Identitas dan Layanan Kontrol Akses
Di unit ini, Anda mempelajari tentang cara mengautentikasi pengguna dan menyediakan akses ke berbagi file Azure. Azure Files mendukung autentikasi berbasis identitas untuk pelanggan yang mengakses berbagi file melalui SMB. Selain itu, pengguna SMB juga dapat mengautentikasi menggunakan kunci akun penyimpanan. Berbagi file NFS mengandalkan autentikasi tingkat jaringan dan oleh karena itu hanya dapat diakses melalui jaringan terbatas. Menggunakan berbagi file NFS selalu memerlukan beberapa tingkat konfigurasi jaringan. Akses berbagi file melalui REST API menggunakan tanda tangan akses bersama dan kunci akun penyimpanan untuk operasi manajemen data tertentu.
Autentikasi berbasis identitas: Pelanggan dapat menggunakan akses berbasis identitas melalui protokol autentikasi Kerberos. Layanan Direktori Aktif menyimpan informasi akun pengguna seperti nama pengguna, kata sandi, informasi kontak, dan sebagainya. Azure Files terintegrasi dengan layanan direktori umum untuk memverifikasi detail akun pengguna dan mengaktifkan autentikasi yang berhasil. Untuk SMB, autentikasi berbasis identitas adalah opsi yang paling aman dan direkomendasikan.
Kunci akun penyimpanan: Pengguna dengan kunci akun penyimpanan dapat mengakses berbagi file Azure dengan izin pengguna super melalui SMB dan REST. Idealnya, hanya administrator pengguna super yang harus menggunakan kunci akun penyimpanan karena mereka melewati semua pembatasan akses. Untuk berbagi file yang digunakan oleh pelanggan perusahaan, kunci akun penyimpanan bukan merupakan mekanisme yang scalable atau aman untuk akses di seluruh organisasi dan oleh karena itu tidak direkomendasikan. Praktik terbaik keamanan yang direkomendasikan adalah menghindari berbagi kunci akun penyimpanan dan menggunakan autentikasi berbasis identitas.
Tanda tangan akses bersama: Pelanggan yang mengakses melalui REST dapat menggunakan tanda tangan akses bersama (SAS) untuk mengautentikasi dengan Azure Files. Tanda tangan akses bersama digunakan dalam skenario tertentu di mana vendor perangkat lunak independen mengembangkan aplikasi REST API dan menggunakan Azure Files sebagai solusi penyimpanan. Mereka juga digunakan ketika mitra internal memerlukan akses melalui REST untuk operasi manajemen data. Tanda tangan akses bersama adalah URI yang memberikan hak akses terbatas ke sumber daya Azure Storage. Anda dapat menggunakan tanda tangan akses bersama untuk memberi klien akses ke sumber daya akun penyimpanan tertentu tanpa harus memberi mereka akses ke kunci akun penyimpanan Anda.
Autentikasi berbasis identitas
Azure Files mendukung autentikasi berbasis identitas untuk berbagi file SMB menggunakan protokol Kerberos. Saat identitas yang terkait dengan pengguna atau aplikasi yang berjalan di klien mencoba mengakses data di berbagi file Azure, permintaan dikirim ke layanan domain untuk mengautentikasi identitas. Jika autentikasi berhasil, token Kerberos akan dikembalikan. Klien mengirim permintaan yang menyertakan token Kerberos, dan berbagi file Azure menggunakan token tersebut untuk mengotorisasi permintaan. Berbagi file Azure hanya menerima token Kerberos, bukan mengakses informasi masuk.
Azure Files mendukung metode autentikasi berikut untuk berbagi file SMB:
Active Directory Domain Services (AD DS) lokal: Mengaktifkan autentikasi AD DS untuk berbagi file Azure memungkinkan pengguna untuk mengautentikasi menggunakan kredensial AD DS lokal mereka. AD DS lokal harus disinkronkan ke ID Microsoft Entra menggunakan sinkronisasi Microsoft Entra Koneksi. Hanya pengguna hibrid yang ada di AD DS lokal dan ID Microsoft Entra yang dapat diautentikasi dan diotorisasi untuk akses berbagi file Azure. Pelanggan perlu menyiapkan pengendali domain dan domain mereka bergabung dengan komputer atau komputer virtual (VM) mereka. Pengontrol domain dapat dihosting di tempat atau di VM, tetapi klien harus memiliki garis pandang ke pengendali domain, baik di jaringan lokal atau di jaringan virtual yang sama.
Microsoft Entra Domain Services: Untuk autentikasi Microsoft Entra Domain Services, pelanggan harus mengaktifkan Layanan Domain lalu bergabung dengan domain VM yang ingin mereka akses data filenya. VM yang bergabung dengan domain harus berada di jaringan virtual yang sama dengan Layanan Domain. Namun, pelanggan tidak perlu membuat identitas di Domain Services untuk mewakili akun penyimpanan. Proses pengaktifan membuat identitas di latar belakang. Selain itu, semua pengguna yang ada di MICROSOFT Entra ID dapat diautentikasi dan diotorisasi. Pengguna hanya dapat berupa cloud atau hibrid. Platform ini mengelola sinkronisasi dari ID Microsoft Entra ke Layanan Domain tanpa memerlukan konfigurasi pengguna apa pun.
Microsoft Entra Kerberos untuk identitas pengguna hibrid: Azure Files mendukung autentikasi Microsoft Entra Kerberos (sebelumnya Azure AD Kerberos) untuk identitas pengguna hibrid, yang merupakan identitas AD lokal yang disinkronkan ke cloud. Konfigurasi ini menggunakan ID Microsoft Entra untuk menerbitkan tiket Kerberos untuk mengakses berbagi file melalui SMB. Ini berarti pengguna akhir dapat mengakses berbagi file Azure melalui internet tanpa memerlukan garis pandang ke pengendali domain dari Microsoft Entra hybrid joined dan VM yang bergabung dengan Microsoft Entra. Selain itu, dengan kemampuan ini, pelanggan Azure Virtual Desktop dapat membuat berbagi file Azure untuk menyimpan kontainer profil pengguna yang dapat diakses identitas pengguna hibrid.
Autentikasi AD untuk klien Linux: Autentikasi untuk klien Linux didukung melalui AD DS atau Microsoft Entra Domain Services.
Kasus penggunaan umum untuk autentikasi berbasis identitas
Berikut adalah beberapa skenario umum untuk menggunakan autentikasi berbasis identitas:
Migrasi dari server file lokal ke Azure Files: Mengganti server file lokal adalah kasus penggunaan transformasi TI umum untuk banyak pelanggan. Menggunakan AD DS lokal untuk memungkinkan migrasi tanpa hambatan ke file Azure tidak hanya memberikan pengalaman pengguna yang baik, tetapi juga memungkinkan pengguna mengakses berbagi file dan data menggunakan kredensial mereka saat ini dengan bergabungnya domain ke mesin mereka.
Memindahkan aplikasi perusahaan ke cloud: Saat pelanggan memindahkan aplikasi native lokal mereka ke cloud, autentikasi berbasis identitas dengan Azure Files menghapus kebutuhan mengubah mekanisme autentikasi Anda untuk mendukung aplikasi cloud.
Cadangan dan pemulihan bencana: Azure Files dapat bertindak sebagai sistem penyimpanan cadangan untuk server file lokal. Mengonfigurasi autentikasi yang tepat membantu menerapkan kontrol akses selama skenario pemulihan bencana.