Útmutató identitással kapcsolatos döntésekhez
Bármilyen – akár helyi, hibrid, vagy csak felhőalapú – környezetben az informatikai részlegnek felügyelnie kell, mely rendszergazdák, felhasználók és csoportok rendelkezhetnek hozzáféréssel az erőforrásokhoz. Az identitás- és hozzáférés-kezelési (IAM-) szolgáltatások lehetővé teszik a hozzáférés-vezérlést a felhőben.
Ugrás a következőre: Identitásintegrációs követelmények | meghatározása A felhőbeli alapkonfiguráció | címtár-szinkronizálása | felhőben üzemeltetett tartományi szolgáltatások | Active Directory összevonási szolgáltatások (AD FS) | További információ
A felhőalapú környezetekben több identitáskezelési lehetőség érhető el, amelyek költségek és összetettség tekintetében eltérnek. A felhőalapú identitásszolgáltatások strukturálásának egyik kulcsfontosságú tényezője a már meglévő helyszíni identitásinfrastruktúrával való integráció szükséges szintje.
A Microsoft Entra ID alapszintű hozzáférés-vezérlést és identitáskezelést biztosít az Azure-erőforrásokhoz. Ha a szervezet helyi Active Directory infrastruktúrája összetett erdőstruktúrával vagy testre szabott szervezeti egységekkel (OU-kkal) rendelkezik, a felhőalapú számítási feladatok címtár-szinkronizálást igényelhetnek a Microsoft Entra-azonosítóval a helyszíni és a felhőkörnyezetek közötti identitások, csoportok és szerepkörök konzisztens készletéhez. Emellett a régi hitelesítési folyamatokat használó alkalmazások támogatásához szükség lehet az Active Directory tartományi szolgáltatások (AD DS) felhőbe történő telepítésére.
A felhőalapú identitáskezelés egy iteratív folyamat. Például használhat olyan natív felhőalapú megoldást, amelyben egy kis felhasználói csoport és a megfelelő szerepkörök vannak a kezdeti üzembe helyezéshez. Ahogy a migrálás kiforrottá válik, szükség lehet az identitáskezelési megoldás címtár-szinkronizálással történő integrálására vagy tartományi szolgáltatások hozzáadására a felhőalapú környezetek részeként. Tekintse át újra az identitásstratégiát a migrálási folyamat minden egyes ismétlésekor.
Az identitáshoz kapcsolódó integrációs követelmények meghatározása
| Question | A felhő alapkonfigurációja | Címtár-szinkronizálás | A felhőben üzemeltetett tartományi szolgáltatások | Active Directory összevonási szolgáltatások |
|---|---|---|---|---|
| Jelenleg nem rendelkezik helyszíni címtárszolgáltatással? | Igen | No | No | Nem |
| A számítási feladatokhoz szükséges közös felhasználók és csoportok használata a felhőben és a helyszíni környezetben? | Nem | Igen | No | Nem |
| A számítási feladatok olyan régi hitelesítési mechanizmusoktól függnek, mint például a Kerberos vagy az NTLM? | Nem | No | Igen | Igen |
| Egyszeri bejelentkezés szükséges több identitásszolgáltató között? | Nem | No | No | Igen |
Az Azure-ba történő migrálás megtervezésének részeként meg kell határoznia a meglévő identitáskezelés és felhőalapú identitásszolgáltatások integrálásának legjobb módját. Az alábbiakban gyakori integrációs helyzetek következnek.
A felhő alapkonfigurációja
A Microsoft Entra ID egy natív identitás- és hozzáférés-kezelési (IAM) rendszer, amely hozzáférést biztosít a felhasználóknak és csoportoknak az Azure-platform felügyeleti funkcióihoz. Ha a szervezet nem rendelkezik jelentős helyszíni identitáskezelési megoldással, és a számítási feladatokat úgy tervezi áttelepíteni, hogy kompatibilisek legyenek a felhőalapú hitelesítési mechanizmusokkal, érdemes elkezdeni az identitásinfrastruktúra fejlesztését a Microsoft Entra ID alapján.
Felhőbeli alapkonfigurációk: A tisztán natív felhőbeli identitásinfrastruktúra használata a következőket feltételezi:
- A felhőalapú erőforrások nem függnek majd helyszíni címtárszolgáltatásoktól vagy Active Directory-kiszolgálóktól, vagy a számítási feladatok módosíthatók oly módon, hogy ezek a függőségek eltávolíthatók legyenek.
- A migrált alkalmazás- vagy szolgáltatásterhelések támogatják a Microsoft Entra ID-val kompatibilis hitelesítési mechanizmusokat, vagy egyszerűen módosíthatók a támogatásuk érdekében. A Microsoft Entra ID olyan internetes hitelesítési mechanizmusokra támaszkodik, mint az SAML, az OAuth és az OpenID Csatlakozás. Az olyan meglévő számítási feladatok esetében, amelyek például Kerberos vagy NTLM protokollt használó, régi hitelesítési módszerektől függnek, átdolgozásra lehet szükség, még mielőtt a felhőbe való migrálás megtörténik a felhő alapkonfigurációs mintájának használatával.
Tipp.
Az identitásszolgáltatások Microsoft Entra ID-ra való teljes migrálása szükségtelenné teszi a saját identitásinfrastruktúra fenntartását, ami jelentősen leegyszerűsíti az informatikai felügyeletet.
A Microsoft Entra ID azonban nem helyettesíti a hagyományos helyi Active Directory infrastruktúrát. Előfordulhat, hogy az olyan címtárszolgáltatások, mint a régi hitelesítési módszerek, a számítógép-kezelés vagy a csoportházirend nem lesznek elérhetők anélkül, hogy további eszközöket vagy szolgáltatásokat telepítene a felhőbe.
Az olyan forgatókönyvekkel kapcsolatban, ahol a helyszíni identitásokat vagy a címtárszolgáltatásokat integrálni kell a felhőkörnyezetekkel, tekintse meg a címtár-szinkronizálás és felhőben üzemeltetett tartományi szolgáltatások alább bemutatott mintáit.
Címtár-szinkronizálás
A meglévő helyszíni Active Directory-infrastruktúrával rendelkező szervezetek számára általában a címtár-szinkronizálás a legjobb megoldás a meglévő felhasználó- és hozzáférés-kezelés megőrzésére a felhőerőforrások kezeléséhez szükséges hozzáférés-vezérlési (IAM-) képességek biztosítása mellett. Ez a folyamat folyamatosan replikálja a címtáradatokat a Microsoft Entra ID és a helyszíni címtárszolgáltatások között, lehetővé téve a felhasználók közös hitelesítő adatait, valamint egy egységes identitást, szerepkört és engedélyrendszert a teljes szervezetben.
Megjegyzés:
A Microsoft 365-öt elfogadó szervezetek már implementálhatták a címtár-szinkronizálást helyi Active Directory infrastruktúrájuk és a Microsoft Entra-azonosítójuk között.
Címtár-szinkronizálási előfeltételek: Szinkronizált identitásmegoldás használata a következőket feltételezi:
- Fenn kell tartani a felhasználói fiókok és csoportok egy közös készletét a felhőalapú és a helyszíni informatikai infrastruktúrában.
- A helyszíni identitásszolgáltatások támogatják a Microsoft Entra-azonosítóval történő replikációt.
Tipp.
A helyi Active Directory kiszolgálók által biztosított örökölt hitelesítési mechanizmusoktól függő, és a Microsoft Entra ID által nem támogatott felhőalapú számítási feladatokhoz továbbra is szükség lesz a helyszíni tartományi szolgáltatásokhoz vagy a felhőkörnyezetben lévő virtuális kiszolgálókhoz való kapcsolódásra, amelyek ezeket a szolgáltatásokat nyújtják. A helyszíni identitásszolgáltatások használatával függőség lép fel a felhő és a helyszíni hálózatok közötti kapcsolatot illetően.
A felhőben üzemeltetett tartományi szolgáltatások
Ha olyan számítási feladatokkal rendelkezik, amelyek régi protokollokat, például Kerberost vagy NTLM-et használó, jogcímalapú hitelesítéstől függnek, és ezeket a számítási feladatokat nem lehet átdolgozni úgy, hogy elfogadják a modern hitelesítési protokollokat (pl. SAML vagy OAuth), a felhőalapú üzembe helyezés részeként szükséges lehet a tartományi szolgáltatások egy részének a felhőbe történő migrálása.
Ez a minta magában foglalja az Active Directoryt futtató virtuális gépek felhőalapú virtuális hálózatokba történő telepítését annak érdekében, hogy az Active Directory Domain Services (AD DS) biztosítva legyen a felhőben található erőforrások számára. A felhőhálózatba migrált meglévő alkalmazásoknak és szolgáltatásoknak apróbb módosításokkal képeseknek kell lenniük a felhőben üzemeltetett címtárkiszolgálók használatára.
Valószínű, hogy a meglévő címtárak és tartományi szolgáltatások továbbra is a helyszíni környezetben lesznek használatban. A jelen forgatókönyv esetében javasolt címtár-szinkronizálással biztosítani a felhasználók és szerepkörök egy közös készletét a felhő és a helyszíni környezetek számára egyaránt.
Felhőben üzemeltetett tartományi szolgáltatásokra vonatkozó feltételezések: A címtármigrálás végrehajtása a következőket feltételezi:
- A számítási feladatok jogcímalapú hitelesítéstől függnek, amely olyan protokollokat használ, mint a Kerberos vagy az NTLM.
- A számítási feladatokat futtató virtuális gépeknek csatlakoztatva kell lenniük a tartományhoz az Active Directory-csoportházirend kezelése vagy alkalmazása érdekében.
Tipp.
Bár a címtár migrálása és a felhőben üzemeltetett tartományi szolgáltatások együttesen nagy rugalmasságot biztosítanak a meglévő számítási feladatok migrálása terén, ha felhőalapú virtuális hálózatán virtuális gépeket használ a szolgáltatások biztosításához, azzal ténylegesen összetettebbé teszi az informatikai felügyeleti feladatokat. Ahogy a felhőre való migrálással kapcsolatban egyre nagyobb tapasztalatra tesz szert, érdemes megvizsgálni a kiszolgálók fenntartásának hosszú távú karbantartási követelményeit. Fontolja meg, hogy a meglévő számítási feladatok újrabontása a felhőbeli identitásszolgáltatókkal, például a Microsoft Entra ID-val való kompatibilitás érdekében csökkentheti-e ezeknek a felhőalapú kiszolgálóknak a szükségességét.
Active Directory összevonási szolgáltatások
Az identitás-összevonás megbízhatósági kapcsolatokat hoz létre több identitáskezelő rendszer között a közös hitelesítési és engedélyezési képességek biztosításához. Ezt követően az egyszeri bejelentkezési képességek több tartományban is támogathatók a szervezeten belül, vagy az ügyfelek és üzleti partnerek által felügyelt identitásrendszerekben.
A Microsoft Entra ID támogatja helyi Active Directory tartományok összevonását Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával. Az Azure-beli megvalósítás módjával kapcsolatban az AD FS Azure-ra történő kiterjesztését bemutató szakaszban talál további információt.
Tudjon meg többet
Az Azure-beli identitásszolgáltatással kapcsolatos további tudnivalókért lásd:
- Microsoft Entra-azonosító. A Microsoft Entra ID felhőalapú identitásszolgáltatásokat biztosít. Lehetővé teszi az Azure-erőforrások hozzáférhetőségének kezelését, valamint az identitáskezelés, az eszközregisztráció, a felhasználóátadás, az alkalmazáshozzáférés-vezérlés és az adatvédelem felügyeletét.
- Microsoft Entra Csatlakozás. A Microsoft Entra Csatlakozás eszköz lehetővé teszi a Microsoft Entra-példányok és a meglévő identitáskezelési megoldások összekapcsolását, lehetővé téve a meglévő címtár szinkronizálását a felhőben.
- Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC). Az Azure RBAC segítségével hatékonyan és biztonságosan kezelhető az erőforrás-hozzáférés a felügyeleti síkon. A feladatok és feladatkörök szerepkörökbe vannak szervezve, és a felhasználók ezekhez a szerepkörökhöz vannak hozzárendelve. Az Azure RBAC segítségével szabályozhatja, hogy ki rendelkezzen hozzáféréssel egy adott erőforráshoz, és azt is, hogy a felhasználó milyen műveleteket végezhet el az adott erőforráson.
- Microsoft Entra Privileged Identity Management (PIM). A PIM csökkenti az erőforrás-hozzáférési jogosultságok expozíciós idejét, illetve jelentések és riasztások útján növeli ezek használatának átláthatóságát. A felhasználókat időhöz igazított jogosultságokra korlátozza, korlátozott időtartamra rendeli hozzá a jogosultságokat, majd automatikusan visszavonta ezeket a jogosultságokat.
- Integrálja helyi Active Directory tartományokat a Microsoft Entra-azonosítóval. Ez a referenciaarchitektúra példaként szolgál a címtár-szinkronizálásra helyi Active Directory tartományok és a Microsoft Entra-azonosító között.
- Az Azure Active Directory Domain Services (AD DS) kiterjesztése az Azure-ra. Ez a referenciaarchitektúra egy olyan példát mutat be, amelyben az AD DS-kiszolgálók üzembe helyezése a tartományi szolgáltatások felhőalapú erőforrásokra történő kiterjesztését szolgálja.
- Az Active Directory összevonási szolgáltatások (AD FS) kiterjesztése az Azure-ra. Ez a referenciaarchitektúra Active Directory összevonási szolgáltatások (AD FS) (AD FS) konfigurálja az összevont hitelesítést és engedélyezést a Microsoft Entra-címtárral.
Következő lépések
Az identitás csak egy az infrastruktúra alapösszetevői közül, amelyekkel kapcsolatban architekturális döntéseket kell meghozni a felhőbevezetés folyamata során. Az architekturális döntésekkel kapcsolatos útmutatók áttekintése tájékoztatást nyújt az egyéb típusú infrastruktúrák esetében szükséges tervezési döntésekhez használt alternatív mintákkal és modellekkel kapcsolatban.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: