Wybieranie odpowiedniej metody uwierzytelniania dla rozwiązania do obsługi tożsamości hybrydowej usługi Azure Active Directory
Wybranie właściwej metody uwierzytelniania jest pierwszą kwestią dla organizacji, które chcą przenieść swoje aplikacje do chmury. Nie podejmuj tej decyzji lekko, z następujących powodów:
Jest to pierwsza decyzja dla organizacji, która chce przejść do chmury.
Metoda uwierzytelniania jest krytycznym składnikiem obecności organizacji w chmurze. Kontroluje dostęp do wszystkich danych i zasobów w chmurze.
Jest to podstawa wszystkich innych zaawansowanych funkcji zabezpieczeń i środowiska użytkownika w Azure AD.
Tożsamość to nowa płaszczyzna sterowania zabezpieczeń IT, dlatego uwierzytelnianie jest ochroną dostępu organizacji do nowego świata chmury. Organizacje potrzebują płaszczyzny kontroli tożsamości, która wzmacnia bezpieczeństwo i chroni aplikacje w chmurze przed intruzami.
Uwaga
Zmiana metody uwierzytelniania wymaga planowania, testowania i potencjalnie przestoju. Wdrożenie etapowe to doskonały sposób testowania migracji użytkowników z federacji do uwierzytelniania w chmurze.
Poza zakresem
Organizacje, które nie mają istniejącego miejsca w katalogu lokalnym, nie są głównym tematem tego artykułu. Zazwyczaj te firmy tworzą tożsamości tylko w chmurze, co nie wymaga rozwiązania do obsługi tożsamości hybrydowej. Tożsamości tylko w chmurze istnieją wyłącznie w chmurze i nie są skojarzone z odpowiednimi tożsamościami lokalnymi.
Metody uwierzytelniania
Gdy rozwiązanie Azure AD tożsamości hybrydowej jest nową płaszczyzną sterowania, uwierzytelnianie jest podstawą dostępu do chmury. Wybór właściwej metody uwierzytelniania jest kluczową pierwszą decyzją podczas konfigurowania rozwiązania do obsługi tożsamości hybrydowej Azure AD. Wybrana metoda uwierzytelniania jest konfigurowana przy użyciu programu Azure AD Connect, który aprowizuje również użytkowników w chmurze.
Aby wybrać metodę uwierzytelniania, należy wziąć pod uwagę czas, istniejącą infrastrukturę, złożoność i koszt implementacji. Te czynniki są różne dla każdej organizacji i mogą ulec zmianie w czasie.
Azure AD obsługuje następujące metody uwierzytelniania dla rozwiązań do obsługi tożsamości hybrydowych.
Uwierzytelnianie w chmurze
Po wybraniu tej metody uwierzytelniania Azure AD obsługuje proces logowania użytkowników. W połączeniu z logowaniem jednokrotnym użytkownicy mogą logować się do aplikacji w chmurze bez konieczności ponownego wprowadzania poświadczeń. W przypadku uwierzytelniania w chmurze można wybrać jedną z dwóch opcji:
Synchronizacja skrótów haseł w usłudze Azure AD. Najprostszym sposobem włączenia uwierzytelniania dla obiektów katalogu lokalnego w Azure AD. Użytkownicy mogą używać tej samej nazwy użytkownika i hasła, które używają lokalnie bez konieczności wdrażania innej infrastruktury. Niektóre funkcje premium Azure AD, takie jak Identity Protection i Azure AD Domain Services, wymagają synchronizacji skrótów haseł, niezależnie od wybranej metody uwierzytelniania.
Uwaga
Hasła nigdy nie są przechowywane w postaci zwykłego tekstu ani szyfrowane za pomocą algorytmu odwracalnego w Azure AD. Aby uzyskać więcej informacji na temat rzeczywistego procesu synchronizacji skrótów haseł, zobacz Implementowanie synchronizacji skrótów haseł za pomocą synchronizacji Azure AD Connect.
Azure AD uwierzytelnianie przekazywane. Zapewnia prostą walidację hasła dla usług uwierzytelniania Azure AD przy użyciu agenta oprogramowania, który działa na co najmniej jednym serwerze lokalnym. Serwery weryfikują użytkowników bezpośrednio z lokalna usługa Active Directory, co gwarantuje, że walidacja hasła nie nastąpi w chmurze.
Firmy z wymaganiem bezpieczeństwa do natychmiastowego wymuszania lokalnych stanów kont użytkowników, zasad haseł i godzin logowania mogą korzystać z tej metody uwierzytelniania. Aby uzyskać więcej informacji na temat rzeczywistego procesu uwierzytelniania przekazywanego, zobacz Logowanie użytkownika przy użyciu Azure AD uwierzytelniania przekazywanego.
Uwierzytelnianie federacyjne
Po wybraniu tej metody uwierzytelniania Azure AD wyłączyć proces uwierzytelniania do oddzielnego zaufanego systemu uwierzytelniania, takiego jak lokalna usługa Active Directory Usługi federacyjne (AD FS), aby zweryfikować hasło użytkownika.
System uwierzytelniania może zapewnić inne zaawansowane wymagania dotyczące uwierzytelniania, na przykład uwierzytelnianie wieloskładnikowe innej firmy.
Poniższa sekcja ułatwia określenie, która metoda uwierzytelniania jest odpowiednia dla Ciebie przy użyciu drzewa decyzyjnego. Pomaga określić, czy wdrożyć uwierzytelnianie w chmurze, czy federacyjne dla rozwiązania tożsamości hybrydowej Azure AD.
Drzewo decyzyjne
Szczegóły dotyczące pytań decyzyjnych:
- Azure AD może obsługiwać logowanie użytkowników bez polegania na składnikach lokalnych w celu zweryfikowania haseł.
- Azure AD może przekazać logowanie użytkownika do zaufanego dostawcy uwierzytelniania, takiego jak usługi AD FS firmy Microsoft.
- Jeśli musisz zastosować zasady zabezpieczeń usługi Active Directory na poziomie użytkownika, takie jak wygasły konto, wyłączone konto, hasło wygasło, zablokowane konto i godziny logowania każdego użytkownika, Azure AD wymaga niektórych składników lokalnych.
- Funkcje logowania nie są natywnie obsługiwane przez Azure AD:
- Logowanie przy użyciu rozwiązania uwierzytelniania innej firmy.
- Rozwiązanie do uwierzytelniania lokalnego obejmujące wiele lokacji.
- Azure AD Identity Protection wymaga synchronizacji skrótów haseł niezależnie od wybranej metody logowania, aby udostępnić raport Użytkownicy z wyciekłymi poświadczeniami. Organizacje mogą przejść w tryb failover do synchronizacji skrótów haseł, jeśli ich podstawowa metoda logowania zakończy się niepowodzeniem i została skonfigurowana przed zdarzeniem niepowodzenia.
Uwaga
usługa Azure AD Identity Protection wymaga licencji Azure AD — wersja Premium P2.
Szczegółowe zagadnienia
Uwierzytelnianie w chmurze: synchronizacja skrótów haseł
Wysiłek. Synchronizacja skrótów haseł wymaga najmniejszego nakładu pracy w zakresie wdrażania, konserwacji i infrastruktury. Ten poziom nakładu pracy zwykle dotyczy organizacji, które potrzebują tylko użytkowników do logowania się do platformy Microsoft 365, aplikacji SaaS i innych zasobów opartych na Azure AD. Po włączeniu synchronizacji skrótów haseł jest częścią procesu synchronizacji programu Azure AD Connect i jest uruchamiana co dwie minuty.
Środowisko użytkownika. Aby ulepszyć środowisko logowania użytkowników, użyj urządzeń dołączonych Azure AD (AADJ) lub urządzeń dołączonych hybrydowo (HAADJ) Azure AD lub urządzeń dołączonych hybrydowo (HAADJ). Jeśli nie możesz dołączyć urządzeń z systemem Windows do Azure AD, zalecamy wdrożenie bezproblemowego logowania jednokrotnego przy użyciu synchronizacji skrótów haseł. Bezproblemowe logowanie jednokrotne eliminuje niepotrzebne monity po zalogowaniu się użytkowników.
Zaawansowane scenariusze. Jeśli organizacje zdecydują się na to, można użyć szczegółowych informacji z tożsamości z raportami usługi Azure AD Identity Protection z Azure AD — wersja Premium P2. Przykładem jest wyciekły raport poświadczeń. Windows Hello dla firm ma określone wymagania podczas korzystania z synchronizacji skrótów haseł. Azure AD usługi Domain Services wymagają synchronizacji skrótów haseł w celu aprowizowania użytkowników przy użyciu poświadczeń firmowych w domenie zarządzanej.
Organizacje wymagające uwierzytelniania wieloskładnikowego z synchronizacją skrótów haseł muszą używać Azure AD uwierzytelniania wieloskładnikowego lub kontrolek niestandardowych dostępu warunkowego. Organizacje te nie mogą używać metod uwierzytelniania wieloskładnikowego innych firm ani lokalnych, które opierają się na federacji.
Uwaga
Azure AD dostęp warunkowy wymaga licencji Azure AD — wersja Premium P1.
Ciągłość działalności biznesowej. Korzystanie z synchronizacji skrótów haseł z uwierzytelnianiem w chmurze jest wysoce dostępne jako usługa w chmurze, która jest skalowana do wszystkich centrów danych firmy Microsoft. Aby upewnić się, że synchronizacja skrótów haseł nie działa przez dłuższy czas, wdróż drugi serwer Azure AD Connect w trybie przejściowym w konfiguracji rezerwowej.
Zagadnienia. Obecnie synchronizacja skrótów haseł nie wymusza natychmiast zmian w stanach konta lokalnego. W takiej sytuacji użytkownik ma dostęp do aplikacji w chmurze, dopóki stan konta użytkownika nie zostanie zsynchronizowany z Azure AD. Organizacje mogą chcieć przezwyciężyć to ograniczenie, uruchamiając nowy cykl synchronizacji po tym, jak administratorzy zbiorczo aktualizują stan konta użytkownika lokalnego. Przykładem jest wyłączenie kont.
Uwaga
Hasło wygasło, a stany zablokowanego konta nie są obecnie synchronizowane z Azure AD za pomocą programu Azure AD Connect. Gdy zmienisz hasło użytkownika i ustawisz, że użytkownik musi zmienić hasło przy następnej flagi logowania, skrót hasła nie zostanie zsynchronizowany z Azure AD za pomocą Azure AD Connect, dopóki użytkownik nie zmieni hasła.
Zapoznaj się z tematem Implementowanie synchronizacji skrótów haseł , aby zapoznać się z krokami wdrażania.
Uwierzytelnianie w chmurze: uwierzytelnianie przekazywane
Wysiłek. W przypadku uwierzytelniania przekazywanego potrzebny jest co najmniej jeden (zalecamy trzy) uproszczone agenty zainstalowane na istniejących serwerach. Ci agenci muszą mieć dostęp do usług lokalna usługa Active Directory Domain Services, w tym lokalnych kontrolerów domeny usługi AD. Potrzebują dostępu wychodzącego do Internetu i dostępu do kontrolerów domeny. Z tego powodu nie jest obsługiwane wdrażanie agentów w sieci obwodowej.
Uwierzytelnianie przekazywane wymaga nieobsługiwanego dostępu sieciowego do kontrolerów domeny. Cały ruch sieciowy jest szyfrowany i ograniczony do żądań uwierzytelniania. Aby uzyskać więcej informacji na temat tego procesu, zobacz szczegółowe omówienie zabezpieczeń dotyczące uwierzytelniania przekazywanego.
Środowisko użytkownika. Aby ulepszyć środowisko logowania użytkowników, użyj urządzeń dołączonych Azure AD (AADJ) lub urządzeń dołączonych hybrydowo (HAADJ) Azure AD lub urządzeń dołączonych hybrydowo (HAADJ). Jeśli nie możesz dołączyć urządzeń z systemem Windows do Azure AD, zalecamy wdrożenie bezproblemowego logowania jednokrotnego przy użyciu synchronizacji skrótów haseł. Bezproblemowe logowanie jednokrotne eliminuje niepotrzebne monity po zalogowaniu się użytkowników.
Zaawansowane scenariusze. Uwierzytelnianie przekazywane wymusza zasady konta lokalnego w momencie logowania. Na przykład odmowa dostępu jest blokowana, gdy stan konta użytkownika lokalnego jest wyłączony, zablokowany lub jego hasło wygasa lub próba logowania przypada poza godzinami, w których użytkownik może się zalogować.
Organizacje, które wymagają uwierzytelniania wieloskładnikowego z uwierzytelnianiem przekazywanym, muszą używać Azure AD uwierzytelniania wieloskładnikowego (MFA) lub kontrole niestandardowe dostępu warunkowego. Organizacje te nie mogą używać metody uwierzytelniania wieloskładnikowego innej firmy ani lokalnej opartej na federacji. Zaawansowane funkcje wymagają wdrożenia synchronizacji skrótów haseł, niezależnie od tego, czy wybierasz uwierzytelnianie przekazywane. Przykładem jest wyciekły raport poświadczeń usługi Identity Protection.
Ciągłość działalności biznesowej. Zalecamy wdrożenie dwóch dodatkowych agentów uwierzytelniania z przekazywaniem. Te dodatki są dodatki oprócz pierwszego agenta na serwerze Azure AD Connect. To inne wdrożenie zapewnia wysoką dostępność żądań uwierzytelniania. Po wdrożeniu trzech agentów jeden agent nadal może zakończyć się niepowodzeniem, gdy inny agent nie działa w celu konserwacji.
Istnieje kolejna korzyść dotycząca wdrażania synchronizacji skrótów haseł oprócz uwierzytelniania przekazywanego. Działa ona jako metoda uwierzytelniania kopii zapasowej, gdy podstawowa metoda uwierzytelniania nie jest już dostępna.
Zagadnienia. Synchronizacja skrótów haseł może służyć jako metoda uwierzytelniania z przekazywaniem kopii zapasowej, gdy agenci nie mogą zweryfikować poświadczeń użytkownika z powodu znacznej awarii lokalnej. Synchronizacja skrótów haseł w trybie failover nie jest wykonywana automatycznie i musisz użyć Azure AD Connect, aby ręcznie przełączyć metodę logowania.
Aby zapoznać się z innymi zagadnieniami dotyczącymi uwierzytelniania przekazywanego, w tym obsługi identyfikatora alternatywnego, zobacz często zadawane pytania.
Aby uzyskać instrukcje wdrażania, zapoznaj się z tematem Implementowanie uwierzytelniania przekazywanego .
Uwierzytelnianie federacyjne
Wysiłek. System uwierzytelniania federacyjnego korzysta z zewnętrznego zaufanego systemu do uwierzytelniania użytkowników. Niektóre firmy chcą ponownie wykorzystać swoje istniejące inwestycje w system federacyjny z rozwiązaniem do obsługi tożsamości hybrydowej Azure AD. Konserwacja i zarządzanie systemem federacyjnym wykracza poza kontrolę Azure AD. Do organizacji należy użycie systemu federacyjnego, aby upewnić się, że jest on wdrożony bezpiecznie i może obsłużyć obciążenie uwierzytelniania.
Środowisko użytkownika. Środowisko użytkownika uwierzytelniania federacyjnego zależy od implementacji funkcji, topologii i konfiguracji farmy federacyjnej. Niektóre organizacje potrzebują tej elastyczności, aby dostosować i skonfigurować dostęp do farmy federacyjnej zgodnie z wymaganiami dotyczącymi zabezpieczeń. Na przykład można skonfigurować wewnętrznie połączonych użytkowników i urządzeń w celu automatycznego logowania użytkowników bez monitowania o poświadczenia. Ta konfiguracja działa, ponieważ zalogowali się już na swoich urządzeniach. W razie potrzeby niektóre zaawansowane funkcje zabezpieczeń utrudniają proces logowania użytkowników.
Zaawansowane scenariusze. Rozwiązanie uwierzytelniania federacyjnego jest wymagane, gdy klienci mają wymaganie uwierzytelniania, które Azure AD nie obsługuje natywnie. Zobacz szczegółowe informacje ułatwiające wybór odpowiedniej opcji logowania. Weź pod uwagę następujące typowe wymagania:
- Dostawcy wieloskładnikowi innych firm wymagający dostawcy tożsamości federacyjnej.
- Uwierzytelnianie przy użyciu rozwiązań uwierzytelniania innych firm. Zobacz listę zgodności federacji Azure AD.
- Zaloguj się, który wymaga nazwy sAMAccountName, na przykład DOMAIN\username, zamiast głównej nazwy użytkownika (UPN), na przykład user@domain.com.
Ciągłość działalności biznesowej. Systemy federacyjne zwykle wymagają macierzy serwerów o zrównoważonym obciążeniu, znanej jako farma. Ta farma jest skonfigurowana w topologii sieci wewnętrznej i sieci obwodowej w celu zapewnienia wysokiej dostępności żądań uwierzytelniania.
Wdróż synchronizację skrótów haseł wraz z uwierzytelnianiem federacyjnym jako metodą uwierzytelniania kopii zapasowej, gdy podstawowa metoda uwierzytelniania nie jest już dostępna. Przykładem jest to, że serwery lokalne nie są dostępne. Niektóre duże organizacje przedsiębiorstwa wymagają rozwiązania federacyjnego do obsługi wielu punktów ruchu przychodzącego w Internecie skonfigurowanych z usługą geo-DNS na potrzeby żądań uwierzytelniania o małych opóźnieniach.
Zagadnienia. Systemy federacyjne zwykle wymagają bardziej znaczących inwestycji w infrastrukturę lokalną. Większość organizacji wybiera tę opcję, jeśli ma już inwestycję w federację lokalną. A jeśli jest to silne wymaganie biznesowe, aby użyć dostawcy z jedną tożsamością. Federacja jest bardziej złożona do obsługi i rozwiązywania problemów w porównaniu z rozwiązaniami uwierzytelniania w chmurze.
W przypadku domeny nieprosznej, której nie można zweryfikować w Azure AD, potrzebna jest dodatkowa konfiguracja do zaimplementowania logowania identyfikatora użytkownika. To wymaganie jest nazywane obsługą alternatywnego identyfikatora logowania. Zobacz Konfigurowanie alternatywnego identyfikatora logowania , aby uzyskać ograniczenia i wymagania. Jeśli zdecydujesz się używać dostawcy uwierzytelniania wieloskładnikowego innej firmy z federacją, upewnij się, że dostawca obsługuje WS-Trust, aby zezwolić urządzeniom na dołączanie Azure AD.
Aby uzyskać instrukcje wdrażania, zobacz Wdrażanie serwerów federacyjnych .
Uwaga
Podczas wdrażania rozwiązania Azure AD tożsamości hybrydowej należy zaimplementować jedną z obsługiwanych topologii programu Azure AD Connect. Dowiedz się więcej o obsługiwanych i nieobsługiwanych konfiguracjach w części Topologies for Azure AD Connect.
Diagramy architektury
Na poniższych diagramach przedstawiono składniki architektury wysokiego poziomu wymagane dla każdej metody uwierzytelniania, których można użyć z rozwiązaniem Azure AD tożsamości hybrydowej. Zawierają one omówienie ułatwiające porównanie różnic między rozwiązaniami.
Prostota rozwiązania synchronizacji skrótów haseł:
Wymagania agenta dotyczące uwierzytelniania przekazywanego przy użyciu dwóch agentów w celu zapewnienia nadmiarowości:
Składniki wymagane do federacji w sieci obwodowej i wewnętrznej organizacji:
Porównywanie metod
| Kwestie do rozważenia | Synchronizacja skrótów haseł | Uwierzytelnianie przekazywane | Federacja z usługami AD FS |
|---|---|---|---|
| Gdzie się dzieje uwierzytelnianie? | W chmurze | W chmurze po bezpiecznej wymiany weryfikacji hasła za pomocą lokalnego agenta uwierzytelniania | Lokalnie |
| Jakie są wymagania dotyczące serwera lokalnego wykraczające poza system aprowizacji: Azure AD Connect? | Brak | Jeden serwer dla każdego dodatkowego agenta uwierzytelniania | Co najmniej dwa serwery usług AD FS Co najmniej dwa serwery WAP w sieci obwodowej/DMZ |
| Jakie są wymagania dotyczące lokalnego Internetu i sieci poza systemem aprowizacji? | Brak | Wychodzący dostęp do Internetu z serwerów z uruchomionymi agentami uwierzytelniania | Przychodzący dostęp do Internetu do serwerów WAP w obwodzie Dostęp sieciowy przychodzący do serwerów usług AD FS z serwerów WAP w obwodzie Równoważenie obciążenia sieciowego |
| Czy istnieje wymaganie dotyczące certyfikatu TLS/SSL? | Nie | Nie | Tak |
| Czy istnieje rozwiązanie do monitorowania kondycji? | Niewymagane | Stan agenta dostarczony przez Azure Portal | Azure AD Connect Health |
| Czy użytkownicy uzyskują logowanie jednokrotne do zasobów w chmurze z urządzeń przyłączonych do domeny w sieci firmowej? | Tak z urządzeniami dołączonymi do Azure AD (AADJ),urządzeniami dołączonymi hybrydowo Azure AD (HAADJ),wtyczką logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple lub bezproblemowym logowaniem jednokrotnym | Tak z urządzeniami dołączonymi Azure AD (AADJ),urządzeniami dołączonymi hybrydowo Azure AD (HAADJ),wtyczką logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple lub bezproblemowym logowaniem jednokrotnym | Tak |
| Jakie typy logowania są obsługiwane? | UserPrincipalName + hasło Uwierzytelnianie Windows-Integrated przy użyciu bezproblemowego logowania jednokrotnego Alternatywny identyfikator logowania urządzenia przyłączone Azure AD Urządzenia przyłączone do hybrydowej Azure AD (HAADJ) Uwierzytelnianie za pomocą certyfikatu i karty inteligentnej |
UserPrincipalName + hasło Uwierzytelnianie Windows-Integrated przy użyciu bezproblemowego logowania jednokrotnego Alternatywny identyfikator logowania urządzenia przyłączone Azure AD Urządzenia przyłączone do hybrydowej Azure AD (HAADJ) Uwierzytelnianie za pomocą certyfikatu i karty inteligentnej |
UserPrincipalName + hasło sAMAccountName + hasło Uwierzytelnianie Windows-Integrated Uwierzytelnianie za pomocą certyfikatu i karty inteligentnej Alternatywny identyfikator logowania |
| Czy Windows Hello dla firm jest obsługiwana? | Model zaufania klucza Zaufanie chmury hybrydowej |
Model zaufania klucza Zaufanie chmury hybrydowej Oba wymagają poziomu funkcjonalności domeny Windows Server 2016 |
Model zaufania klucza Zaufanie chmury hybrydowej Model zaufania certyfikatów |
| Jakie są opcje uwierzytelniania wieloskładnikowego? | Azure AD uwierzytelnianie wieloskładnikowe Kontrolki niestandardowe z dostępem warunkowym* |
Azure AD uwierzytelnianie wieloskładnikowe Kontrolki niestandardowe z dostępem warunkowym* |
Azure AD uwierzytelnianie wieloskładnikowe Uwierzytelnianie wieloskładnikowe innej firmy Kontrolki niestandardowe z dostępem warunkowym* |
| Jakie stany konta użytkownika są obsługiwane? | Wyłączone konta (do 30 minut opóźnienia) |
Wyłączone konta Zablokowane konto Konto wygasło Hasło wygasło Godziny logowania |
Wyłączone konta Zablokowane konto Konto wygasło Hasło wygasło Godziny logowania |
| Jakie są opcje dostępu warunkowego? | Azure AD dostęp warunkowy z usługą Azure AD Premium | Azure AD dostęp warunkowy z usługą Azure AD Premium | Azure AD dostęp warunkowy z usługą Azure AD Premium Reguły oświadczeń usług AD FS |
| Czy jest obsługiwane blokowanie starszych protokołów? | Tak | Tak | Tak |
| Czy możesz dostosować logo, obraz i opis na stronach logowania? | Tak, z Azure AD Premium | Tak, z Azure AD Premium | Tak |
| Jakie zaawansowane scenariusze są obsługiwane? | Inteligentna blokada haseł Wyciekły raporty poświadczeń z Azure AD — wersja Premium P2 |
Inteligentna blokada haseł | System uwierzytelniania o małych opóźnieniach w wielu lokacjach Blokada ekstranetu usług AD FS Integracja z systemami tożsamości innych firm |
Uwaga
Kontrolki niestandardowe w Azure AD dostęp warunkowy nie obsługują obecnie rejestracji urządzeń.
Zalecenia
System tożsamości zapewnia użytkownikom dostęp do aplikacji migrowanych i udostępnianych w chmurze. Użyj lub włącz synchronizację skrótów haseł z wybraną metodą uwierzytelniania z następujących powodów:
Wysoka dostępność i odzyskiwanie po awarii. Uwierzytelnianie przekazywane i federacja korzystają z infrastruktury lokalnej. W przypadku uwierzytelniania przekazywanego ślad lokalny obejmuje sprzęt serwera i sieć wymaganą przez agentów uwierzytelniania z przekazywaniem. W przypadku federacji rozmiar lokalny jest jeszcze większy. Wymaga ona serwerów w sieci obwodowej do żądań uwierzytelniania serwera proxy i wewnętrznych serwerów federacyjnych.
Aby uniknąć pojedynczych punktów awarii, należy wdrożyć nadmiarowe serwery. Żądania uwierzytelniania będą zawsze obsługiwane, jeśli którykolwiek składnik ulegnie awarii. Zarówno uwierzytelnianie przekazywane, jak i federacja również polegają na kontrolerach domeny, aby reagować na żądania uwierzytelniania, które również mogą zakończyć się niepowodzeniem. Wiele z tych składników wymaga konserwacji, aby zachować dobrą kondycję. Awarie są bardziej prawdopodobne, gdy konserwacja nie jest planowana i zaimplementowana poprawnie.
Przeżycie awarii w środowisku lokalnym. Konsekwencje awarii lokalnej spowodowanej cyberatakiem lub katastrofą mogą być znaczne, począwszy od uszkodzenia marki reputacji po sparaliżowaną organizację, która nie może poradzić sobie z atakiem. Ostatnio wiele organizacji padło ofiarą ataków złośliwego oprogramowania, w tym ukierunkowanego oprogramowania wymuszającego okup, co spowodowało, że ich serwery lokalne spadły. Gdy firma Microsoft pomaga klientom w radzeniu sobie z tego rodzaju atakami, widzi dwie kategorie organizacji:
Organizacje, które wcześniej włączały również synchronizację skrótów haseł na podstawie uwierzytelniania federacyjnego lub przekazywanego, zmieniły podstawową metodę uwierzytelniania, aby następnie używać synchronizacji skrótów haseł. Wrócili do internetu w ciągu kilku godzin. Korzystając z dostępu do poczty e-mail za pośrednictwem platformy Microsoft 365, pracowali nad rozwiązywaniem problemów i uzyskiwaniem dostępu do innych obciążeń opartych na chmurze.
Organizacje, które wcześniej nie włączały synchronizacji skrótów haseł, musiały uciekać się do niezaufanych zewnętrznych systemów poczty e-mail konsumentów w celu komunikacji w celu rozwiązania problemów. W takich przypadkach przywrócenie lokalnej infrastruktury tożsamości zajęło im kilka tygodni, zanim użytkownicy mogli ponownie zalogować się do aplikacji w chmurze.
Ochrona tożsamości. Jednym z najlepszych sposobów ochrony użytkowników w chmurze jest Azure AD Identity Protection przy użyciu Azure AD — wersja Premium P2. Firma Microsoft stale skanuje Internet pod kątem list użytkowników i haseł, które złe podmioty sprzedają i udostępniają w ciemnej sieci. Azure AD mogą użyć tych informacji, aby sprawdzić, czy którekolwiek z nazw użytkowników i haseł w organizacji zostały naruszone. W związku z tym ważne jest włączenie synchronizacji skrótów haseł niezależnie od używanej metody uwierzytelniania, niezależnie od tego, czy jest to uwierzytelnianie federacyjne, czy przekazywane. Ujawnione poświadczenia są prezentowane jako raport. Użyj tych informacji, aby zablokować lub zmusić użytkowników do zmiany haseł podczas próby zalogowania się przy użyciu ujawnionych haseł.
Podsumowanie
W tym artykule opisano różne opcje uwierzytelniania, które organizacje mogą konfigurować i wdrażać w celu obsługi dostępu do aplikacji w chmurze. Aby spełnić różne wymagania biznesowe, bezpieczeństwa i techniczne, organizacje mogą wybierać między synchronizacją skrótów haseł, uwierzytelnianiem z przekazywaniem i federacją.
Rozważ każdą metodę uwierzytelniania. Czy nakład pracy nad wdrożeniem rozwiązania i środowiska użytkownika procesu logowania spełnia wymagania biznesowe? Oceń, czy organizacja potrzebuje zaawansowanych scenariuszy i funkcji ciągłości działania każdej metody uwierzytelniania. Na koniec należy ocenić zagadnienia dotyczące każdej metody uwierzytelniania. Czy którykolwiek z nich uniemożliwia zaimplementowanie wybranego wyboru?
Następne kroki
W dzisiejszym świecie zagrożenia są obecne 24 godziny dziennie i pochodzą z każdego miejsca. Zaimplementuj poprawną metodę uwierzytelniania i ograniczy ryzyko związane z zabezpieczeniami i chroni twoje tożsamości.
Rozpocznij pracę z Azure AD i wdróż odpowiednie rozwiązanie uwierzytelniania dla organizacji.
Jeśli myślisz o migracji z uwierzytelniania federacyjnego do chmury, dowiedz się więcej o zmianie metody logowania. Aby ułatwić planowanie i implementowanie migracji, skorzystaj z tych planów wdrażania projektu lub rozważ użycie nowej funkcji wdrażania etapowego w celu migracji użytkowników federacyjnych do korzystania z uwierzytelniania w chmurze w podejściu etapowym.