LDAP-Authentifizierung mit Microsoft Entra ID

Lightweight Directory Access Protocol (LDAP) ist ein Anwendungsprotokoll, das mit verschiedenen Verzeichnisdiensten eingesetzt werden kann. Verzeichnisdienste wie z. B. Active Directory speichern Benutzer- und Kontoinformationen sowie Sicherheitsinformationen wie Kennwörter. Der Dienst ermöglicht dann die Freigabe der Informationen für andere Geräte im Netzwerk. Unternehmensanwendungen wie E-Mail-Programme, CRM-Systeme und Personalverwaltungssoftware können LDAP verwenden, um Informationen zu authentifizieren, zu suchen und darauf zuzugreifen.

Microsoft Entra ID unterstützt dieses Muster über Microsoft Entra Domain Services (AD DS). So können Organisationen, die eine Cloud-First-Strategie verfolgen, ihre Umgebung modernisieren, indem sie ihre lokalen LDAP-Ressourcen in die Cloud verlagern. Dieses Verfahren bietet folgende unmittelbaren Vorteile:

• Integriert in Microsoft Entra ID. Hinzufügungen von Benutzern und Gruppen oder Attributänderungen an Benutzer- oder Gruppenobjekten werden automatisch von Ihrem Microsoft Entra-Mandanten mit AD DS synchronisiert. Änderungen an Objekten in der lokalen Active Directory-Instanz werden mit Microsoft Entra ID und dann mit AD DS synchronisiert.

• Vereinfachen von Vorgängen. Lokale Infrastrukturen müssen seltener manuell verwaltet und gepatcht werden.

• Zuverlässig. Sie profitieren von verwalteten, hoch verfügbaren Diensten.

Wenn folgende Bedingungen vorliegen

Eine Anwendung oder ein Dienst muss die LDAP-Authentifizierung verwenden.

Komponenten des Systems

• Benutzer: Der Benutzer greift über einen Browser auf von LDAP abhängige Anwendungen zu.

• Webbrowser: Die Schnittstelle, mit der der Benutzer interagiert, um auf die externe URL der Anwendung zuzugreifen.

• Virtuelles Netzwerk: Ein privates Netzwerk in Azure, über das die Legacyanwendung LDAP-Dienste nutzen kann.

• Legacyanwendungen: Anwendungen oder Serverworkloads, für die LDAP in einem virtuellen Netzwerk in Azure bereitgestellt sein muss oder die über Netzwerkrouten Einblick in AD DS-Instanz-IPs haben.

• Microsoft Entra-ID: Synchronisiert Identitätsinformationen aus dem lokalen Verzeichnis der Organisation über Microsoft Entra Connect.

• Microsoft Entra Domain Services (AD DS) : Dieser Dienst führt eine unidirektionale Synchronisierung von Microsoft Entra ID durch, um Zugriff auf einen zentralen Satz aus Benutzern, Gruppen und Anmeldeinformationen zu ermöglichen. Die AD DS-Instanz ist einem virtuellen Netzwerk zugewiesen. Anwendungen, Dienste und VMs in Azure, die eine Verbindung mit diesem AD DS zugewiesenen virtuellen Netzwerk herstellen, können gemeinsame AD DS-Features wie LDAP, Domänenbeitritt, Gruppenrichtlinien, Kerberos und NTLM-Authentifizierung nutzen.

  Hinweis

  In Umgebungen, in denen die Organisation keine Kennworthashes synchronisieren kann oder Benutzer sich mithilfe von Smartcards anmelden, empfiehlt sich die Verwendung einer Ressourcengesamtstruktur in AD DS.

• Microsoft Entra Connect: Ein Tool zum Synchronisieren von lokalen Identitätsinformationen mit Microsoft Entra ID. Der Bereitstellungs-Assistent und die Anleitungen unterstützen Sie beim Konfigurieren von Voraussetzungen und Komponenten, die für die Verbindung erforderlich sind – einschließlich Synchronisierungs- und Anmeldevorgängen von Active Directory in Microsoft Entra ID.

• Active Directory: Verzeichnisdienst, der lokale Identitätsinformationen wie Benutzer- und Kontoinformationen sowie Sicherheitsinformationen wie Kennwörter speichert.

Implementieren der LDAP-Authentifizierung mit Microsoft Entra ID

• Erstellen und Konfigurieren einer Microsoft Entra Domain Services-Instanz

• Konfigurieren des virtuellen Netzwerks für eine Microsoft Entra Domain Services-Instanz

• Konfigurieren von Secure LDAP für eine von Microsoft Entra Domain Services verwaltete Domäne

• Erstellen einer ausgehenden Gesamtstruktur-Vertrauensstellung zu einer lokalen Domäne in Microsoft Entra Domäne Services