Ez a cikk a helyszíni Active Directory (AD) környezet Azure-hálózattal való integrálásának lehetőségeit hasonlítja össze. Mindegyik lehetőséghez elérhető egy referenciaarchitektúra.
Számos vállalat használja az Active Directory Domain Services (AD DS) szolgáltatásokat a felhasználókhoz, számítógépekhez, alkalmazásokhoz vagy egyéb, biztonsági határral védett erőforrásokhoz társított identitások hitelesítésére. A címtár- és identitásszolgáltatások általában helyszíni üzemeltetésűek, ám ha az alkalmazás üzemeltetése részben a helyszínen, részben pedig az Azure-ban történik, akkor késés léphet fel a hitelesítési kérések az Azure-ból a helyszínre történő küldése során. A késés csökkenthető a címtár- és identitásszolgáltatások Azure-beli implementálásával.
Az Azure két megoldást kínál a címtár- és identitásszolgáltatások Azure-beli implementációjához:
A Microsoft Entra ID használatával hozzon létre egy Active Directory-tartományt a felhőben, és csatlakoztassa a helyi Active Directory tartományhoz. A Microsoft Entra Csatlakozás integrálja a helyszíni címtárakat a Microsoft Entra ID azonosítójával.
Kiterjesztheti meglévő helyszíni Active Directory-infrastruktúráját az Azure-ba, ha egy olyan virtuális gépet helyez üzembe az Azure-ban, amely tartományvezérlőként futtatja az AD DS-t. Ez az architektúra általában akkor használatos, amikor a helyszíni hálózatot és az Azure-beli virtuális hálózatot (VNet) VPN- vagy ExpressRoute-kapcsolat köti össze. Ennek az architektúrának több változata is lehetséges:
- Létrehozhat egy tartományt az Azure-ban, és csatlakoztathatja azt a helyszíni AD-erdőhöz.
- Létrehozhat egy külön erdőt az Azure-ban, amelyet a helyszíni erdő tartományai megbízhatónak tekintenek.
- Replikálhatja az Active Directory összevonási szolgáltatások (AD FS) egy üzemelő példányát az Azure-ba.
A következő szakaszokban a felsorolt lehetőségek részletes leírása szerepel.
Helyszíni tartományok integrálása a Microsoft Entra-azonosítóval
A Microsoft Entra ID használatával hozzon létre egy tartományt az Azure-ban, és csatolja egy helyszíni AD-tartományhoz.
A Microsoft Entra könyvtár nem a helyszíni címtár kiterjesztése. hanem egy ugyanazon objektumokat és identitásokat tartalmazó másolat. A helyszíni elemek módosításai a Microsoft Entra-azonosítóba lesznek másolva, a Microsoft Entra ID-ban végrehajtott módosítások azonban nem replikálódnak vissza a helyszíni tartományba.
A Microsoft Entra ID-t helyszíni címtár használata nélkül is használhatja. Ebben az esetben a Microsoft Entra ID az összes identitásinformáció elsődleges forrása, nem pedig egy helyszíni címtárból replikált adatokat tartalmaz.
Előnyök
- Nem kell fenntartania AD-infrastruktúrát a felhőben. A Microsoft Entra ID-t teljes mértékben a Microsoft kezeli és kezeli.
- A Microsoft Entra ID ugyanazokat az identitásadatokat biztosítja, amelyek a helyszínen elérhetők.
- A hitelesítés az Azure-ban is megtörténhet, ezáltal a külső alkalmazásoknak és a felhasználóknak ritkábban kell kapcsolatba lépniük a helyszíni tartománnyal.
Problémák
- Konfigurálnia kell a kapcsolatot a helyszíni tartománnyal, hogy a Microsoft Entra könyvtár szinkronizálva maradjon.
- Előfordulhat, hogy az alkalmazásokat újra kell írni a Microsoft Entra-azonosítón keresztüli hitelesítés engedélyezéséhez.
- Ha hitelesíteni szeretné a szolgáltatás- és számítógépfiókokat, a Microsoft Entra Domain Servicest is üzembe kell helyeznie.
Referenciaarchitektúra
Helyszíni erdőhöz csatlakozó AD DS az Azure-ban
Azure AD Domain Services- (AD DS) kiszolgálókat helyezhet üzembe az Azure-ban. Létrehozhat egy tartományt az Azure-ban, és csatlakoztathatja azt a helyszíni AD-erdőhöz.
Vegye figyelembe ezt a lehetőséget, ha olyan AD DS-funkciókat kell használnia, amelyeket jelenleg nem implementál a Microsoft Entra ID.
Előnyök
- Hozzáférést biztosít a helyszínen is elérhető azonosító adatokhoz.
- Felhasználói, szolgáltatás- és számítógépes fiókok hitelesítését a helyszíni környezetben és az Azure-ban is elvégezheti.
- Nincs szükség külön AD-erdő kezelésére. Az Azure-beli tartomány a helyi erdőhöz is tartozhat.
- A helyszíni csoportszabályzat-objektumok által meghatározott csoportszabályzatot az Azure-beli tartományra is alkalmazhatja.
Problémák
- Saját magának kell elvégeznie az AD DS-kiszolgálók és a tartomány üzembe helyezését és kezelését a felhőben.
- A felhőbeli tartománykiszolgálók és helyszínen futó kiszolgálók között előfordulhat némi szinkronizálási késés.
Referenciaarchitektúra
Külön erdővel rendelkező AD DS az Azure-ban
Helyezzen üzembe AD Domain Services- (AD DS-) kiszolgálókat az Azure-ban, de hozzon létre egy külön Active Directory-erdőt, amely a helyszíni erdőtől független. Ezt az erdőt a helyszíni erdő tartományai megbízhatónak tekintik.
Az architektúra gyakori használati módjai például a felhőben tárolt objektumok és identitások biztonsági elkülönítésének fenntartása, illetve az egyes tartományok migrálása a helyszínről a felhőbe.
Előnyök
- Helyszíni és külön, csak az Azure-hoz tartozó identitásokat is megvalósíthat.
- Nem kell replikációt végezni a helyszíni AD-erdőből az Azure-ba.
Problémák
- A helyszíni identitások Azure-beli hitelesítéshez több, a helyszíni AD-kiszolgálókhoz való hálózati ugrásra van szükség.
- Saját AD DS-kiszolgálókat és erdőt kell üzembe helyeznie a felhőben, és az erdők között megfelelő megbízhatósági kapcsolatokat kell létesítenie.
Referenciaarchitektúra
Az AD FS kiterjesztése az Azure-ra
Replikáljon az Active Directory összevonási szolgáltatások (AD FS) egy üzemelő példányát az Azure-ba az Azure-beli összetevők összevont hitelesítéséhez és engedélyezéséhez.
Az architektúra gyakori használati módjai a következők:
- Partnerszervezetek felhasználóinak hitelesítése és engedélyezése.
- A felhasználói hitelesítés engedélyezése a vállalati tűzfalon kívül futó webböngészőkből.
- A felhasználók hitelesített külső eszközökről, például mobileszközökről történő csatlakozásának engedélyezése.
Előnyök
- Kihasználhatja a jogcímbarát alkalmazások előnyeit.
- Lehetővé teszi, hogy megbízzon a külső partnerekben a hitelesítés tekintetében.
- Nagy hitelesítésiprotokoll-készletekkel is kompatibilis.
Problémák
- Saját kezűleg kell üzembe helyeznie AD DS, AD FS és AD FS webalkalmazás-proxy kiszolgálóit az Azure-ban.
- Az architektúra konfigurálása bonyolult lehet.
Referenciaarchitektúra