随着微軟Office365服務(未來将更新為Microsoft 365)在中國的深入推廣,越來越多的企業開始采用本地應用和雲應用的混合服務模式。其中Azure AD作為O365産品的重要組成部分,在雲上服務中的地位與On-Premise的AD域相當。
在企業本地和雲的混合環境中,特别是Exchange混合部署環境,了解這類環境下賬戶在多種混合身份驗證方式下的身份驗證過程,以及如何根據企業需求選擇合适的混合驗證方式,對了解混合環境下應用和Azure AD運作方式有一定的促進作用。
混合身份驗證的方法
在企業應用混合部署環境中,身份驗證是雲通路的基礎。選擇正确的身份驗證方法是設定 Azure AD 混合驗證解決方案至關重要的第一個決定。Azure AD 支援以下适用于混合驗證解決方案的身份驗證方法:
1. 雲身份驗證
選擇此身份驗證方法時,Azure AD 會處理使用者的登入過程。 結合使用無縫單一登入 (SSO),使用者可以登入到雲應用,無需重新輸入其憑據。 如果使用的是雲身份驗證,可以從以下兩個選項中選擇:
Azure AD 密碼哈希同步
這是在 Azure AD 中為本地目錄對象啟用身份驗證的最簡單方法。 使用者可以使用其在本地使用的同一使用者名和密碼,不必部署任何其他基礎架構伺服器。 且在要使用Azure AD 的某些進階功能時(例如 Identity Protection 和Azure AD 域服務)則必須進行密碼哈希同步,無論具體選擇的是哪種身份驗證方法。
Azure AD 直通身份驗證
通過使用一個或多個在本地伺服器上運作的軟體代理,為 Azure AD 身份驗證服務提供簡單密碼驗證。 伺服器直接使用本地 Active Directory 驗證使用者,這将確定雲中不發生密碼驗證。
具有強制即時的本地使用者賬戶狀态、密碼政策和登入小時數生效等安全要求的公司可能會使用此身份驗證方法。
2. 聯合身份驗證
選擇此身份驗證方法時,Azure AD 将身份驗證過程移交給單獨的受信任身份驗證系統(例如本地部署的AD FS或PingFederate服務)來驗證使用者的密碼。
身份驗證系統可以提供其他進階身份驗證要求。 例如,基于智能卡的身份驗證或第三方多重身份驗證。
驗證方法選擇的決策
針對企業不同的環境以及企業對驗證方式、應用系統安全、運維管理等方面的要求,需根據實際情況選擇合适的混合驗證方式,如下是基于企業不同需求下的驗證方式選擇決策樹:
1. Azure AD 可以處理不依賴于本地元件來驗證密碼的使用者的登入。
2. Azure AD 可以将使用者登入移交給受信任的身份驗證提供 程式,例如 Microsoft 的 AD FS。
3. 如果需要應用,使用者級 Active Directory 安全政策(例如賬戶已過期、已禁用賬戶、密碼已過期、賬戶鎖定和登入時間),Azure AD 需要某些本地元件。
4. Azure AD 本身不支援的登入功能:
- 使用智能卡或證書進行登入。
- 使用本地 MFA 伺服器進行登入。
- 使用第三方身份驗證解決方案進行登入。
- 多站點本地身份驗證解決方案。
5. 無論你選擇了哪種登入方法,Azure AD 辨別保護都需要使用“密碼哈希同步”來提供“憑據洩漏的使用者”報告。如果組織的主要登入方法失敗并且在發生故障事件之前進行了配置,則組織可以故障轉移到密碼哈希同步。
其他優質文章
【知識科普】嵌入式軟體開發是什麼?
【經驗分享】銀行應用運維平台設計與建設建議
【原型設計】如何利用Axure實作下拉子菜單?
【原型設計】如何利用Axure實作下拉子菜單?
落地靈活開發的12個建議,打造自定義開發管理模式!