ADFS vs.Azure AD:Microsoft 가 ADFS 에 의해 Addled 인증 게임
를 변경 한 방법? 암호 해시 동기화에 의아해? 인증을 통과하여 당혹 스럽습니까? Azure AD 가 온-프레미스 인증을 어떻게 남겨두고 있는지 살펴 보겠습니다.
Microsoft 시작 Office365 월에서 2011 년,하나의 초기의 요구 사항을 제공하여 일부 형태의 단일 등록에 대한 기업의 사용자에 액세스하는 플랫폼에서 광고 내 도메인에 있습니다.,
여기에는 AZURE AD 를 ADFS 및 온프레미스 광고를 통해 제공되는 페더레이션 서비스에 연결하는 작업이 포함되었습니다.
이후,클라우드 채택했는 방법에 현대적인 조직에서 사용하여 사용자를 인증합니다. 온-프레미스 기능에 대한 모든 의존은 도움보다는 방해가되었습니다.
등과 같은,더 이상의 조직에 찾고있는 방법에 대한 자신을 무료로부터의 치장을 기존 기술과 활용의 구름을 일으키지 않고 불필요한 중단합니다.,
하지만 그 말을 기존 방법이 없어 그들의 사용,궁극적용가 융통성이 있는 선택 방법의 요구를 충족하는,그래서 그의 검사 인증이 어떻게 클라우드 솔루션은 수년에 걸쳐 진화하고 혜택을 가져오.
에서 ADF Azure AD 에 연결–및 클라우드 인증을
첫 번째는 클라우드의 인증 옵션을(아니지만 우리가 선호하는 방식)를 이용하는”암호 해시 동기화 기능을”Azure 광고를 연결,사용자가 허용한 인증에서 직접합니다., 그러나 이런 일이 발생하면 사용자는 싱글 사인온을 가질 수 없습니다.서비스가 채택되도록하기 위해 사용자 경험이 중요하기 때문에 암호 해시 방식을 기반으로 싱글 사인온을 제공하는 것이 큰 문제였습니다. 따라서 전 세계의 많은 조직에서 ADFS 를 배포하여 사용자가 Office365 서비스에 최대한 쉽게 액세스 할 수 있도록했습니다.
두 개의 년 전,변화가 일어나기 시작했습니다면 Microsoft 들을 만들기 시작했 다른 방법의 단일 등록과 함께 사용할 수 있 새로운 방법의 인증이 있습니다.,
패스 스루 인증 및 원활한 싱글 사인온
이러한 방법 중 하나는 패스 스루 인증(PTA)이었다. PTA 는 Ad 도메인 컨트롤러로 전송되는 인증 요청과 함께 Office365 에 웹 로그온을 통합합니다.즉,사용자가 Azure 에서 사인온 양식을 완료하지만 AZURE AD Connect 서버를 통과 한 후에도 ID 와 비밀번호가 AD 에서 여전히 유효성을 검사합니다. 마이크로 소프트가이를 개발했을 때,그들은 또한 싱글 사인온을 제공하기위한 새로운 개선 된 방법을 생각해 냈습니다.,
이 새로운”seamless single sign-on”은 Azure 가 인증을 위해 Kerberos 티켓을 수락 할 수있게했습니다. 이 Kerberos 토큰은 사용자가 인증 한 원본 광고에 연결되며 유효성 검사를 위해 Azure 로 전달 될 수 있습니다. 이 의미는 사용자에서 온 그런 다음에 액세스하려고 사무실 365 인증할 수 있습 Kerberos 토큰 간단하고 안전합니다.
그러나 PTA 에는 여전히 온 프레미스 구성 요소가 필요합니다., 이것은 처음에 설치되는 에이전트로서 Azure 광고 서버에 연결지만 설치할 수도 있습니다 추가 서버에서 제공하는 더 큰 가용성 Microsoft 추천은 적어도 세 가지 인증제에 대한 세 대의 서버 PTA.문제가 될 수있는 온 프레미스 요구 사항입니다. 해 인터넷 파이프,실패 없음이 없을 것입하세 Office365 지 인증은 전환로드하거나,인터넷 연결하는 인증제가 복원됩니다.,이 응용 프로그램을 사용하면 Azure 인증으로 마이그레이션할 수 있습니다.
Don”t 는 온 프레미스 인증 프로세스의 슬레이브입니다. 이 짧은 비디오를 시청하려면 지금:
- 발견된 차이점에서 페더레이션 대 관리 인증링
- 이해하는 제일 연습에 접근 마이그레이션하는 방법에 대한 인증을
시계는 지금
모두의 가장 좋은–하이브리드 솔루션
이러한 상황을 방지하기 위해,이제 또 다른 옵션입니다., PHS(password hash sync)를 활용하면 사용자는 항상 Azure 광고에 대해 직접 인증 할 수 있습니다.
이장하기 위한 최선의 방법입니다 제공하는 일관된 액세스 Office365 환경 보거 single sign-on 시설에 필요한 사용자.
이 경우 phs 는 원활한 싱글 사인온 설비로 보완 될 수 있습니다. Azure AD 는 동일한 광고 기반 Kerberos 토큰을 수락 할 수 있으며 사용자가 ID 와 암호를 입력 할 필요가 없습니다.,
내 사용자가 사용하는 이음새가 없 single sign-on 하는 동안,사용자가 다른 곳에서 필요한 것이 올바른 ID 및 비밀번호를 조합에 액세스하는 서비스입니다.
에서 이 시나리오에 의존할 필요가 없습니다 모든내 환경에서의 이벤트는 인터넷전,어떤 외부의 사용자가 아직 인증할 수 있습니다. 내부 광고가 실패하면 Kerberos 토큰을 사용할 수 없더라도 사용자는 여전히 ID 와 암호를 사용하여 액세스 할 수 있습니다.
차이점은 무엇입니까?,
이 시점에서 세 가지 인증 방법의 상대적인 장단점을 살펴볼 가치가있을 수 있습니다.
이러한 기능을 나타내는 것입 ADF 은 여전히 좋은 선택을 할 때에 인증이 필요한 것만-프레미스(그리고 입력하지 않으로 클라우드 기반의 웹 페이지),또는지 여부를 결정할 때 사용자의 장치가 내부 또는 외부.
다른 모든 경우에는 PTA 또는 PHS 의 사용이 바람직합니다., PHS 는 더 나은 가용성을 제공하고 온-프레미스 요소에 의존하지 않기 때문에 일반적으로 인증에 권장되는 방법입니다.
작동하는 것을 발견을 위한 당신
최근에(월 2019),이 NCSC 변경되었을 그들의 조언 확보에 Office365 를 사용”클라우드 네이티브 인증”. 이는 PHS 및 원활한 싱글 사인온을 구현하는 것을 의미합니다. 전체 문서는 여기에서 찾을 수있다.
많은 조직의 경우,이는 ADFS 구현에서 PHS 및 원활한 싱글 사인온을 사용하는 것으로 이동하는 것을 의미합니다.,
동기화 및 인증 둘 다의 변화는 가동 중지 시간이 최소화되도록 어느 정도주의를 기울여 접근해야합니다.
의 물론,이만을 제거하 Office365 인증을 요구 사항에서 ADF 환경을 제거하지 않는 다른 의사지만,대부분의 이해야 할 수 있으로 이동 Azure 광고 적절한 경우.
에서 이동하 ADF 를 암호화와 이에 대한 보일 수 있는 조금 무서운지만,ThirdSpace 수 있습을 촉진하는 데 도움이의 마이그레이션 프로세스입니다.,
전문가의 조언을 받고에서 가장 좋은 방법의 인증을 위한 귀사의 특정 조직은 중요한 것으로,ADF 여전히 사용하며 최선의 선택이 될 어떤 상황에서.많은 사람들이 클라우드 기반 인증에 뛰어 드는 이유에 대해 더 자세히 알기 위해 짧은 비디오를 시청해야합니다.
또한 모든 최신 뉴스 그리고 오는 특징을 Azure 광고,윈도우 10,Office365 와 우리의는 분기별 Microsoft 기술을 업데이트는 웹 세미나 시리즈입니다.