Tento článek porovnává možnosti integrace místního prostředí Active Directory (AD) se sítí Azure. Pro každou z možností je k dispozici podrobnější referenční architektura.
Řada organizací používá službu Active Directory Domain Services (AD DS) k ověřování identit přidružených k uživatelům, počítačům, aplikacím nebo jiným prostředkům, které jsou součástí hranice zabezpečení. Služby pro práci s adresáři a identitami jsou obvykle hostované místně, ale pokud je vaše aplikace hostovaná částečně místně a částečně v Azure, může při odesílání žádostí o ověření z Azure do místního umístění docházet k latenci. Implementace služeb pro práci s adresáři a identitami v Azure může tuto latenci zkrátit.
Azure nabízí pro implementaci služeb pro práci s adresáři a identitami v Azure dvě řešení:
Pomocí MICROSOFT Entra ID vytvořte doménu služby Active Directory v cloudu a připojte ji k vaší místní Active Directory doméně. Microsoft Entra Připojení integruje vaše místní adresáře s ID Microsoft Entra.
Nasazením virtuálního počítače v Azure, který bude spouštět AD DS jako řadič domény, můžete stávající místní infrastrukturu Active Directory rozšířit do Azure. Tato architektura se většinou používá, když jsou místní síť a služba Azure Virtual Network (VNet) propojené pomocí připojení VPN nebo ExpressRoute. Je možné používat několik variant této architektury:
- Vytvoření domény v Azure a její připojení k místní doménové struktuře AD
- Vytvoření samostatné doménové struktury v Azure, která bude důvěryhodná pro domény v místní doménové struktuře
- Replikace nasazení služby AD FS (Active Directory Federation Services) v Azure
Další části popisují každou z těchto možností podrobněji.
Integrace místních domén s ID Microsoft Entra
Pomocí ID Microsoft Entra vytvořte doménu v Azure a propojte ji s místní doménou AD.
Adresář Microsoft Entra není rozšířením místního adresáře. Je spíše jeho kopií, která obsahuje stejné objekty a identity. Změny provedené v těchto položkách v místním prostředí se zkopírují do ID Microsoft Entra, ale změny provedené v ID Microsoft Entra se nereplikují zpět do místní domény.
Můžete také použít ID Microsoft Entra bez použití místního adresáře. V tomto případě microsoft Entra ID funguje jako primární zdroj všech informací o identitě, nikoli jako obsahující data replikovaná z místního adresáře.
Benefity
- Není nutné udržovat infrastrukturu AD v cloudu. Microsoft Entra ID je zcela spravován a spravován Microsoftem.
- ID Microsoft Entra poskytuje stejné informace o identitě, které jsou k dispozici místně.
- Ověřování se může provádět v Azure, takže se snižuje potřeba kontaktu externích aplikací a uživatelů s místní doménou.
Problémy
- Pokud chcete zachovat synchronizaci adresáře Microsoft Entra, musíte nakonfigurovat připojení k místní doméně.
- Aplikace může být potřeba přepsat, aby bylo možné povolit ověřování prostřednictvím ID Microsoft Entra.
- Pokud chcete ověřit účty služeb a počítačů, budete muset nasadit také službu Microsoft Entra Domain Services.
Referenční architektura
Připojení služby AD DS v Azure k místní doménové struktuře
Nasaďte servery služby AD DS (AD Domain Services) v Azure. Vytvoření domény v Azure a její připojení k místní doménové struktuře AD
Tuto možnost zvažte, pokud potřebujete používat funkce SLUŽBY AD DS, které nejsou aktuálně implementovány pomocí Microsoft Entra ID.
Benefity
- Poskytuje přístup ke stejným informacím o identitách, které jsou k dispozici místně.
- Je možné ověřovat účty uživatelů, služeb a počítačů místně a v Azure.
- Není nutné spravovat samostatnou doménovou strukturu AD. Doména v Azure může patřit do místní doménové struktury.
- U domény v Azure můžete používat zásady skupiny definované místními objekty zásad skupiny.
Problémy
- Je nutné nasadit a spravovat vlastní servery AD DS a doménu v cloudu.
- Mezi servery domény v cloudu a místními servery může docházet k určité latenci synchronizace.
Referenční architektura
AD DS v Azure se samostatnou doménovou strukturou
Nasaďte servery služby AD DS (AD Domain Services) v Azure, ale vytvořte samostatnou doménovou strukturu Active Directory, která je oddělená od místní doménové struktury. Tato doménová struktura bude důvěryhodná pro domény v místní doménové struktuře.
Mezi obvyklá použití této architektury patří údržba bezpečnostního oddělení objektů a identit uložených v cloudu a migrace jednotlivých domén z místního umístění do cloudu.
Benefity
- Je možné implementovat místní identity a samostatné identity jenom pro Azure.
- Není nutné provádět replikaci z místní doménové struktury AD do Azure.
Problémy
- Ověřování místních identit v rámci Azure vyžaduje další síťová směrování na místní servery AD.
- Je nutné nasadit vlastní servery a doménovou strukturu AD DS v cloudu a vytvořit odpovídající vztahy důvěryhodnosti mezi doménovými strukturami.
Referenční architektura
Rozšíření služby AD FS do Azure
Proveďte replikaci nasazení služby AD FS (Active Directory Federation Services) v Azure, aby se zajistilo federované ověření a autorizace součástí, které běží v Azure.
Obvyklá využití pro tuto architekturu:
- Ověřování a autorizace uživatelů z partnerských organizací
- Povolení ověřování uživatelů z webových prohlížečů spuštěných vně brány firewall organizace
- Povolení připojování uživatelů z autorizovaných externích zařízení, jako jsou například mobilní zařízení
Benefity
- Můžete využívat aplikace pracující s deklaracemi.
- Nabízí možnost důvěřovat ověřování externími partnery.
- Kompatibilita s rozsáhlou sadou ověřovacích protokolů
Problémy
- Je nutné nasadit vlastní servery AD DS, AD FS a proxy servery webových aplikací AD FS v Azure.
- Konfigurace této architektury může být složitá.
Referenční architektura