Definovat Azure AD
Tým pro správu Adatum chce zajistit, aby zákazníci společnosti měli spolehlivý způsob, jak bezpečně přistupovat ke službám poskytovaným vašimi aplikacemi. Tuto funkci hodláte implementovat tak, že se spoléháte na možnosti ověřování a autorizace Azure AD. Abyste tohoto cíle dosáhli, rozhodnete se prozkoumat základní funkce a výhody Azure AD a zároveň se zaměřit na funkce, které jsou použitelné pro aplikace nativní pro cloud.
Ověřování určuje identitu objektu zabezpečení, například uživatele nebo zařízení. Autorizace zahrnuje udělení oprávnění k provedení akce nebo přístupu k prostředku ověřenému objektu zabezpečení.
Co je Azure AD a jaké jsou jeho výhody?
Azure AD je cloudová služba pro správu identit a přístupu pro Microsoft. Poskytuje možnosti ověřování a usnadňuje autorizaci prostřednictvím integrace s většinou cloudových služeb Microsoftu a širokou škálou nabídek saaS (software jako služba) třetích stran. Podporuje moderní standardní ověřovací a autorizační protokoly.
Poznámka
Díky integraci s Windows Server Active Directory Azure AD také pomáhá chránit interní prostředky, jako jsou aplikace v podnikové síti a intranetu, a také všechny cloudové aplikace, které vaše organizace vyvíjí.
Azure AD slouží jako úložiště identit, které vám umožňuje vytvářet účty pro uživatele, skupiny a zařízení vaší organizace. Umožňuje také vytvářet účty hostů, které představují identity partnerských organizací a usnadňují bezpečné sdílení prostředků ve scénářích B2B (Business-to-Business). Můžete také použít Azure AD ve scénářích B2C (business-to-consumer) tím, že umožníte externím uživatelům, aby si zaregistrovali přístup k vašim aplikacím pomocí svých stávajících přihlašovacích údajů, včetně podpory nejběžnějších zprostředkovatelů sociálních identit.
Pro každý z těchto scénářů můžete implementovat další ovládací prvky, které určují úroveň ochrany před potenciálními hrozbami. Mezi tyto ovládací prvky patří integrovaná podpora vícefaktorového ověřování a podmíněného přístupu.
Azure AD organizuje své objekty, jako jsou uživatelé, skupiny a aplikace, do kontejnerů označovaných jako tenanti. Každý tenant představuje hranici pro správu a zabezpečení. Pro vaši organizaci můžete vytvořit jednoho nebo více tenantů. Každé předplatné Azure je přidružené k tenantovi Azure AD.
Jaká je role Azure AD v aplikacích nativních pro cloud?
Jako vývojář aplikací můžete Azure AD použít k ověřování a autorizaci přístupu k aplikacím a jejich datům. Azure AD nabízí programové metody, které pomáhají vytvářet vlastní aplikace. Slouží také jako jediné místo pro ukládání informací souvisejících s digitálními identitami, včetně podpory registrace aplikací a příslušných objektů zabezpečení. Tato funkce umožňuje poskytovat podrobný přístup k interně vyvinutým aplikacím každému uživateli, hostu nebo skupině. Umožňuje také aplikacím pracovat nezávisle nebo jménem svých uživatelů při přístupu k jiným prostředkům, službám a aplikacím chráněným Azure AD.
Aplikace nativní pro cloud se při ověřování objektů zabezpečení spoléhají na otevřené protokoly http, protože klienti i aplikace můžou běžet kdekoli a na libovolné platformě nebo zařízení. Azure AD jako řešení identit nativní pro cloud poskytuje tuto funkci, včetně rozhraní založeného na REST, a podporu pro dotazy založené na Graph API a OData.
Azure AD usnadňuje implementaci celé řady scénářů, se kterými se běžně setkáváme při vytváření aplikací nativních pro cloud, jako jsou:
- Uživatelé, kteří přistupují k webovým aplikacím ve webovém prohlížeči.
- Uživatelé, kteří přistupují k back-endovým webovým rozhraním API z aplikací založených na prohlížeči.
- Uživatelé přistupující k back-endovým webovým rozhraním API z mobilních aplikací
- Aplikace přistupující k back-endovým webovým rozhraním API bez aktivního uživatele nebo uživatelského rozhraní s použitím vlastní identity
- Aplikace, které interagují s jinými webovými rozhraními API a jednají jménem uživatele s delegovanými přihlašovacími údaji daného uživatele.
V každém z těchto scénářů musí být aplikace zabezpečené proti neoprávněnému použití. Tento krok vyžaduje minimálně ověření objektu zabezpečení, který požaduje přístup k prostředku. Toto ověřování může používat jeden z několika běžných protokolů, například SAML (Security Assertion Markup Language) v2.0, WS-Fed nebo OpenID Connect. Komunikace s webovými rozhraními API se obvykle spoléhá na protokol OAuth2 a jeho podporu přístupových tokenů.
Potřebujete pomoc? Projděte si našeho průvodce odstraňováním potíží nebo nahlaste potíže a uveďte konkrétní připomínky.