ADFS vs. windows Azure AD: Miten Microsoft on muuttanut authentication peli
Remmi, jonka ADFS? Ymmällään salasanojen hash sync? Hämmentyneenä läpi tunnistautumisen? Tutkitaan, miten Azure-mainos jättää toimitiloihin tunnistautumisen taakseen.
Kun Microsoft julkisti Office 365-kesäkuussa 2011, yksi varhaisen vaatimukset oli tarjota jonkinlaista single sign-on yrityskäyttäjille, jotka olivat päästä alustan sisällä MAINOS verkkotunnuksen.,
Tämän mukaan yhdistää Azure AD federaation palvelun kautta ADFS-ja on-premises AD.
siitä Lähtien, pilvi hyväksyminen on ollut valtava vaikutus nykyajan organisaatioiden käyttäjien todentamiseen. Tilojen toiminnallisuuteen turvautumisesta on tullut pikemminkin este kuin apu.
Kuten, enemmän ja enemmän järjestöt etsivät tapoja ilmaista itseään mullin legacy teknologian ja hyödyntää Pilvi aiheuttamatta tarpeettomia häiriöitä.,
Mutta se ei ole sanoa, olemassa olevat menetelmät eivät ole niiden käyttötarkoitukset, lopullinen etu Pilvi on ottaa joustavasti valita menetelmiä, jotka parhaiten tarpeisiisi, joten katsotaanpa tutkia, miten pilvi authentication ratkaisut ovat kehittyneet vuosien varrella, ja niiden hyödyistä.
Valitse ADFS windows Azure AD Connect – ja pilvi-todennus
ensimmäinen pilvi todennus-vaihtoehto (vaikka se ei ole meidän ensisijainen lähestymistapa) oli hyödyntää ”salasana hash sync” ominaisuus windows Azure AD Connect, jonka avulla käyttäjät voivat todentaa suoraan Pilvi., Jos näin kuitenkin kävisi, käyttäjillä ei olisi yhtä ainoaa kirjautumista.
Koska käyttäjäkokemus on tärkeää varmistaa, että palvelut on hyväksynyt, joka tarjoaa single sign-on, joka perustuu salasanan hash lähestymistapa, oli suuri ongelma. Siksi monet järjestöt eri puolilla maailmaa käytössä ADFS varmistaa, että käyttäjät voivat käyttää Office 365-palveluita mahdollisimman helposti.
Kaksi vuotta sitten, asiat alkoivat muuttua, kun Microsoft alkoi luoda erilaisia menetelmiä single sign-on saatavilla rinnalla uudempia menetelmiä todennus.,
Pass-through Authentication ja saumaton single sign-on
Yksi näistä menetelmistä oli Pass-through Authentication (PTA). PTA yhdistää Office 365: n Web-allekirjoituksen AD-domain-ohjaimille lähetettyyn tunnistautumispyyntöön.
Tämä tarkoittaa sitä, että käyttäjä suorittaa sign-muodossa, Azure, mutta TUNNUS ja salasana ovat edelleen validoitu by AD jälkeen läpi Azure AD Connect server. Kun Microsoft kehitti tämän, he keksivät myös uuden parannetun menetelmän yhden kirjautumistavan tarjoamiseksi.,
Tämä uusi ”saumaton single sign-on”, saa Azure hyväksyä Kerberos-lipun todennus. Tämä Kerberos-merkki liittyy alkuperäiseen mainokseen, jossa käyttäjä todennettiin ja se voidaan siirtää Azureen validoitavaksi. Tämä tarkoitti sitä, että käyttäjä, joka allekirjoittaa tiloissa ja yrittää sitten käyttää Office 365 voidaan todentaa Kerberos token, yksinkertainen ja turvallinen.
PTA edellyttää kuitenkin edelleen toimitilakomponenttia., Tämä on alun perin asennettu agentti on windows Azure AD Connect server, mutta se voidaan myös asentaa muita palvelimia tarjota parempi saatavuus – Microsoft suosittelee vähintään kolme authentication agentit kolme palvelimia PTA.
juuri tämä toimitilavaatimus voi olla ongelmallinen. Olisi Internet-putki onnistu, niin ei tule käyttää Office 365: een, kunnes joko todennus on siirtynyt pilvi vain, tai Internet-yhteyden todennus-aineet on palautettu.,
Video: Miksi siirtyä Azure-todennusta?
Don ” t be a slave to On-premises authentication processes. Katso tämä lyhyt video nyt:
- Löytää eroja liittovaltio vs. onnistunut todennus arkkitehtuuri
- Ymmärtää, parhaiden käytäntöjen lähestymistapoja vaeltavat sinun autentikointi
Katso
Paras sekä – hybridi ratkaisu
Voit välttää tämän tilanteen, on nyt toinen vaihtoehto., Käyttämällä password hash sync (PHS) tarkoittaa, että käyttäjä voi aina todentaa suoraan Azure-mainosta vastaan.
Tämä on paras tapa tarjota johdonmukainen pääsy Office 365-ympäristö, mutta näyttäisi poista kertakirjautuminen laitokseen tarvitaan käyttäjiä.
tässä tapauksessa kuitenkin, PHS voidaan täydentää saumaton single sign-on laitos. Azure-mainos voi hyväksyä saman MAINOSPOHJAISEN Kerberos Tokenin eikä vaadi käyttäjää syöttämään tunnustaan ja salasanaansa.,
-tiloissa käyttäjät saavat käyttää saumaton single sign-on, kun käyttäjät, jotka ovat muualla vaatisi oikea TUNNUS ja salasana-yhdistelmää käyttää palveluja.
tässä skenaariossa ei ole luottamus tahansa on-premises-ympäristössä, jos internet-vika, kaikki ulkoiset käyttäjät voivat silti pystyä todentamaan. Jos sisäinen mainos epäonnistuu, käyttäjät voivat silti käyttää tunnustaan ja salasanaansa, vaikka Kerberos-tunnusta ei ole saatavilla.
mikä on ero?,
tässä vaiheessa voi olla syytä tarkastella kolmen todennusmenetelmän suhteellisia hyviä ja huonoja puolia.
Nämä toiminnot näyttävät osoittavan, että ADFS on edelleen hyvä valinta, kun todennus vaaditaan vain yrityksen tiloissa (ja ei tullut pilvi-pohjainen web-sivun), tai kun määritetään, onko käyttäjän laitteessa on sisäinen tai ulkoinen.
kaikissa muissa tapauksissa PTA: n tai PHS: n käyttö olisi suositeltavaa., Koska PHS tarjoaa paremman käytettävyyden ja ei ole riippuvuutta paikallinen elementtejä, se on yleensä suositeltava tapa todennus.
Löytää, mikä toimii sinulle
viime aikoina (helmikuu 2019), että NCSC on muuttunut heidän neuvoja turvaaminen Office 365 käyttää ”pilvi-natiivi-todennus”. Tämä tarkoittaa PHS: n ja saumattoman yhden merkin käyttöönottoa. Koko asiakirja löytyy täältä.
monille organisaatioille tämä tarkoittaa siirtymistä ADFS: n toteutuksesta PHS: n ja saumattoman yhden merkin käyttöön.,
sekä synkronoinnin että todentamisen muutosta on lähestyttävä varoen, jotta mahdolliset seisokit voidaan minimoida.
tietenkin, tämä vain poistaa Office 365-todennuksen vaatimukset ADFS ympäristö ja ei poista mitään muita reliant osapuolille, vaikka useimmat näistä pitäisi voida siirtää windows Azure AD-palveluun tarvittaessa.
Siirtymässä ADFS salasanan hash synkronointi-saumaton single sign-on voi tuntua hieman pelottava, mutta ThirdSpace voi auttaa nopeuttaa muuttoliikkeen prosessi.,
Saada asiantuntijan neuvoja paras tapa todennus tietyn organisaation on tärkeää, kuten ADFS on vielä sen käyttää ja voi osoittautua paras vaihtoehto joissakin tilanteissa.
muista katsoa lyhyen videon, saada lisätietoja siitä, miksi monet tekevät hypätä pilvi-pohjainen autentikointi.
Myös löytää kaikki uusimmat uutiset ja ominaisuuksia tulossa windows Azure AD-palveluun, Windows 10 ja Office 365: n kanssa neljännesvuosittain Microsoft-Teknologia Päivittää webinaarin sarjan.