Что собой представляет гибридная идентификация с использованием Azure Active Directory
Сегодня предприятия и организации все чаще комбинируют локальные и облачные приложения. Пользователям требуется доступ к этим приложениям как локально, так и в облаке. Управление пользователями и в локальной среде, и в облаке — непростая задача.
Решения корпорации Майкрософт для идентификации охватывают как локальные, так и облачные сценарии. Они позволяют создавать общие пользовательские удостоверения для проверки подлинности и авторизации для всех ресурсов, независимо от их расположения. Мы называем это гибридной идентификацией.
Гибридная идентификация Azure AD и механизм управления ею позволяют реализовать такие сложные сценарии.
Обеспечить гибридную идентификацию с использованием Azure AD можно с помощью одного из трех методов проверки подлинности в зависимости от сценария. Доступны следующие методы:
Эти методы проверки подлинности также предоставляют возможности единого входа. Единый вход обеспечивает пользователям автоматический вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети.
См. дополнительные сведения о выборе правильного метода аутентификации для гибридного решения для идентификации Azure Active Directory.
Распространенные сценарии и рекомендации
В этом разделе приводится несколько распространенных сценариев гибридной идентификации и контроля доступа с рекомендациями по выбору оптимального варианта (вариантов) гибридной идентификации в каждом конкретном случае.
Мне нужно: | PHS и SSO1 | PTA и SSO2 | AD FS3 |
---|---|---|---|
Автоматически синхронизировать с облаком новые учетные записи пользователей, контакты и группы, создаваемые в моем локальном каталоге Active Directory | ![]() |
![]() |
![]() |
Настроить клиент для гибридных сценариев Microsoft 365. | ![]() |
![]() |
![]() |
Разрешить моим пользователям выполнять вход и обращаться к облачным службам с помощью локального пароля. | ![]() |
![]() |
![]() |
Реализовать единый вход с использованием учетных данных организации. | ![]() |
![]() |
![]() |
Обеспечить хранение хэша паролей вне облака. | ![]() |
![]() |
|
Использовать облачные решения для многофакторной проверки подлинности. | ![]() |
![]() |
![]() |
Использовать локальные решения для Многофакторной идентификации. | ![]() |
||
Поддержка проверки подлинности со смарт-картами для моих пользователей4. | ![]() |
1 Синхронизация хэша паролей с помощью единого входа.
2 Сквозная проверка подлинности и единый вход.
3 Федеративный единый вход с помощью AD FS.
4 AD FS можно интегрировать с корпоративной инфраструктурой PKI, чтобы разрешить вход с помощью сертификатов. Это могут быть программные сертификаты, развернутые с помощью доверенного канала подготовки, например MDM, GPO, или смарт-сертификаты (включая карты PIV/CAC) или Hello для бизнеса (доверенный сертификат). Дополнительные сведения о поддержке проверки подлинности с использованием смарт-карт см. в этом блоге.
Лицензионные требования для Azure AD Connect
Эта функция бесплатна и доступна в вашей подписке Azure.