Guia de decisão de identidade
Em qualquer ambiente, no local, híbrido ou apenas na cloud, a equipa de TI precisa de controlar os administradores, utilizadores e grupos que têm acesso aos recursos. Os serviços de gestão de identidades e acessos (IAM) permitem-lhe gerir o controlo de acesso na cloud.
Ir para: Determinar requisitos | de integração de identidade Linha de base na nuvem Sincronização | de diretórios Serviços de domínio alojados na nuvem Serviços | | de | Federação do Ative Directory Saiba mais
Estão disponíveis várias opções para gerir a identidade num ambiente de cloud. Estas opções variam em custo e complexidade. Um fator importante da estruturação dos serviços de identidade com base na cloud é o nível de integração necessário para a infraestrutura de identidade no local existente.
O Microsoft Entra ID fornece um nível básico de controle de acesso e gerenciamento de identidade para recursos do Azure. Se a infraestrutura do Ative Directory local da sua organização tiver uma estrutura de floresta complexa ou unidades organizacionais (OUs) personalizadas, suas cargas de trabalho baseadas em nuvem podem exigir a sincronização de diretórios com o Microsoft Entra ID para um conjunto consistente de identidades, grupos e funções entre seus ambientes locais e de nuvem. Além disso, o suporte para aplicações que dependem de mecanismos de autenticação legados pode exigir a implementação do Active Directory Domain Services (AD DS) na cloud.
A gestão de identidades com base na cloud é um processo iterativo. Pode começar com uma solução nativa da cloud com um pequeno conjunto de utilizadores e funções correspondentes para uma implementação inicial. À medida que a sua migração evolui, pode ter de integrar a solução de identidade através da sincronização de diretórios ou da adição de serviços de domínio como parte das suas implementações na cloud. Reveja a sua estratégia de identidade em cada iteração do processo de migração.
Determinar os requisitos de integração da identidade
| Pergunta | Linha de base da cloud | Sincronização de diretórios | Serviços de domínio alojados na cloud | Serviços de Federação do Active Directory (AD FS) |
|---|---|---|---|---|
| Falta-lhe atualmente um serviço de diretórios no local? | Sim | No | No | Não |
| As suas cargas de trabalho precisam de utilizar um conjunto comum de utilizadores e grupos entre o ambiente de cloud e no local? | Não | Sim | No | Não |
| As suas cargas de trabalho dependem de mecanismos de autenticação legados, como o Kerberos ou o NTLM? | No | Não | Sim | Sim |
| Precisa de início de sessão único em vários fornecedores de identidade? | No | No | Não | Sim |
Como parte do planeamento da sua migração para o Azure, terá de determinar a melhor forma de integrar os serviços de identidade da cloud e gestão de identidades existentes. Seguem-se cenários de integração comuns.
Linha de base da cloud
O Microsoft Entra ID é o sistema nativo de gerenciamento de identidade e acesso (IAM) para conceder aos usuários e grupos acesso aos recursos de gerenciamento na plataforma Azure. Se sua organização não tiver uma solução de identidade local significativa e você planeja migrar cargas de trabalho para serem compatíveis com mecanismos de autenticação baseados em nuvem, você deve começar a desenvolver sua infraestrutura de identidade usando o Microsoft Entra ID como base.
Pressupostos da linha de base da nuvem: o uso de uma infraestrutura de identidade puramente nativa da nuvem pressupõe o seguinte:
- Os recursos com base na cloud não terão dependências nos serviços de diretório no local ou nos servidores do Active Directory, ou as cargas de trabalho podem ser modificadas para remover essas dependências.
- As cargas de trabalho de aplicativo ou serviço que estão sendo migradas suportam mecanismos de autenticação compatíveis com o Microsoft Entra ID ou podem ser modificadas facilmente para suportá-los. O Microsoft Entra ID depende de mecanismos de autenticação prontos para a Internet, como SAML, OAuth e OpenID Connect. As cargas de trabalho existentes que dependem de métodos de autenticação legados através de protocolos, como o Kerberos ou o NTLM, podem ter de ser refatorizadas antes de serem migradas para a cloud com o padrão de linha base da cloud.
Gorjeta
A migração completa dos serviços de identidade para o Microsoft Entra ID elimina a necessidade de manter sua própria infraestrutura de identidade, simplificando significativamente o gerenciamento de TI.
Mas o Microsoft Entra ID não é um substituto completo para uma infraestrutura tradicional do Ative Directory local. Podem não estar disponíveis funcionalidades de diretório, como métodos de autenticação legados, gestão de computadores ou política de grupo, sem implementar ferramentas ou serviços adicionais na cloud.
Para cenários em que tem de integrar identidades no local ou serviços de domínio nas suas implementações da cloud, veja os padrões de sincronização de diretórios e serviços de domínio alojados na cloud abordados abaixo.
Sincronização de diretórios
Para organizações com uma infraestrutura do Active Directory no local existente, a sincronização de diretórios é muitas vezes a melhor solução para preservar a gestão de utilizadores e acessos existente enquanto fornece as capacidades de IAM necessárias para gerir os recursos da cloud. Esse processo replica continuamente as informações de diretório entre o ID do Microsoft Entra e os serviços de diretório locais, permitindo credenciais comuns para os usuários e um sistema de identidade, função e permissão consistente em toda a organização.
Nota
As organizações que adotaram o Microsoft 365 podem já ter implementado a sincronização de diretórios entre sua infraestrutura local do Ative Directory e o Microsoft Entra ID.
Pressupostos de sincronização de diretórios: o uso de uma solução de identidade sincronizada pressupõe o seguinte:
- Tem de manter um conjunto comum de contas e grupos de utilizadores na cloud e na infraestrutura de TI no local.
- Seus serviços de identidade locais oferecem suporte à replicação com o Microsoft Entra ID.
Gorjeta
Quaisquer cargas de trabalho baseadas em nuvem que dependam de mecanismos de autenticação herdados fornecidos por servidores locais do Ative Directory e que não sejam suportadas pelo ID do Microsoft Entra ainda exigirão conectividade com serviços de domínio locais ou servidores virtuais no ambiente de nuvem que fornece esses serviços. A utilização de serviços de identidade no local também introduz dependências na conectividade entre as redes na cloud e no local.
Serviços de domínio alojados na cloud
Se tiver cargas de trabalho que dependam de autenticação baseada em afirmações através de protocolos legados, como o Kerberos ou o NTLM, e essas cargas de trabalho não possam ser refatorizadas para aceitar protocolos de autenticação modernos, como o SAML ou o OAuth e o OpenID Connect, pode ter de migrar alguns dos seus serviços de domínio para a cloud como parte da sua implementação na cloud.
Este padrão envolve a implementação de máquinas virtuais com o Active Directory para as redes virtuais com base na cloud para fornecer o Active Directory Domain Services (AD DS) para os recursos na cloud. Quaisquer aplicações e serviços existentes a migrar para a rede da cloud devem conseguir utilizar estes servidores de diretório alojados na cloud com pequenas modificações.
É provável que os diretórios e serviços de domínio existentes continuem a ser utilizados no seu ambiente no local. Neste cenário, deve utilizar também a sincronização de diretórios para fornecer um conjunto comum de utilizadores e funções em ambientes de cloud e no local.
Pressupostos de serviços de domínio hospedados na nuvem: executar uma migração de diretório pressupõe o seguinte:
- As cargas de trabalho dependem de autenticação baseada em afirmações através de protocolos como o Kerberos ou o NTLM.
- As máquinas virtuais das cargas de trabalho têm de estar associadas a um domínio para gestão ou aplicação de objetivos de políticas de grupo do Active Directory.
Gorjeta
Embora uma migração de diretórios associada a serviços de domínio alojados na cloud forneça grande flexibilidade ao migrar as cargas de trabalho existentes, o alojamento de máquinas virtuais na rede virtual da cloud para fornecer estes serviços aumenta a complexidade das tarefas de gestão de TI. À medida que a sua experiência de migração para a cloud evolui, examine os requisitos de manutenção a longo prazo de alojamento destes servidores. Considere se a refatoração de cargas de trabalho existentes para compatibilidade com provedores de identidade em nuvem, como o Microsoft Entra ID, pode reduzir a necessidade desses servidores hospedados na nuvem.
Serviços de Federação do Active Directory (AD FS)
A federação de identidade estabelece relações de confiança entre vários sistemas de gestão de identidades para permitir capacidades de autenticação e autorização comuns. Assim, pode suportar capacidades de início de sessão único em vários domínios na sua organização ou sistemas de identidade geridos pelos seus clientes ou parceiros comerciais.
O Microsoft Entra ID oferece suporte à federação de domínios locais do Ative Directory usando os Serviços de Federação do Ative Directory (AD FS). Para obter informações sobre como fazer esta implementação, veja Ampliar o AD FS para o Azure.
Saber mais
Para obter mais informações sobre serviços de identidade no Azure, veja:
- ID do Microsoft Entra. O Microsoft Entra ID fornece serviços de identidade baseados na nuvem. Permite-lhe gerir o acesso aos seus recursos do Azure e controlar a gestão de identidades, o registo de dispositivos, o aprovisionamento de utilizadores, o controlo de acesso de aplicações e a proteção de dados.
- Microsoft Entra Connect. A ferramenta Microsoft Entra Connect permite que você conecte instâncias do Microsoft Entra com suas soluções de gerenciamento de identidade existentes, permitindo a sincronização de seu diretório existente na nuvem.
- Controle de acesso baseado em função do Azure (Azure RBAC). O RBAC do Azure gere o acesso a recursos no plano de gestão de forma eficiente e segura. As tarefas e responsabilidades estão organizadas em funções e são atribuídos utilizadores a estas funções. O RBAC do Azure permite-lhe controlar quem tem acesso a um recurso, juntamente com as ações que um utilizador pode realizar nesse recurso.
- Microsoft Entra Privileged Identity Management (PIM). O PIM reduz o tempo de exposição dos privilégios de acesso aos recursos e aumenta a visibilidade sobre a respetiva utilização através de relatórios e alertas. Ele limita os usuários a privilégios just-in-time, atribuindo seus privilégios por um período limitado e, em seguida, revogando esses privilégios automaticamente.
- Integre domínios do Ative Directory locais com o Microsoft Entra ID. Esta arquitetura de referência fornece um exemplo de sincronização de diretórios entre domínios locais do Ative Directory e o Microsoft Entra ID.
- Expandir o Active Directory Domain Services (AD DS) para o Azure. Esta arquitetura de referência fornece um exemplo de implementação de servidores do AD DS para expandir os serviços de domínio para recursos com base na cloud.
- Expandir os Serviços de Federação do Active Directory (AD FS) para o Azure. Esta arquitetura de referência configura os Serviços de Federação do Ative Directory (AD FS) para executar autenticação federada e autorização com o diretório do Microsoft Entra.
Próximos passos
A identidade é apenas um dos componentes principais da infraestrutura que requer decisões arquiteturais durante um processo de adoção da cloud. Para saber mais sobre os padrões ou modelos alternativos utilizados quando tomar decisões de design para outros tipos de infraestruturas, veja a descrição geral dos guias de decisão de arquitetura.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários