Vergleichen von Microsoft-Identitätsanbietern
Ein Identitätsanbieter (IdP) ist ein System, das digitale Identitäten erstellt, verwaltet und speichert. Microsoft Entra ID ist ein Beispiel. Die Funktionen und Features von Identitätsanbietern können sich unterscheiden. Dies sind die drei gängigsten Komponenten:
- ein Repository von Benutzeridentitäten
- ein Authentifizierungssystem
- Sicherheitsprotokolle, die vor Eindringversuchen schützen
Ein Identitätsanbieter überprüft Benutzeridentitäten mithilfe eines oder mehrerer Authentifizierungsfaktoren, z. B. einem Kennwort- oder Fingerabdruckscan. Ein Identitätsanbieter ist oftmals ein vertrauenswürdiger Anbieter für die Verwendung mit einmaligem Anmelden (Single Sign-On, SSO), um auf andere Ressourcen zuzugreifen. SSO verbessert die Benutzerfreundlichkeit, indem es die Kennwortmüdigkeit verringert. Darüber hinaus verringert einmaliges Anmelden die potenzielle Angriffsfläche, was wiederum zur Verbesserung der Sicherheit beiträgt. Identitätsanbieter können Verbindungen zwischen Cloud Computing-Ressourcen und Benutzern erleichtern, wodurch für Benutzer die Notwendigkeit verringert wird, sich bei Verwendung mobiler Anwendungen und Roaminganwendungen erneut zu authentifizieren.
Gängige Identitätsprotokolle
OpenID-Anbieter: OpenID Connect (OIDC) ist ein Authentifizierungsprotokoll, das auf dem OAuth2-Protokoll basiert (dieses wird für die Autorisierung verwendet). OIDC verwendet die standardisierten Nachrichtenflows von OAuth2 zum Bereitstellen von Identitätsdiensten. Insbesondere gibt eine Systementität (als OpenID-Anbieter bezeichnet) Identitätstoken im JSON-Format über eine RESTful HTTP-API an die auf OIDC-vertrauenden Parteien aus.
SAML-Identitätsanbieter: Security Assertion Markup Language (SAML) ist ein offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter. SAML ist eine XML-basierte Markupsprache für Sicherheitsassertionen – Anweisungen, mit denen Dienstanbieter Entscheidungen zur Zugriffssteuerung treffen.
Vergleich von Identitätsanbietern in Microsoft Azure
Microsoft stellt, ausgehend von Ihren geschäftlichen Anforderungen und Zielen, verschiedene Tools für Identität zur Verfügung. Microsoft Entra ID sollte Ihr Ausgangspunkt für eine cloudbasierte Identität sein. Andere Dienste können unterstützende Funktionen bereitstellen, während Sie von lokaler Implementierung zur Cloud wechseln.
| Microsoft Entra Domain Services | Microsoft Entra ID | Active Directory Domain Services |
|---|---|---|
| Stellt verwaltete Domänendienste mit einer Teilmenge vollständig kompatibler herkömmlicher AD DS-Features bereit, z. B. Domänenbeitritt, Gruppenrichtlinie, LDAP und Kerberos-/NTLM-Authentifizierung. | Cloudbasierte Verwaltung von Identitäten und mobilen Geräten, die Benutzerkonto- und Authentifizierungsdienste für Ressourcen wie Microsoft 365, das Azure-Portal oder SaaS-Anwendungen bereitstellt. | Für Unternehmen geeigneter LDAP-Server (Lightweight Directory Access Protocol) mit wichtigen Features, z. B. Identität und Authentifizierung, Computerobjektverwaltung, Gruppenrichtlinie und Vertrauensstellungen. |
Active Directory Domain Services (AD DS)
Für Unternehmen geeigneter LDAP-Server (Lightweight Directory Access Protocol) mit wichtigen Features, z. B. Identität und Authentifizierung, Computerobjektverwaltung, Gruppenrichtlinie und Vertrauensstellungen.
- AD DS ist eine zentrale Komponente in vielen Organisationen mit einer lokalen IT-Umgebung und verfügt über wichtige Features für die Bereiche Benutzerkontoauthentifizierung und Computerverwaltung.
Microsoft Entra ID
Cloudbasierte Verwaltung von Identitäten und mobilen Geräten, die Benutzerkonto- und Authentifizierungsdienste für Ressourcen wie Microsoft 365, das Azure-Portal oder SaaS-Anwendungen bereitstellt.
- Microsoft Entra ID kann mit einer lokalen AD DS-Umgebung synchronisiert werden, um eine zentrale Identität für Benutzer bereitzustellen, die in der Cloud nativ funktioniert.
Microsoft Entra Domain Services
Stellt verwaltete Domänendienste mit einer Teilmenge vollständig kompatibler herkömmlicher AD DS-Features bereit, z. B. Domänenbeitritt, Gruppenrichtlinie, LDAP und Kerberos-/NTLM-Authentifizierung.
- Microsoft Entra DS lässt sich in Microsoft Entra ID integrieren, das wiederum mit einer lokalen AD DS-Umgebung synchronisiert werden kann. Dank dieser Option können Anwendungsfälle mit zentraler Identität auf herkömmliche Webanwendungen erweitert werden, die in Azure im Rahmen einer Lift & Shift-Strategie ausgeführt werden.