ADFS vs. Azure AD: hogyan változtatta meg a Microsoft a hitelesítési játékot
Addled by ADFS? Zavarba jelszó hash sync? Zavartan halad át a hitelesítésen? Vizsgáljuk meg, hogy az Azure AD hogyan hagyja hátra a helyszíni hitelesítést.
amikor a Microsoft 2011 júniusában elindította az Office 365 alkalmazást, az egyik korai követelmény az volt, hogy valamilyen formában egyetlen bejelentkezést biztosítson azoknak a vállalati felhasználóknak, akik egy hirdetési domainen belül hozzáférnek a platformhoz.,
Ez magában foglalta az Azure AD összekapcsolását az ADFS-en keresztül nyújtott Föderációs szolgáltatással és a helyszíni hirdetéssel.
azóta a felhő elfogadása óriási hatással volt a modern szervezetek hitelesítésére. A helyszíni funkcionalitásra való támaszkodás akadályt jelent, nem pedig segítséget.
mint ilyen, egyre több szervezet keresi a módját, hogy megszabaduljon a régi tech csapdáitól, és kihasználja a felhőt anélkül, hogy szükségtelen zavarokat okozna.,
de ez nem jelenti azt, hogy a meglévő módszerek nem rendelkeznek a felhasználásukkal, a felhő végső előnye, hogy rugalmasan választhatja ki az Ön igényeinek leginkább megfelelő módszereket, ezért vizsgáljuk meg, hogyan fejlődtek a felhőalapú hitelesítési megoldások az évek során, és milyen előnyökkel járnak.
A ADFS az Azure HIRDETÉS Connect–, felhő, hitelesítés
Az első felhő hitelesítés beállítás (bár nem preferált megközelítés) volt felhasználásával a “jelszó hash sync” funkció Azure HIRDETÉS Csatlakozni, így a felhasználók hitelesítésére közvetlenül a Felhő., Ha azonban ez megtörténik, a felhasználók nem lennének képesek egyetlen bejelentkezésre.
mivel a felhasználói élmény fontos annak biztosítása érdekében, hogy a szolgáltatások elfogadása, amely egyetlen bejelentkezés alapján a jelszó hash megközelítés, volt egy nagy probléma. Ezért világszerte számos szervezet alkalmazta az ADFS-t annak biztosítása érdekében, hogy a felhasználók a lehető legkönnyebben hozzáférhessenek az Office 365 szolgáltatásokhoz.
két évvel ezelőtt a dolgok megváltoztak, amikor a Microsoft elkezdte létrehozni az egységes bejelentkezés különböző módszereit az újabb hitelesítési módszerek mellett.,
pass-through Authentication and seamless single sign-on
az egyik ilyen módszer a Pass-through Authentication (PTA) volt. A PTA integrál egy webes bejelentkezést az Office 365-be egy hitelesítési kéréssel, amelyet a hirdetési tartományvezérlőknek küldtek.
Ez azt jelenti, hogy a felhasználó kitölti a bejelentkezési űrlapot az Azure-ban, de az azonosítót és a jelszót továbbra is érvényesíti a hirdetés az Azure AD Connect kiszolgálón való áthaladás után. Amikor a Microsoft kifejlesztette ezt, egy új, továbbfejlesztett módszert is kidolgoztak az egyszeri bejelentkezés biztosítására.,
Ez az új “zökkenőmentes egyszeri bejelentkezés” lehetővé tette az Azure számára, hogy Kerberos jegyet fogadjon el a hitelesítéshez. Ez a Kerberos token kapcsolódik az eredeti hirdetéshez, ahol a felhasználó hitelesítette, majd érvényesítésre átadható az Azure-nak. Ez azt jelentette, hogy a felhasználó, aki bejelentkezik a helyszínen, majd megpróbálja elérni Office 365 hitelesíthető a Kerberos token, egyszerű és biztonságos.
a PTA azonban továbbra is helyszíni összetevőt igényel., Ez kezdetben ügynökként van telepítve az Azure AD Connect szerverre, de további kiszolgálókra is telepíthető, hogy nagyobb rendelkezésre állást biztosítson – a Microsoft legalább három hitelesítési ügynököt ajánl a PTA három kiszolgálóján.
Ez a helyszíni követelmény, amely problémás lehet. Ha az Internetcső meghibásodik, akkor nem lesz hozzáférés az Office 365-hez, amíg a hitelesítés csak felhőre nem vált, vagy a hitelesítési ügynökök internetkapcsolata helyre nem áll.,
videó: Miért érdemes áttérni az Azure hitelesítésre?
ne legyen rabszolgája a helyszíni hitelesítési folyamatoknak. Nézd meg ezt a rövid videót, most, hogy:
- Felfedezni a különbségeket az összevont vs sikerült hitelesítés építészet
- Értem, legjobb gyakorlatok, módszerek vándorolnak a hitelesítés
figyelj
a Legjobb a két – hibrid megoldás
ahhoz, Hogy elkerülje ezt a helyzetet, most már van egy másik lehetőség., A password hash sync (PHS) használata azt jelenti, hogy a felhasználó mindig közvetlenül hitelesíthet az Azure hirdetéssel szemben.
Ez a legjobb módszer az Office 365 környezethez való következetes hozzáférés biztosítására, de úgy tűnik, hogy eltávolítja a felhasználók által szükséges egyetlen bejelentkezési lehetőséget.
ebben az esetben azonban a PHS kiegészíthető a zökkenőmentes egyetlen bejelentkezési lehetőséggel. Az Azure AD elfogadja ugyanazt a hirdetés alapú Kerberos Tokent, és nem követeli meg a felhasználótól, hogy adja meg az azonosítóját és jelszavát.,
a helyszíni felhasználók zökkenőmentes egyszeri bejelentkezéssel férhetnek hozzá, míg a máshol tartózkodó felhasználók a szolgáltatásokhoz való hozzáféréshez a megfelelő azonosító és jelszó kombinációt igényelnék.
ebben a forgatókönyvben nincs támaszkodás a helyszíni környezetre, internethiba esetén a külső felhasználók továbbra is hitelesíthetnek. Ha a belső hirdetés sikertelen, a felhasználók továbbra is használhatják az azonosítójukat és a jelszavukat a hozzáféréshez, annak ellenére, hogy a Kerberos token nem érhető el.
mi a különbség?,
Ezen a ponton érdemes lehet megnézni a három hitelesítési módszer relatív előnyeit és hátrányait.
ezek a funkciók azt jelzik, hogy az ADFS továbbra is jó választás, ha a hitelesítésnek csak a helyszínen kell lennie (és nem kerül be felhőalapú weboldalra), vagy annak meghatározásakor, hogy a felhasználó eszköze belső vagy külső.
minden más esetben előnyösebb lenne a PTA vagy a PHS alkalmazása., Mivel a PHS jobb rendelkezésre állást biztosít, és nem támaszkodik a helyszíni elemekre, általában ez az ajánlott hitelesítési módszer.
keresse meg, mi működik az Ön számára
újabban (2019.február) az NCSC megváltoztatta az Office 365 biztonságára vonatkozó tanácsát a “felhő-natív hitelesítés”használatához. Ez azt jelenti, hogy a PHS-t és a zökkenőmentes egységes bejelentkezést kell végrehajtani. A teljes dokumentum itt található.
sok szervezet esetében ez azt jelenti, hogy az ADFS implementációból áttérünk a PHS használatára és a zökkenőmentes egyetlen bejelentkezésre.,
mind a szinkronizálás, mind a hitelesítés változását bizonyos fokú gondossággal kell megközelíteni annak biztosítása érdekében, hogy az állásidő minimálisra csökkenjen.
Ez természetesen csak az Office 365 hitelesítési követelményeit távolítja el az ADFS környezetből, és nem távolít el más megbízható feleket sem, bár ezek nagy részét szükség esetén át lehet helyezni az Azure AD-re.
az ADFS-ről a jelszó-hash szinkronizálásra való áttérés zökkenőmentes egyetlen bejelentkezéssel kissé ijesztőnek tűnhet, de a ThirdSpace segíthet felgyorsítani a migrációs folyamatot.,
fontos, hogy szakértői tanácsokat kapjunk az adott szervezet számára a legjobb hitelesítési módszerről, mivel az ADFS-nek továbbra is megvannak a felhasználási módjai, és bizonyos körülmények között a legjobb megoldás lehet.
ügyeljen arra, hogy nézze meg rövid videónkat, hogy részletesebben megtudja, miért sokan teszik a felhőalapú hitelesítést.
fedezze fel az Azure AD, A Windows 10 és az Office 365 legfrissebb híreit és funkcióit negyedéves Microsoft Technology Update webinar sorozatunkkal.