W tym artykule opisano możliwości integracji środowiska lokalnego usługi Active Directory (AD) z siecią platformy Azure. Dla każdej opcji jest dostępna bardziej szczegółowa architektura referencyjna.
Wiele organizacji używa usług Active Directory Domain Services (AD DS) do uwierzytelniania tożsamości skojarzonych z użytkownikami, komputerami, aplikacjami lub innymi zasobami, które znajdują się w granicach zabezpieczeń. Usługi zarządzania katalogami i tożsamościami są zwykle hostowane lokalnie, ale jeśli aplikacja jest hostowana częściowo lokalnie i częściowo na platformie Azure, może wystąpić opóźnienie wysyłania żądań uwierzytelniania z platformy Azure z powrotem do środowiska lokalnego. Zaimplementowanie usług zarządzania katalogami i tożsamościami na platformie Azure może zmniejszyć to opóźnienie.
Platforma Azure oferuje dwa rozwiązania do implementowania usług zarządzania katalogami i tożsamościami na platformie Azure:
Użyj identyfikatora Entra firmy Microsoft, aby utworzyć domenę usługi Active Directory w chmurze i połączyć ją z domeną lokalna usługa Active Directory. Firma Microsoft Entra Połączenie integruje katalogi lokalne z identyfikatorem Entra firmy Microsoft.
Aby rozszerzyć istniejącą lokalną infrastrukturę usługi Active Directory o platformę Azure, wdróż na platformie Azure maszynę wirtualną, która uruchamia usługi AD DS jako kontrolera domeny. Ta architektura jest częściej używana, gdy sieć lokalna i sieć wirtualna platformy Azure (VNet) są połączone za pomocą połączenia sieci VPN lub usługi ExpressRoute. Istnieje kilka odmian tej architektury:
- Utwórz domenę na platformie Azure i przyłącz ją do lokalnego lasu usługi AD.
- Utwórz osobny las na platformie Azure, która jest zaufana dla domen w Twoim lesie lokalnym.
- Replikuj wdrożenie usług Active Directory Federation Services (AD FS) na platformie Azure.
W kolejnych sekcjach opisano każdą z tych opcji bardziej szczegółowo.
Integrowanie domen lokalnych z identyfikatorem Entra firmy Microsoft
Użyj identyfikatora Entra firmy Microsoft, aby utworzyć domenę na platformie Azure i połączyć ją z lokalną domeną usługi AD.
Katalog Microsoft Entra nie jest rozszerzeniem katalogu lokalnego. Jest to raczej kopia, która zawiera te same obiekty i tożsamości. Zmiany wprowadzone w tych elementach w środowisku lokalnym są kopiowane do identyfikatora Entra firmy Microsoft, ale zmiany wprowadzone w identyfikatorze Entra firmy Microsoft nie są replikowane z powrotem do domeny lokalnej.
Możesz również użyć identyfikatora Entra firmy Microsoft bez użycia katalogu lokalnego. W takim przypadku identyfikator Entra firmy Microsoft działa jako główne źródło wszystkich informacji o tożsamości, a nie zawiera danych replikowanych z katalogu lokalnego.
Korzyści
- Nie trzeba zarządzać infrastrukturą usługi AD w chmurze. Identyfikator Entra firmy Microsoft jest całkowicie zarządzany i obsługiwany przez firmę Microsoft.
- Identyfikator Entra firmy Microsoft udostępnia te same informacje o tożsamości, które są dostępne lokalnie.
- Uwierzytelnianie może zostać wykonane na platformie Azure, co zmniejszy potrzebę kontaktowania się z domeną lokalną przez zewnętrzne i użytkowników.
Wyzwania
- Należy skonfigurować łączność z domeną lokalną, aby zachować synchronizację katalogu Microsoft Entra.
- W celu włączenia uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft może być konieczne ponowne napisanie aplikacji.
- Jeśli chcesz uwierzytelnić konta usług i komputerów, musisz również wdrożyć usługi Microsoft Entra Domain Services.
Architektura odwołań
Usługi AD DS na platformie Azure przyłączone do lasu lokalnego
Wdróż serwery usług AD Domain Services (AD DS) na platformie Azure. Utwórz domenę na platformie Azure i przyłącz ją do lokalnego lasu usługi AD.
Rozważ tę opcję, jeśli musisz użyć funkcji usług AD DS, które nie są obecnie implementowane przez identyfikator Entra firmy Microsoft.
Korzyści
- Udostępnia te same informacje o tożsamościach, które są dostępne lokalnie.
- Można uwierzytelniać konta użytkowników, usług i komputerów w środowisku lokalnym i na platformie Azure.
- Nie trzeba zarządzać oddzielnym lasem usługi AD. Domena na platformie Azure może należeć do lasu lokalnego.
- Możesz zastosować zasady grupy zdefiniowane przez lokalne obiekty zasad grupy do domeny na platformie Azure.
Wyzwania
- Trzeba wdrożyć własną domenę i serwery usługi AD DS w chmurze.
- Może wystąpić opóźnienie synchronizacji między serwerami domeny w chmurze i serwerami działającymi lokalnie.
Architektura odwołań
Usługi AD DS w platformie Azure z oddzielnym lasem
Wdróż usługi AD Domain Services (AD DS) na platformie Azure, ale utwórz osobny las usługi Azure Directory, który jest oddzielony od lasu lokalnego. Ten las ma relację zaufania z domenami w lesie lokalnym.
Typowe zastosowania tej architektury obejmują ochronną separację obiektów i tożsamości przechowywanych w chmurze oraz migrowanie pojedynczych danych ze środowiska lokalnego do chmury.
Korzyści
- Można zaimplementować tożsamości lokalne i oddzielić tożsamości powiązane tylko z platformą Azure.
- Nie trzeba replikować z lokalnego lasu usługi AD na platformie Azure.
Wyzwania
- Uwierzytelnianie w obrębie platformy Azure dla tożsamości lokalnych wymaga dodatkowych przeskoków sieciowych do lokalnych serwerów usługi AD.
- Trzeba wdrożyć własny las i serwery usług AD DS w chmurze i ustanowić odpowiednią relację zaufania między lasami.
Architektura odwołań
Rozszerzanie usług AD FS na platformę Azure
Replikuj wdrożenie usług Active Directory Federation Services (AD FS) na platformie Azure, aby przeprowadzić uwierzytelnianie federacyjne i autoryzację dla składników działających na platformie Azure.
Typowe zastosowania tej architektury:
- Uwierzytelnianie i autoryzowanie użytkowników z organizacji partnerskich.
- Zezwalanie użytkownikom na uwierzytelnianie z poziomu przeglądarek internetowych działających poza zaporą używaną w organizacji.
- Zezwalanie użytkownikom na łączenie z autoryzowanych urządzeń zewnętrznych, takich jak urządzenia przenośne.
Korzyści
- Można korzystać z aplikacji obsługujących oświadczenia.
- Oferuje możliwość zaufania partnerom zewnętrznym na potrzeby uwierzytelniania.
- Zgodność z dużym zestawem protokołów uwierzytelniania.
Wyzwania
- Należy wdrożyć własne serwery usług AD DS, AD FS i aplikacji internetowych usług AD FS na platformie Azure.
- Skonfigurowanie takiej architektury może być skomplikowane.
Architektura odwołań