Проверка подлинности LDAP с помощью идентификатора Microsoft Entra

Протокол LDAP является протоколом приложения для работы с различными службами каталогов. Службы каталогов, такие как Active Directory, хранят сведения о пользователе и учетной записи, а также сведения о безопасности (например, пароли). Такие службы позволяют совместно использовать эту информацию с другими устройствами в сети. Корпоративные приложения (например, электронная почта, менеджеры по взаимоотношениям с клиентами (CRM) и программное обеспечение по управлению персоналом (HR)), могут использовать протокол LDAP для проверки подлинности, доступа и поиска информации.

Идентификатор Microsoft Entra поддерживает этот шаблон через доменные службы Microsoft Entra (AD DS). Это позволяет организациям, внедряющим стратегию с приоритетами в работе с облаком, модернизировать свою среду, перемещая локальные ресурсы LDAP в облако. Непосредственные выгоды:

• Интегрировано с идентификатором Microsoft Entra. Добавление изменений пользователей и групп или атрибутов в их объекты автоматически синхронизируется с клиентом Microsoft Entra с AD DS. Изменения объектов в локальная служба Active Directory синхронизируются с идентификатором Microsoft Entra, а затем с AD DS.

• Упрощение операций. Снижается необходимость сохранения и исправления локальных инфраструктур вручную.

• Надежность. Вы получаете управляемые высокодоступные службы

Используется, если

Существует потребность использовать проверку подлинности LDAP для приложения или службы.

Компоненты системы

• Пользователь: обращается в браузере к приложениям, зависящим от LDAP.

• Веб-браузер: интерфейс, с которым взаимодействует пользователь, для получения доступа к внешнему URL-адресу приложения.

• Виртуальная сеть: частная сеть в Azure, с помощью которой приложение прежних версий может использовать службы LDAP.

• Приложение прежних версий: рабочие нагрузки приложений или серверов, для которых требуется протокол LDAP, развернутые в виртуальной сети Azure или видимые IP-адресам экземпляров AD DS через сетевые маршруты.

• Идентификатор Microsoft Entra: синхронизирует сведения об удостоверениях из локального каталога организации с помощью Microsoft Entra Подключение.

• Доменные службы Microsoft Entra (AD DS): выполняет одностороннюю синхронизацию с идентификатором Microsoft Entra для предоставления доступа к центральному набору пользователей, групп и учетных данных. Экземпляр AD DS назначается виртуальной сети. Приложения, службы и виртуальные машины, которые размещены в Azure и подключаются к этой виртуальной сети, могут использовать стандартные функции AD DS (например, присоединение к домену, групповая политика и проверка подлинности Kerberos и NTLM).

  Примечание.

  В средах, в которых организация не может синхронизировать хэши паролей или пользователи выполняют вход с помощью смарт-карт, рекомендуется использовать лес ресурсов в AD DS.

• Microsoft Entra Подключение: средство синхронизации сведений о локальном удостоверении с идентификатором Microsoft Entra. Мастер развертывания и интерактивные интерфейсы помогают настроить необходимые компоненты и компоненты, необходимые для подключения, включая синхронизацию и вход из Active Directory в идентификатор Microsoft Entra.

• Active Directory: служба каталогов, в которой хранятся локальные сведения об удостоверениях, такие как информация о пользователе и учетной записи, а также сведения о безопасности, такие как пароли.

Реализация проверки подлинности LDAP с помощью идентификатора Microsoft Entra

• Создание и настройка экземпляра доменных служб Microsoft Entra

• Настройка виртуальной сети для экземпляра доменных служб Microsoft Entra

• Настройка защищенного ldap для управляемого домена доменных служб Microsoft Entra

• Создание исходящего доверия леса к локальному домену в доменных службах Microsoft Entra