Entra vícefaktorové ověřování nebo vlastní ovládací prvky podmíněného přístupu. Tyto organizace nemůžou používat metodu vícefaktorového ověřování třetí strany nebo místní ověřování, která závisí na federaci. Pokročilé funkce vyžadují nasazení synchronizace hodnot hash hesel bez ohledu na to, jestli zvolíte předávací ověřování. Příkladem je sestava uniklých přihlašovacích údajů služby Identity Protection.
Provozní kontinuita. Doporučujeme nasadit dva další agenty předávacího ověřování. Tyto doplňky jsou navíc k prvnímu agentu na serveru Microsoft Entra Connect. Toto další nasazení zajišťuje vysokou dostupnost žádostí o ověření. Pokud máte nasazené tři agenty, může jeden agent selhat, i když je jiný agent mimo provoz kvůli údržbě.
Kromě předávacího ověřování má nasazení synchronizace hodnot hash hesel ještě další výhodu. Funguje jako záložní metoda ověřování, když už primární metoda ověřování není k dispozici.
Důležité informace. Synchronizaci hodnot hash hesel můžete použít jako záložní metodu ověřování pro předávací ověřování, když agenti nemůžou ověřit přihlašovací údaje uživatele kvůli významnému místnímu selhání. Převzetí služeb při selhání při synchronizaci hodnot hash hesel neproběhlo automaticky a k ručnímu přepnutí metody přihlašování musíte použít Microsoft Entra Connect.
Další důležité informace o předávacím ověřování, včetně podpory alternativních ID, najdete v nejčastějších dotazech.
Postup nasazení najdete v tématu implementace předávacího ověřování .
Federovaného ověřování
Úsilí. Federovaný ověřovací systém se při ověřování uživatelů spoléhá na externí důvěryhodný systém. Některé společnosti chtějí znovu použít své stávající investice do federovaného systému se svým Microsoft Entra řešení hybridní identity. Údržba a správa federovaného systému nespadá mimo kontrolu id Microsoft Entra. Je na organizaci, aby pomocí federovaného systému zajistila, že je nasazený bezpečně a zvládne zatížení ověřování.
Uživatelské prostředí. Uživatelské prostředí federovaného ověřování závisí na implementaci funkcí, topologie a konfigurace federační farmy. Některé organizace potřebují tuto flexibilitu k přizpůsobení a konfiguraci přístupu k federační farmě tak, aby vyhovovaly jejich požadavkům na zabezpečení. Je například možné nakonfigurovat interně připojené uživatele a zařízení tak, aby se uživatelé přihlašovali automaticky, aniž byste je museli vyzvat k zadání přihlašovacích údajů. Tato konfigurace funguje, protože se už přihlásili ke svým zařízením. V případě potřeby ztěžují přihlašování uživatelů některé pokročilé funkce zabezpečení.
Pokročilé scénáře. Řešení federovaného ověřování se vyžaduje v případě, že zákazníci mají požadavek na ověřování, který Microsoft Entra ID nativně nepodporuje. Podívejte se na podrobné informace, které vám pomůžou zvolit správnou možnost přihlášení. Vezměte v úvahu následující běžné požadavky:
- Vícefaktorové zprostředkovatelé třetích stran, kteří vyžadují federovaného zprostředkovatele identity.
- Ověřování pomocí řešení ověřování třetích stran. Projděte si seznam kompatibility federace Microsoft Entra.
- Přihlaste se, které vyžaduje sAMAccountName, například DOMÉNA\uživatelské jméno, místo hlavního názvu uživatele (UPN), například user@domain.com.
Provozní kontinuita. Federované systémy obvykle vyžadují pole serverů s vyrovnáváním zatížení, které se označuje jako farma. Tato farma je nakonfigurovaná v interní síti a topologii hraniční sítě, aby byla zajištěna vysoká dostupnost pro žádosti o ověření.
Nasaďte synchronizaci hodnot hash hesel společně s federovaným ověřováním jako záložní metodu ověřování, když už primární metoda ověřování není k dispozici. Příkladem je nedostupné místní servery. Některé velké podnikové organizace vyžadují federační řešení pro podporu více bodů příchozího přenosu dat z internetu nakonfigurovaných s geografickým DNS pro požadavky na ověřování s nízkou latencí.
Důležité informace. Federované systémy obvykle vyžadují významnější investice do místní infrastruktury. Většina organizací tuto možnost zvolí, pokud už mají investice do místní federace. A pokud je silným obchodním požadavkem používat zprostředkovatele s jednou identitou. Federace je složitější na provoz a řešení potíží v porovnání s řešeními cloudového ověřování.
Pro nesměrovatelnou doménu, kterou nejde ověřit v Microsoft Entra ID, potřebujete další konfiguraci k implementaci přihlášení s ID uživatele. Tento požadavek se označuje jako podpora alternativního přihlašovacího ID. Omezení a požadavky najdete v tématu Konfigurace alternativního přihlašovacího ID . Pokud se rozhodnete použít poskytovatele vícefaktorového ověřování třetí strany s federací, ujistěte se, že poskytovatel podporuje WS-Trust, aby se zařízení mohla připojit k ID Microsoft Entra.
Postup nasazení najdete v tématu Nasazení federačních serverů .
Poznámka
Při nasazování řešení hybridních identit Microsoft Entra musíte implementovat jednu z podporovaných topologií Microsoft Entra Connect. Další informace o podporovaných a nepodporovaných konfiguracích najdete v tématu Topologie pro Microsoft Entra Connect.
Diagramy architektury
Následující diagramy popisují komponenty architektury vysoké úrovně vyžadované pro každou metodu ověřování, kterou můžete použít s řešením hybridních identit Microsoft Entra. Poskytují přehled, který vám pomůže porovnat rozdíly mezi řešeními.
Jednoduchost řešení synchronizace hodnot hash hesel:
Požadavky agenta na předávací ověřování s využitím dvou agentů pro redundanci:
Komponenty vyžadované pro federaci v hraniční síti a interní síti vaší organizace:
Porovnání metod
Poznámka
Vlastní ovládací prvky v Microsoft Entra podmíněného přístupu aktuálně nepodporují registraci zařízení.
Doporučení
Systém identit zajišťuje uživatelům přístup k aplikacím, které migrujete a zpřístupníte v cloudu. Použijte nebo povolte synchronizaci hodnot hash hesel s jakoukoli metodou ověřování, kterou zvolíte, a to z následujících důvodů:
Vysoká dostupnost a zotavení po havárii. Předávací ověřování a federace závisí na místní infrastruktuře. Pro předávací ověřování zahrnuje nároky na místní hardware serveru a sítě, které agenti předávacího ověřování vyžadují. V případě federace jsou nároky na místní prostředí ještě větší. Vyžaduje servery v hraniční síti pro požadavky na ověření proxy a interní federační servery.
Abyste se vyhnuli kritickým bodům způsobujícím selhání, nasaďte redundantní servery. Žádosti o ověření se pak budou vždy obsluhovat, pokud některá komponenta selže. Předávací ověřování i federace také spoléhají na řadiče domény, které reagují na žádosti o ověření, což může také selhat. Mnohé z těchto komponent vyžadují údržbu, aby zůstaly v pořádku. Výpadky jsou pravděpodobnější, když se údržba neplánuje a implementuje správně.
Místní výpadek přetrvává. Důsledky výpadku místního prostředí způsobeného kybernetickým útokem nebo katastrofou můžou být značné, od poškození dobré pověsti značky až po ochrnutou organizaci, která se s útokem nedokáže vypořádat. V poslední době se mnoho organizací stali oběťmi malwarových útoků, včetně cíleného ransomwaru, který způsobil výpadky místních serverů. Když Microsoft pomáhá zákazníkům vypořádat se s těmito typy útoků, vidí dvě kategorie organizací:
Organizace, které dříve také zapnuly synchronizaci hodnot hash hesel nad federovaným nebo předávacím ověřováním, změnily svou primární metodu ověřování tak, aby pak používaly synchronizaci hodnot hash hesel. Oni byli zpátky online během několika hodin. Díky přístupu k e-mailu přes Microsoft 365 se společnost snažila vyřešit problémy a získat přístup k dalším cloudovým úlohám.
Organizace, které dříve nepovolily synchronizaci hodnot hash hesel, se musely kvůli komunikaci při řešení problémů uchylovat k nedůvěryhodným e-mailovým systémům externích příjemců. V těchto případech trvalo obnovení místní infrastruktury identit týdny, než se uživatelé mohli znovu přihlásit ke cloudovým aplikacím.
Ochrana identit. Jedním z nejlepších způsobů ochrany uživatelů v cloudu je Microsoft Entra ID Protection s id Microsoft Entra P2. Microsoft neustále vyhledává na internetu seznamy uživatelů a hesel, které zlými aktéry prodávají a zpřístupněte na temném webu. Microsoft Entra ID může tyto informace použít k ověření, jestli nedošlo k ohrožení uživatelského jména a hesel ve vaší organizaci. Proto je důležité povolit synchronizaci hodnot hash hesel bez ohledu na to, kterou metodu ověřování používáte, ať už jde o federované nebo předávací ověřování. Uniklé přihlašovací údaje se zobrazují jako sestava. Pomocí těchto informací můžete blokovat nebo vynutit uživatele, aby si při pokusu o přihlášení pomocí uniklých hesel změnili hesla.
Závěr
Tento článek popisuje různé možnosti ověřování, které můžou organizace nakonfigurovat a nasadit pro podporu přístupu ke cloudovým aplikacím. Aby organizace splňovaly různé obchodní, bezpečnostní a technické požadavky, můžou si vybrat mezi synchronizací hodnot hash hesel, předávacím ověřováním a federací.
Zvažte každou metodu ověřování. Řeší úsilí o nasazení řešení a uživatelské prostředí procesu přihlašování vaše obchodní požadavky? Vyhodnoťte, jestli vaše organizace potřebuje pokročilé scénáře a funkce provozní kontinuity jednotlivých metod ověřování. Nakonec vyhodnoťte aspekty každé metody ověřování. Brání vám některá z nich v implementaci vaší volby?
Další kroky
V dnešním světě jsou hrozby přítomné 24 hodin denně a přicházejí odevšad. Implementujte správnou metodu ověřování, která zmírní vaše bezpečnostní rizika a ochrání vaše identity.
Začněte s Microsoft Entra ID a nasaďte pro vaši organizaci správné řešení ověřování.
Pokud uvažujete o migraci z federovaného na cloudové ověřování, přečtěte si další informace o změně metody přihlašování. Pokud vám chcete pomoct s plánováním a implementací migrace, použijte tyto plány nasazení projektu nebo zvažte použití nové funkce postupného zavedení k migraci federovaných uživatelů na použití cloudového ověřování ve fázovaném přístupu.