Проектирование архитектуры идентификации

Архитектуры управления удостоверениями и доступом (IAM) предоставляют платформы для защиты данных и ресурсов. Внутренние сети устанавливают границы безопасности в локальных системах. В облачных средах сети периметра и брандмауэры недостаточно для управления доступом к приложениям и данным. Вместо этого общедоступные облачные системы используют решения идентификации для обеспечения безопасности границ.

Решение идентификации управляет доступом к приложениям и данным организации. У пользователей, устройств и приложений есть удостоверения. Компоненты IAM поддерживают проверку подлинности и авторизацию этих и других удостоверений. Процесс проверки подлинности определяет, кто или что использует учетную запись. Авторизация управляет тем, что пользователь может делать в приложениях.

Azure предлагает множество вариантов для тех, кто только выбирает решение для удостоверений или хочет расширить имеющуюся реализацию. Один из таких вариантов — Azure Active Directory (Azure AD), облачная служба, которая предоставляет возможности для управления удостоверениями и контроля доступа. Чтобы выбрать решение, для начала изучите эту службу и другие компоненты, средства и эталонные архитектуры Azure.

Общие сведения об удостоверениях в Azure

Если вы не знакомы с IAM, лучше всего начать с Microsoft Learn. Эта бесплатная онлайн-платформа предлагает видео, учебники и практические учебные материалы по различным продуктам и услугам.

Следующие ресурсы помогут вам ознакомиться с основными понятиями IAM.

Схемы обучения

• Основы безопасности, соответствия и идентификации Майкрософт. Описание возможностей решений Майкрософт по управлению удостоверениями и доступом
• Реализация удостоверения Microsoft — Associate
• SC-300. Реализация решения по управлению удостоверениями
• MS-500, часть 1. Реализация идентификации и доступа, а также управление ими

Модули

• Описание концепций идентификации
• Изучение платформы удостоверений Майкрософт

Путь к рабочей среде

После того как вы рассмотрели основы управления удостоверениями, следующим шагом является разработка решения.

Проектирование

Чтобы изучить варианты решений идентификации, ознакомьтесь со следующими ресурсами:

• Сравнение трех служб, предоставляющих доступ к центральному удостоверению, см. в статье "Сравнение самоуправляемых доменные службы Active Directory, Azure Active Directory и управляемых доменные службы Active Directory Azure".

• Сведения о том, как сделать IAM устойчивым, см. в статье об устойчивом управлении удостоверениями и доступом с помощью Azure AD.

• Сведения о сравнении вариантов снижения задержки при интеграции с сетью Azure см. в статье "Интеграция локальной службы AD с Azure".

• Сведения о связывании предложений выставления счетов с клиентом Azure AD см. в предложениях по выставлению счетов Azure и клиентах Active Directory.

• Сведения о вариантах для основы идентификации и доступа см. в области проектирования управления удостоверениями и доступом Azure.

• Сведения о способах упорядочения ресурсов, развертываемых в облаке, см. в статье "Организация ресурсов".

• Сравнение различных вариантов проверки подлинности см. в статье "Выбор правильного метода проверки подлинности" для решения гибридной идентификации Azure Active Directory.

• Сведения о комплексном решении гибридной идентификации см. в статье "Как Azure AD обеспечивает управление облачными решениями для локальных рабочих нагрузок".

• Сведения о том, как Azure AD Connect интегрирует локальные каталоги с Azure AD, см. в статье "Что такое Azure AD Connect?".

Реализация

Когда вы решили использовать подход, реализация будет следующей. Рекомендации по развертыванию см. в следующих ресурсах:

• Серию статей и примеров кода для мультитенантного решения см. в разделе "Управление удостоверениями" в мультитенантных приложениях.

• Сведения о развертывании Azure AD см. в следующих ресурсах:

  • Руководство по развертыванию компонентов Azure Active Directory
  • Планы развертывания Azure Active Directory
  • Планы развертывания Azure Active Directory B2C

• Сведения об использовании Azure AD и OAuth 2.0 для защиты одностраничного приложения см. в статье "Безопасная разработка с помощью одностраничных приложений (SPAs)".

Рекомендации

• Благодаря таким возможностям, как автоматизация, самообслуживание и единый вход, Azure AD может повысить производительность. Общие сведения о преимуществах этой службы см. в четырех шагах к надежной базе удостоверений с помощью Azure Active Directory.

• Чтобы проверить, соответствует ли реализация Azure AD azure Security Benchmark версии 2.0, ознакомьтесь с базовыми показателями безопасности Azure для Azure Active Directory.

• Некоторые решения используют частные конечные точки в клиентах для подключения к службам Azure. Рекомендации по проблемам безопасности в отношении частных конечных точек см. в статье "Ограничение подключений частных конечных точек между клиентами" в Azure.

• Рекомендации по следующим сценариям см. в статье "Интеграция локальных доменов AD" с Azure AD:

  • Предоставление удаленному пользователям вашей организации доступа к веб-приложениям Azure
  • Реализация возможностей самообслуживания для конечных пользователей
  • Использование локальной сети и виртуальной сети, которые не подключены с помощью туннеля виртуальной частной сети (VPN) или канала ExpressRoute

• Общие сведения и рекомендации по переносу приложений в Azure AD см. в следующих статьях:

  • Перенесите проверку подлинности приложения в Azure Active Directory
  • Перенос проверки подлинности приложения в Azure Active Directory
  • Проверка отчета о действиях приложений
  • Ресурсы для переноса приложений в Azure Active Directory

Набор базовых реализаций

Эти эталонные архитектуры предоставляют базовые реализации для различных сценариев:

• Создание леса ресурсов доменных служб Active Directory в Azure
• Развертывание AD DS в виртуальной сети Azure
• Развертывание локальных служб федерации Active Directory в Azure

Оставайтесь в курсе с помощью удостоверений

Azure AD усовершенствуется на постоянной основе.

• Сведения о последних разработках см. в статье "Новые возможности Azure Active Directory"?
• Сведения о стратегии, в которой показаны новые ключевые функции и службы, см. в обновлениях Azure.

Дополнительные ресурсы

Следующие ресурсы предоставляют практические рекомендации и информацию для конкретных сценариев.

Azure AD в образовательных средах

• Общие сведения о клиентах Azure Active Directory
• Проектирование мультитенантной архитектуры для крупных учреждений
• Конфигурация клиента разработки
• Разработка стратегий проверки подлинности и учетных данных
• Проектирование стратегии учетной записи
• Проектирование системы управления удостоверениями
• Обновлено руководство по развертыванию EDU Microsoft 365 во время COVID-19

Сведения для специалистов по Amazon Web Services (AWS) и Google Cloud

• Безопасность и идентификация в нескольких облаках при использовании Azure и Amazon Web Services (AWS)
• Управление удостоверениями Azure Active Directory и управление доступом для AWS
• Сравнение служб Google Cloud с Azure — безопасность и идентификация