ADFS vs. Azure AD: jak společnost Microsoft změnila ověřovací hru
přidanou ADFS? Zmatený heslem hash sync? Zmatený průchodem autentizací? Pojďme prozkoumat, jak Azure AD zanechává autentizaci v prostorách.
Když Microsoft spustil Office 365 v červnu 2011, jedním z prvních požadavků bylo poskytnout určitou formu jediného přihlášení pro firemní uživatele, kteří přistupovali na platformu z reklamní domény.,
to zahrnovalo propojení Azure AD se službou federace poskytovanou prostřednictvím ADFS a reklamy v areálu.
od té doby má Cloud adoption obrovský vliv na způsob, jakým moderní organizace ověřují uživatele. Jakákoli závislost na funkčnosti v areálu se stala překážkou, spíše než pomoc.
Jako takové, stále více a více organizace hledají způsoby, jak osvobodit se od vymožeností legacy tech a využít Cloud bez zbytečných přerušení.,
Ale to není říci, že stávající metody nemají své využití, konečný výhodou Cloudu je mít možnost si vybrat metody, které nejlépe splňují vaše potřeby, takže pojďme prozkoumat, jak cloud řešení autentizace se vyvinuly v průběhu let, a výhody, které přinášejí.
Z ADFS Azure AD Connect – a cloudové ověřování
první cloud možnost ověřování (i když to není náš preferovaný přístup) byl s využitím „password hash sync“ funkce Azure AD Connect, který umožňuje uživatelům ověřit přímo v Cloudu., Pokud by se to však stalo, uživatelé by nebyli schopni mít jediné přihlášení.
vzhledem k tomu, že uživatelská zkušenost je důležitá pro zajištění přijetí služeb, bylo hlavním problémem poskytování jediného přihlášení na základě přístupu hash hesla. Proto mnoho organizací po celém světě nasadilo ADFS, aby zajistily, že uživatelé budou mít přístup ke službám Office 365 co nejjednodušší.
před dvěma lety se věci začaly měnit,když společnost Microsoft začala vytvářet různé metody jednotného přihlášení dostupné vedle novějších metod ověřování.,
Pass-through Authentication a seamless single sign-on
jednou z těchto metod byla Pass-through Authentication (PTA). PTA integruje webové přihlášení do sady Office 365 s žádostí o ověření zaslanou řadičům ad domain.
To znamená, že uživatel dokončí přihlášení na formě, v Azure, ale ID a heslo jsou stále potvrzen AD po průchodu Azure AD Connect server. Když to Microsoft vyvinul, přišli také s novou vylepšenou metodou pro poskytování jediného přihlášení.,
tento nový „bezproblémový single sign-on“ umožnil Azure přijmout Kerberos ticket pro autentizaci. Tento token Kerberos je spojen s původní reklamou, kde se uživatel ověřil a může být předán Azure pro ověření. To znamenalo, že uživatel, který se přihlásí na místě a poté se pokusí získat přístup k Office 365, může být ověřen tokenem Kerberos, jednoduchým a bezpečným.
PTA však stále vyžaduje komponentu v areálu., To je původně nainstalován jako agenta Azure AD Connect server, ale může být také nainstalován na další servery poskytují větší dostupnost – Microsoft doporučujeme alespoň tři ověřování agentů na tři servery, pro PTA.
je to právě tento požadavek na místě, který by mohl být problematický. Internet potrubí nepodaří, pak to nebude mít žádný přístup k Office 365, dokud buď ověřování nastaven na cloud pouze, nebo připojení k Internetu pro ověřování agentů je obnovena.,
Video: Proč migrovat na autentizaci Azure?
nebuďte otrokem autentizačních procesů v prostorách. Podívejte se na toto krátké video teď:
- Zjistit rozdíly ve federativních vs. podařilo ověřování architektury
- Pochopit, osvědčené postupy pro migraci autentizace
Hodinky
to Nejlepší z obou – hybridní řešení
Aby se předešlo této situaci, tam je nyní další možnost., Použití password hash sync (PHS) znamená, že uživatel může vždy ověřit přímo proti Azure reklamy.
jedná se o nejlepší způsob poskytování konzistentního přístupu do prostředí Office 365, ale zdá se, že odstraní jediné přihlašovací zařízení potřebné uživateli.
v tomto případě však může být pH doplněno bezproblémovým jediným sign-on zařízením. Azure AD může přijmout stejný token Kerberos založený na reklamě a nevyžaduje, aby uživatel zadal své ID a heslo.,
místní uživatelé získat přístup pomocí bezešvé single sign-on, zatímco uživatelé, kteří jsou jinde by vyžadovalo správné ID a heslo pro přístup ke službám.
v tomto scénáři není spoléhání se na žádné prostředí v prostorách, v případě selhání internetu budou moci externí uživatelé stále ověřovat. Pokud interní reklama selže, uživatelé budou stále moci používat své ID a heslo pro přístup, i když token Kerberos není k dispozici.
jaký je rozdíl?,
v tomto okamžiku může být vhodné podívat se na relativní výhody a nevýhody tří autentizačních metod.
Tyto funkce by naznačovalo, že ADFS je stále dobrou volbou, pokud je vyžadována autentizace být pouze v prostorách (a ne vstoupil do cloud-based webové stránce), nebo při určování, zda zařízení uživatele je interní nebo externí.
pro všechny ostatní případy by bylo vhodnější použití PTA nebo PHS., Vzhledem k tomu, že PHS poskytuje lepší dostupnost a nespoléhá se na prvky v prostorách, je to obecně doporučená metoda ověřování.
najděte, co pro vás funguje
v poslední době (únor 2019), NCSC změnilo své rady ohledně zabezpečení sady Office 365 a použilo „cloud-native authentication“. To znamená zavedení PHS a bezproblémové single sign-on. Celý dokument najdete zde.
pro mnoho organizací to znamená přechod od implementace ADFS k použití PHS a bezproblémového jediného přihlášení.,
ke změně synchronizace i autentizace je třeba přistupovat s určitou opatrností, aby bylo zajištěno minimalizace prostojů.
to samozřejmě odstraňuje pouze požadavky na autentizaci Office 365 z prostředí ADFS a neodstraňuje žádné jiné závislé strany, i když většina z nich by měla být v případě potřeby přesunuta do Azure AD.
Stěhování z ADFS k hash hesla synchronizovat s bezproblémovou single sign-on může zdát trochu děsivé, ale třetím prostorem může pomoci urychlit proces migrace.,
získání odborné rady ohledně nejlepší metody ověřování pro vaši konkrétní organizaci je důležité, protože ADFS má stále své využití a za určitých okolností se může ukázat jako nejlepší volba.
nezapomeňte se podívat na naše krátké video, abyste získali více podrobností o tom, proč mnozí dělají skok na autentizaci založenou na cloudu.
Také, objevte všechny nejnovější zprávy a funkce coming Azure AD, Windows 10 a Office 365 s naší čtvrtletní Technologie Microsoft Update webinar série.