A helyszíni AD és az Azure integrálása

Ez a cikk a helyszíni Active Directory (AD) környezet Azure-hálózattal való integrálásának lehetőségeit hasonlítja össze. Mindegyik lehetőséghez elérhető egy referenciaarchitektúra.

Számos vállalat használja az Active Directory Domain Services (AD DS) szolgáltatásokat a felhasználókhoz, számítógépekhez, alkalmazásokhoz vagy egyéb, biztonsági határral védett erőforrásokhoz társított identitások hitelesítésére. A címtár- és identitásszolgáltatások általában helyszíni üzemeltetésűek, ám ha az alkalmazás üzemeltetése részben a helyszínen, részben pedig az Azure-ban történik, akkor késés léphet fel a hitelesítési kérések az Azure-ból a helyszínre történő küldése során. A késés csökkenthető a címtár- és identitásszolgáltatások Azure-beli implementálásával.

Az Azure két megoldást kínál a címtár- és identitásszolgáltatások Azure-beli implementációjához:

• A Microsoft Entra ID használatával hozzon létre egy Active Directory-tartományt a felhőben, és csatlakoztassa a helyi Active Directory tartományhoz. A Microsoft Entra Csatlakozás integrálja a helyszíni címtárakat a Microsoft Entra ID azonosítójával.

• Kiterjesztheti meglévő helyszíni Active Directory-infrastruktúráját az Azure-ba, ha egy olyan virtuális gépet helyez üzembe az Azure-ban, amely tartományvezérlőként futtatja az AD DS-t. Ez az architektúra általában akkor használatos, amikor a helyszíni hálózatot és az Azure-beli virtuális hálózatot (VNet) VPN- vagy ExpressRoute-kapcsolat köti össze. Ennek az architektúrának több változata is lehetséges:

  • Létrehozhat egy tartományt az Azure-ban, és csatlakoztathatja azt a helyszíni AD-erdőhöz.
  • Létrehozhat egy külön erdőt az Azure-ban, amelyet a helyszíni erdő tartományai megbízhatónak tekintenek.
  • Replikálhatja az Active Directory összevonási szolgáltatások (AD FS) egy üzemelő példányát az Azure-ba.

A következő szakaszokban a felsorolt lehetőségek részletes leírása szerepel.

Helyszíni tartományok integrálása a Microsoft Entra-azonosítóval

A Microsoft Entra ID használatával hozzon létre egy tartományt az Azure-ban, és csatolja egy helyszíni AD-tartományhoz.

A Microsoft Entra könyvtár nem a helyszíni címtár kiterjesztése. hanem egy ugyanazon objektumokat és identitásokat tartalmazó másolat. A helyszíni elemek módosításai a Microsoft Entra-azonosítóba lesznek másolva, a Microsoft Entra ID-ban végrehajtott módosítások azonban nem replikálódnak vissza a helyszíni tartományba.

A Microsoft Entra ID-t helyszíni címtár használata nélkül is használhatja. Ebben az esetben a Microsoft Entra ID az összes identitásinformáció elsődleges forrása, nem pedig egy helyszíni címtárból replikált adatokat tartalmaz.

Előnyök

• Nem kell fenntartania AD-infrastruktúrát a felhőben. A Microsoft Entra ID-t teljes mértékben a Microsoft kezeli és kezeli.
• A Microsoft Entra ID ugyanazokat az identitásadatokat biztosítja, amelyek a helyszínen elérhetők.
• A hitelesítés az Azure-ban is megtörténhet, ezáltal a külső alkalmazásoknak és a felhasználóknak ritkábban kell kapcsolatba lépniük a helyszíni tartománnyal.

Problémák

• Konfigurálnia kell a kapcsolatot a helyszíni tartománnyal, hogy a Microsoft Entra könyvtár szinkronizálva maradjon.
• Előfordulhat, hogy az alkalmazásokat újra kell írni a Microsoft Entra-azonosítón keresztüli hitelesítés engedélyezéséhez.
• Ha hitelesíteni szeretné a szolgáltatás- és számítógépfiókokat, a Microsoft Entra Domain Servicest is üzembe kell helyeznie.

Referenciaarchitektúra

• Helyi Active Directory-tartományok integrálása a Microsoft Entra-azonosítóval

Helyszíni erdőhöz csatlakozó AD DS az Azure-ban

Azure AD Domain Services- (AD DS) kiszolgálókat helyezhet üzembe az Azure-ban. Létrehozhat egy tartományt az Azure-ban, és csatlakoztathatja azt a helyszíni AD-erdőhöz.

Vegye figyelembe ezt a lehetőséget, ha olyan AD DS-funkciókat kell használnia, amelyeket jelenleg nem implementál a Microsoft Entra ID.

Előnyök

• Hozzáférést biztosít a helyszínen is elérhető azonosító adatokhoz.
• Felhasználói, szolgáltatás- és számítógépes fiókok hitelesítését a helyszíni környezetben és az Azure-ban is elvégezheti.
• Nincs szükség külön AD-erdő kezelésére. Az Azure-beli tartomány a helyi erdőhöz is tartozhat.
• A helyszíni csoportszabályzat-objektumok által meghatározott csoportszabályzatot az Azure-beli tartományra is alkalmazhatja.

Problémák

• Saját magának kell elvégeznie az AD DS-kiszolgálók és a tartomány üzembe helyezését és kezelését a felhőben.
• A felhőbeli tartománykiszolgálók és helyszínen futó kiszolgálók között előfordulhat némi szinkronizálási késés.

Referenciaarchitektúra

• Az Active Directory Domain Services (AD DS) kiterjesztése az Azure-ba

Külön erdővel rendelkező AD DS az Azure-ban

Helyezzen üzembe AD Domain Services- (AD DS-) kiszolgálókat az Azure-ban, de hozzon létre egy külön Active Directory-erdőt, amely a helyszíni erdőtől független. Ezt az erdőt a helyszíni erdő tartományai megbízhatónak tekintik.

Az architektúra gyakori használati módjai például a felhőben tárolt objektumok és identitások biztonsági elkülönítésének fenntartása, illetve az egyes tartományok migrálása a helyszínről a felhőbe.

Előnyök

• Helyszíni és külön, csak az Azure-hoz tartozó identitásokat is megvalósíthat.
• Nem kell replikációt végezni a helyszíni AD-erdőből az Azure-ba.

Problémák

• A helyszíni identitások Azure-beli hitelesítéshez több, a helyszíni AD-kiszolgálókhoz való hálózati ugrásra van szükség.
• Saját AD DS-kiszolgálókat és erdőt kell üzembe helyeznie a felhőben, és az erdők között megfelelő megbízhatósági kapcsolatokat kell létesítenie.

Referenciaarchitektúra

• Active Directory Domain Services- (AD DS-) erőforráserdő létrehozása az Azure-ban

Az AD FS kiterjesztése az Azure-ra

Replikáljon az Active Directory összevonási szolgáltatások (AD FS) egy üzemelő példányát az Azure-ba az Azure-beli összetevők összevont hitelesítéséhez és engedélyezéséhez.

Az architektúra gyakori használati módjai a következők:

• Partnerszervezetek felhasználóinak hitelesítése és engedélyezése.
• A felhasználói hitelesítés engedélyezése a vállalati tűzfalon kívül futó webböngészőkből.
• A felhasználók hitelesített külső eszközökről, például mobileszközökről történő csatlakozásának engedélyezése.

Előnyök

• Kihasználhatja a jogcímbarát alkalmazások előnyeit.
• Lehetővé teszi, hogy megbízzon a külső partnerekben a hitelesítés tekintetében.
• Nagy hitelesítésiprotokoll-készletekkel is kompatibilis.

Problémák

• Saját kezűleg kell üzembe helyeznie AD DS, AD FS és AD FS webalkalmazás-proxy kiszolgálóit az Azure-ban.
• Az architektúra konfigurálása bonyolult lehet.

Referenciaarchitektúra

• Az Active Directory összevonási szolgáltatások (AD FS) kiterjesztése az Azure-ba