ADFS vs. Azure ANNONCE: Hvordan har Microsoft ændret godkendelse spil

0 Comments

Omtågede af ADFS? Forvirret af pass ?ord hash sync? Forvirret ved at passere gennem godkendelse? Lad os undersøge, hvordan A .ure AD efterlader godkendelse på stedet.

da Microsoft lancerede Office 365 i juni 2011, var et af de tidlige krav at give en form for single sign-on til virksomhedsbrugere, der fik adgang til platformen fra et ANNONCEDOMÆNE.,

dette indebar at forbinde a .ure AD til federation service, der leveres via ADFS og on-premises AD.

siden da har skyadoption haft en enorm indflydelse på, hvordan moderne organisationer autentificerer brugere. Enhver afhængighed af lokal funktionalitet er blevet en hindring, snarere end en hjælp.

som sådan er flere og flere organisationer på udkig efter måder at befri sig fra trappings af legacy tech og drage fordel af skyen uden at forårsage unødvendig forstyrrelse.,

men det er ikke at sige, at eksisterende metoder ikke har deres anvendelser, den ultimative fordel ved Skyen er at have fleksibiliteten til at vælge de metoder, der bedst opfylder dine behov, så lad os undersøge, hvordan skygodkendelsesløsninger har udviklet sig gennem årene, og de fordele, de bringer.

Fra ADFS til Azure AD Slut – og cloud-godkendelse

Den første cloud-godkendelse option (selvom det ikke er vores foretrukne metode) var at udnytte den “password hash sync” funktion af Azure AD Connect, der giver brugerne mulighed for at godkende direkte i Skyen., Men, hvis dette skete brugerne ville ikke være i stand til at have single sign-on.

da brugeroplevelsen er vigtig for at sikre, at tjenesterne vedtages, var det et stort problem at levere single sign-on, baseret på pass .ord hash-tilgangen. Derfor implementerede mange organisationer over hele verden ADFS for at sikre, at brugerne kunne få adgang til Office 365-tjenester så let som muligt.for to år siden begyndte tingene at ændre sig, da Microsoft begyndte at oprette forskellige metoder til single sign-on, der var tilgængelige sammen med nyere metoder til godkendelse.,

Pass-through Authentication og problemfri single sign-on

en af disse metoder var Pass-through Authentication (PTA). PTA integrerer en signeb sign-on til Office 365 med en anmodning om godkendelse sendt til AD domain controllere.

dette betyder, at brugeren udfylder tilmeldingsformularen i A .ure, men ID og adgangskode valideres stadig af AD efter at have passeret a .ure AD Connect-serveren. Da Microsoft udviklede dette, kom de også med en ny forbedret metode til at levere single sign-on.,

denne nye “problemfri single sign-on” gjorde det muligt for a .ure at acceptere en Kerberos-billet til godkendelsen. Dette Kerberos-token er knyttet til den originale annonce, hvor brugeren autentificeres og kan overføres til A .ure til validering. Dette betød, at en bruger, der logger ind på stedet og derefter forsøger at få adgang til Office 365, kan godkendes med Kerberos-token, enkelt og sikkert.

PTA kræver dog stadig en lokal komponent., Dette installeres oprindeligt som en agent på A .ure AD Connect – serveren, men kan også installeres på yderligere servere for at give større tilgængelighed-Microsoft anbefaler mindst tre godkendelsesagenter på tre servere til PTA.

det er dette lokale krav, der kan være problematisk. Skulle Internet pipe mislykkes, vil der ikke være adgang til Office 365, indtil enten autentificering kun skiftes til cloud, eller internetforbindelsen til godkendelsesagenterne gendannes.,

Video: Hvorfor migrere til Azure-godkendelse?

Don”t være en slave til On-premises authentication processer. Se denne korte video for nu at:

  • Opdage forskelle i federated vs. lykkedes godkendelse arkitektur
  • Forstå bedste praksis for at migrere din godkendelse

Se nu

Bedste af begge, for En hybrid løsning

for At undgå denne situation, er der nu en anden mulighed., Ved hjælp af pass .ord hash sync (PHS) betyder, at en bruger altid kan godkende direkte mod A .ure annonce.

Dette er den bedste metode til at give ensartet adgang til Office 365-miljøet, men ser ud til at fjerne den single sign-on-facilitet, som brugerne har brug for.

i dette tilfælde kan PHS dog suppleres med den sømløse single sign-on-facilitet. A .ure AD kan acceptere det samme annoncebaserede Kerberos-token og kræver ikke, at brugeren indtaster deres ID og adgangskode.,

Lokale brugere får adgang ved hjælp af problemfri enkeltlogon, mens brugere, der er andre steder, kræver den korrekte ID-og adgangskodekombination for at få adgang til tjenesterne.

i dette scenario er der ingen afhængighed af et lokalt miljø, i tilfælde af en internetfejl vil eventuelle eksterne brugere stadig kunne godkende. Hvis den interne annonce mislykkes, vil brugerne stadig kunne bruge deres ID og adgangskode til at få adgang, selvom Kerberos-token ikke er tilgængelig.

Hvad er forskellen?,

På dette tidspunkt kan det være værd at se på de relative fordele og ulemper ved de tre godkendelsesmetoder.

Disse funktioner synes at indikere, at ADFS er stadig et godt valg, når der kræves godkendelse for at være kun på lokaler (og ikke har indgået en cloud-baseret web-side), eller når det skal afgøres om en brugers enhed er enten interne eller eksterne.

i alle andre tilfælde ville brugen af PTA eller PHS være at foretrække., Da PHS giver bedre tilgængelighed og ikke er afhængig af lokale elementer, er det generelt den anbefalede metode til godkendelse.

Find hvad der virker for dig

for nylig (februar 2019), NCSC har ændret deres rådgivning om sikring af Office 365 til at bruge “skyen-native-godkendelse”. Dette betyder implementering af PHS og problemfri single sign-on. Det fulde dokument kan findes her.

for mange organisationer betyder det at gå fra en ADFS-implementering til at bruge PHS og problemfri single sign-on.,

ændringen i både synkronisering og autentificering bør gribes an med en vis omhu for at sikre, at enhver nedetid minimeres.

dette fjerner naturligvis kun Office 365-godkendelseskravene fra ADFS-miljøet og fjerner ikke andre afhængige parter, selvom de fleste af disse skal kunne flyttes til A .ure AD, når det er relevant.flytning fra ADFS til Pass .ord hash-synkronisering med problemfri single sign-on kan virke lidt skræmmende, men ThirdSpace kan hjælpe med at fremskynde migreringsprocessen.,

det er vigtigt at få ekspertrådgivning om den bedste metode til godkendelse for din specifikke organisation, da ADFS stadig har sine anvendelser og i nogle tilfælde kan vise sig at være den bedste løsning.

sørg for at se vores korte video for at få flere detaljer om, hvorfor mange gør springet til skybaseret godkendelse.

Også, opdage alle de seneste nyheder og funktioner, der kommer til Azure ANNONCE, Windows 10 og Office 365 med vores kvartalsvise Microsoft Teknologi Opdatering webinar serie.


Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *