Freigeben über


LDAP-Authentifizierung mit Microsoft Entra-ID

Lightweight Directory Access Protocol (LDAP) ist ein Anwendungsprotokoll für die Arbeit mit verschiedenen Verzeichnisdiensten. Verzeichnisdienste wie Active Directory, Speichern von Benutzer- und Kontoinformationen und Sicherheitsinformationen wie Kennwörtern. Der Dienst ermöglicht es dann, die Informationen für andere Geräte im Netzwerk freizugeben. Unternehmensanwendungen wie E-Mail, Customer Relationship Manager (CRMs) und Hr Resources (HR)-Software können LDAP zum Authentifizieren, Zugreifen und Auffinden von Informationen verwenden.

Microsoft Entra-ID unterstützt dieses Muster über Microsoft Entra Domain Services (AD DS). Es ermöglicht Organisationen, die eine Cloud-first-Strategie einführen, ihre Umgebung zu modernisieren, indem sie ihre lokalen LDAP-Ressourcen in die Cloud verschieben. Die unmittelbaren Vorteile sind:

  • Integriert in Microsoft Entra ID. Ergänzungen von Benutzern und Gruppen oder Attributänderungen an ihren Objekten werden automatisch von Ihrem Microsoft Entra-Mandanten mit AD DS synchronisiert. Änderungen an Objekten in lokalem Active Directory werden mit Microsoft Entra-ID und dann mit AD DS synchronisiert.

  • Vereinfachen Sie Vorgänge. Verringert die Notwendigkeit, lokale Infrastrukturen manuell aufzubewahren und zu patchen.

  • Zuverlässig. Sie erhalten verwaltete, hoch verfügbare Dienste

Verwenden wenn

Für eine Anwendung oder einen Dienst muss die LDAP-Authentifizierung verwendet werden.

Diagramm der Architektur

Komponenten des Systems

  • Benutzer: Greift über einen Browser auf LDAP-abhängige Anwendungen zu.

  • Webbrowser: Die Schnittstelle, mit der der Benutzer interagiert, um auf die externe URL der Anwendung zuzugreifen.

  • Virtuelles Netzwerk: Ein privates Netzwerk in Azure, über das die ältere Anwendung LDAP-Dienste nutzen kann.

  • Ältere Anwendungen: Anwendungen oder Serverarbeitslasten, die LDAP entweder in einem virtuellen Netzwerk in Azure benötigen oder über Netzwerkrouten Zugriff auf die IP-Adressen von AD DS-Instanzen haben.

  • Microsoft Entra-ID: Synchronisiert Identitätsinformationen aus dem lokalen Verzeichnis der Organisation über Microsoft Entra Connect.

  • Microsoft Entra Domain Services (AD DS): Führt eine unidirektionale Synchronisierung von Microsoft Entra ID aus, um Zugriff auf einen zentralen Satz von Benutzern, Gruppen und Anmeldeinformationen zu ermöglichen. Die AD DS-Instanz wird einem virtuellen Netzwerk zugewiesen. Anwendungen, Dienste und VMs in Azure, die eine Verbindung mit dem virtuellen Netzwerk herstellen, das AD DS zugewiesen ist, können allgemeine AD DS-Features wie LDAP, Domänenbeitritt, Gruppenrichtlinie, Kerberos und NTLM-Authentifizierung verwenden.

    Hinweis

    In Umgebungen, in denen die Organisation keine Kennworthashes synchronisieren kann oder Benutzer sich mithilfe von Smartcards anmelden, empfiehlt sich die Verwendung einer Ressourcengesamtstruktur in AD DS.

  • Microsoft Entra Connect: Ein Tool zum Synchronisieren lokaler Identitätsinformationen mit der Microsoft Entra-ID. Der Bereitstellungs-Assistent und die geführten Erfahrungen helfen Ihnen beim Konfigurieren von Voraussetzungen und Komponenten, die für die Verbindung erforderlich sind, einschließlich Synchronisierung und Anmeldung von Active Directory zu Microsoft Entra ID.

  • Active Directory: Verzeichnisdienst, der lokale Identitätsinformationen wie Benutzer- und Kontoinformationen sowie Sicherheitsinformationen wie Kennwörter speichert.

Implementieren der LDAP-Authentifizierung mit Microsoft Entra-ID