Mengintegrasikan AD lokal dengan Azure

Artikel ini membandingkan opsi untuk mengintegrasikan lingkungan Active Directory (AD) lokal Anda dengan jaringan Azure. Untuk setiap opsi, tersedia arsitektur referensi yang lebih rinci.

Banyak organisasi menggunakan Active Directory Domain Services (AD DS) untuk mengautentikasi identitas yang terkait dengan pengguna, komputer, aplikasi, atau sumber daya lain yang termasuk dalam batas keamanan. Layanan direktori dan identitas biasanya dihosting secara lokal, tetapi jika aplikasi Anda dihosting sebagian lokal dan sebagian di Azure, mungkin terdapat latensi yang mengirim permintaan autentikasi dari Azure kembali ke lokal. Menerapkan direktori dan layanan identitas di Azure dapat mengurangi latensi ini.

Azure menyediakan dua solusi untuk menerapkan direktori dan layanan identitas di Azure:

• Gunakan ID Microsoft Entra untuk membuat domain Direktori Aktif di cloud dan menyambungkannya ke domain Active Directory lokal Anda. Microsoft Entra Koneksi mengintegrasikan direktori lokal Anda dengan ID Microsoft Entra.

• Perluas infrastruktur Active Directory lokal yang ada ke Azure, dengan menerapkan VM di Azure yang menjalankan AD DS sebagai Pengendali Domain. Arsitektur ini lebih umum saat jaringan lokal dan jaringan virtual Azure (VNet) dihubungkan oleh koneksi VPN atau ExpressRoute. Beberapa kemungkinan variasi arsitektur:

  • Buat domain di Azure dan gabungkan ke forest AD lokal Anda.
  • Buat forest terpisah di Azure yang dipercaya oleh domain di forest lokal Anda.
  • Replikasi penyebaran Active Directory Federation Services (AD FS) ke Azure.

Bagian selanjutnya menjelaskan masing-masing opsi ini secara lebih rinci.

Mengintegrasikan domain lokal Anda dengan ID Microsoft Entra

Gunakan ID Microsoft Entra untuk membuat domain di Azure dan menautkannya ke domain AD lokal.

Direktori Microsoft Entra bukan ekstensi direktori lokal. Sebaliknya, itu adalah salinan yang berisi objek dan identitas yang sama. Perubahan yang dilakukan pada item lokal ini disalin ke ID Microsoft Entra, tetapi perubahan yang dilakukan di ID Microsoft Entra tidak direplikasi kembali ke domain lokal.

Anda juga dapat menggunakan ID Microsoft Entra tanpa menggunakan direktori lokal. Dalam hal ini, MICROSOFT Entra ID bertindak sebagai sumber utama semua informasi identitas, daripada berisi data yang direplikasi dari direktori lokal.

Keuntungan

• Anda tidak perlu mempertahankan infrastruktur AD di cloud. ID Microsoft Entra sepenuhnya dikelola dan dikelola oleh Microsoft.
• MICROSOFT Entra ID menyediakan informasi identitas yang sama yang tersedia di tempat.
• Autentikasi dapat terjadi di Azure, yang mengurangi keharusan aplikasi eksternal dan pengguna untuk menghubungi domain lokal.

Tantangan

• Anda harus mengonfigurasi konektivitas dengan domain lokal Agar direktori Microsoft Entra tetap sinkron.
• Aplikasi mungkin perlu ditulis ulang untuk mengaktifkan autentikasi melalui ID Microsoft Entra.
• Jika Anda ingin mengautentikasi layanan dan akun komputer, Anda juga harus menyebarkan Microsoft Entra Domain Services.

Arsitektur referensi

• Mengintegrasikan domain Active Directory lokal dengan ID Microsoft Entra

AD DS di Azure digabungkan dengan forest lokal

Sebarkan server AD Domain Services (AD DS) ke Azure. Buat domain di Azure dan gabungkan ke forest AD lokal Anda.

Pertimbangkan opsi ini jika Anda perlu menggunakan fitur AD DS yang saat ini tidak diterapkan oleh ID Microsoft Entra.

Keuntungan

• Menyediakan akses ke informasi identitas yang sama yang tersedia secara lokal.
• Anda dapat mengautentikasi akun pengguna, layanan, serta komputer secara lokal dan di Azure.
• Anda tidak perlu mengelola forest AD yang terpisah. Domain di Azure dapat menjadi milik forest lokal.
• Anda dapat menerapkan kebijakan grup yang ditentukan oleh Objek Kebijakan Grup lokal ke domain di Azure.

Tantangan

• Anda harus menyebarkan dan mengelola server dan domain AD DS Anda sendiri di cloud.
• Mungkin terdapat beberapa latensi sinkronisasi antara server domain di cloud dan server yang berjalan secara lokal.

Arsitektur referensi

• Memperluas Active Directory Domain Services (AD DS) ke Azure

AD DS di Azure dengan forest terpisah

Sebarkan server AD Domain Services (AD DS) ke Azure, tetapi buat forest Active Directory terpisah yang terpisah dari forest lokal. Forest ini dipercaya oleh domain di forest lokal Anda.

Penggunaan umum untuk arsitektur ini termasuk mempertahankan pemisahan keamanan untuk objek dan identitas yang disimpan di cloud, dan memigrasikan domain individual dari lokal ke cloud.

Keuntungan

• Anda dapat menerapkan identitas lokal dan memisahkan identitas khusus Azure.
• Anda tidak perlu mereplikasi dari forest AD lokal ke Azure.

Tantangan

• Autentikasi dalam Azure untuk identitas lokal memerlukan hop jaringan tambahan ke server AD lokal.
• Anda harus menyebarkan server AD DS dan forest Anda sendiri di cloud, dan membangun hubungan kepercayaan yang sesuai antar forest.

Arsitektur referensi

• Membuat forest sumber daya Active Directory Domain Services (AD DS) di Azure

Memperluas AD FS ke Azure

Replikasi penyebaran Active Directory Federation Services (AD FS) ke Azure untuk melakukan autentikasi dan otorisasi federasi untuk komponen yang berjalan di Azure.

Penggunaan umum untuk arsitektur ini:

• Mengautentikasi dan mengotorisasi pengguna dari organisasi mitra.
• Memungkinkan pengguna mengautentikasi dari browser web yang berjalan di luar firewall organisasi.
• Memungkinkan pengguna tersambung dari perangkat eksternal resmi seperti perangkat seluler.

Keuntungan

• Anda dapat memanfaatkan aplikasi yang memahami klaim.
• Menyediakan kemampuan untuk memercayai mitra eksternal untuk autentikasi.
• Kompatibilitas dengan serangkaian besar protokol autentikasi.

Tantangan

• Anda harus menerapkan server AD DS, AD FS, dan AD FS Web Application Proxy Anda sendiri di Azure.
• Arsitektur ini dapat menjadi rumit untuk dikonfigurasi.

Arsitektur referensi

• Memperluas Active Directory Federation Services (AD FS) ke Azure