Co to jest tożsamość hybrydowa za pomocą usługi Azure Active Directory?
Obecnie małe i duże firmy w coraz większym stopniu korzystają zarówno z aplikacji lokalnych, jak i aplikacji w chmurze. Użytkownicy wymagają dostępu do aplikacji zarówno lokalnie, jak i w chmurze. Zarządzanie użytkownikami zarówno lokalnie, jak i w chmurze stanowi trudne scenariusze.
Rozwiązania firmy Microsoft do obsługi tożsamości obejmują zarówno funkcje lokalne, jak i chmurowe. Te rozwiązania tworzą wspólną tożsamość użytkownika na potrzeby uwierzytelniania i autoryzacji w kontekście wszystkich zasobów, niezależnie od lokalizacji. Nazywamy tę tożsamość hybrydową.
Dzięki tożsamości hybrydowej do Azure AD i hybrydowego zarządzania tożsamościami te scenariusze stają się możliwe.
Aby osiągnąć tożsamość hybrydową przy użyciu Azure AD, można użyć jednej z trzech metod uwierzytelniania, w zależności od scenariuszy. Te trzy metody to:
Te metody uwierzytelniania oferują również funkcję logowania jednokrotnego. Logowanie jednokrotne umożliwia automatyczne logowanie użytkowników, gdy ich urządzenia firmowe są połączone z siecią firmową.
Aby uzyskać więcej informacji, zobacz Choose the right authentication method for your Azure Active Directory hybrid identity solution (Wybieranie właściwej metody uwierzytelniania w przypadku rozwiązania hybrydowego do obsługi tożsamości w usłudze Azure Active Directory).
Typowe scenariusze i zalecenia
Poniżej przedstawiono kilka typowych scenariuszy związanych z tożsamościami hybrydowymi i zarządzaniem dostępem wraz z zaleceniami co do tego, która opcja (lub opcje) obsługi tożsamości hybrydowych może być najbardziej odpowiednia w danym przypadku.
| Wymagana funkcjonalność: | PHS i SSO1 | PTA i SSO2 | AD FS3 |
|---|---|---|---|
| Automatyczne synchronizowanie z chmurą nowych kont użytkowników, kontaktów i grup utworzonych w lokalnej usłudze Active Directory. |  |
|
|
| Skonfiguruj moją dzierżawę dla scenariuszy hybrydowych platformy Microsoft 365. | |
|
|
| Umożliwienie użytkownikom logowania się i uzyskiwania dostępu do usług w chmurze przy użyciu swojego lokalnego hasła. | |
|
|
| Zaimplementowanie logowania jednokrotnego przy użyciu poświadczeń firmowych. | |
|
|
| Zagwarantowanie, że żadne skróty haseł nie będą przechowywane w chmurze. | |
|
|
| Umożliwienie działania rozwiązań obsługujących uwierzytelnianie wieloskładnikowe oparte na chmurze. | |
|
|
| Umożliwienie działania rozwiązań obsługujących lokalne uwierzytelnianie wieloskładnikowe. | |
||
| Obsługa uwierzytelniania kart inteligentnych dla moich użytkowników.4 | |
1 Synchronizacja skrótów haseł za pomocą logowania jednokrotnego.
2 Uwierzytelnianie przekazywane i logowanie jednokrotne.
3 Federacyjne logowanie jednokrotne z użyciem usług AD FS.
4 Usługi AD FS można zintegrować z infrastrukturą kluczy publicznych przedsiębiorstwa, aby umożliwić logowanie przy użyciu certyfikatów. Mogą to być certyfikaty programowe wdrażane za pośrednictwem zaufanych kanałów aprowizowania, takich jak zarządzanie danymi głównymi lub obiekt zasad grupy, lub certyfikaty na kartach inteligentnych (w tym na kartach PIV/CAC) albo w usłudze Hello dla firm (zaufanie certyfikatu). Aby uzyskać więcej informacji na temat obsługi uwierzytelniania za pomocą kart inteligentnych, zobacz ten blog.
Wymagania licencyjne dotyczące korzystania z programu Azure AD Connect
Korzystanie z tej funkcji jest bezpłatne i uwzględnione w subskrypcji platformy Azure.