ADFS vs. Azure AD: Hvordan Microsoft har endret godkjenning spillet
Addled av ADFS? Forvirret av passord-hash sync? Forvirret ved å passere gjennom godkjenning? La oss utforske hvordan Azure AD forlater lokal godkjenning bak.
Når Microsoft lanserte Office 365 i juni 2011, en av de tidlige krav var å gi noen form for » single sign-on for bedriftsbrukere som var å få tilgang til plattformen fra en AD-domene.,
Dette innebar å knytte Azure AD til federation service som tilbys via ADFS og den lokale AD.
Siden da, cloud adopsjon har hatt en enorm innflytelse på vei moderne organisasjoner autentisere brukere. Stoler på lokale funksjonalitet har blitt en hindring, snarere enn en hjelp.
Som sådan, flere og flere organisasjoner som er på utkikk etter måter å frigjøre seg fra pynt av eldre tech og dra fordel av Nettskyen uten å forårsake unødvendige avbrudd.,
Men det er ikke å si eksisterende metoder ikke har sine bruksområder, den ultimate nytte av Nettskyen er å ha fleksibilitet til å velge metoder som best oppfyller dine behov, så la oss se nærmere på hvordan cloud godkjenning løsninger har utviklet seg gjennom årene, og hvilke fordeler de gir.
Fra ADFS til Azure AD-Koble – og cloud-godkjenning
Den første cloud-godkjenning alternativ (selv om det ikke er vår foretrukne tilnærming) var å utnytte «passord-hash-sync-funksjonen i Azure AD Koble til, slik at brukerne til å autentisere direkte i Nettskyen., Imidlertid, hvis dette skjedde brukerne ikke ville være i stand til å ha single sign-on.
Siden brukeropplevelsen er viktig å sikre at tjenestene er vedtatt, gir single sign-on, basert på passord-hash tilnærming, var et stort problem. Derfor er det mange organisasjoner over hele verden utplassert ADFS for å sikre at brukere kan få tilgang til Office 365-tjenester så raskt som mulig.
for To år siden, begynte ting å endre seg når Microsoft begynte å lage ulike metoder for single sign-on ved siden av nyere metoder for godkjenning.,
Pass-through-Godkjenning og sømløs single sign-on
En av disse metodene ble Pass-through-Godkjenning (PTA). PTA integrerer en web-pålogging til Office 365 med en godkjenning forespørsel sendt til AD-domenekontrollere.
Dette betyr at brukeren har fullført pålogging form i Azure, men ID-en og passordet er fortsatt validert av ANNONSEN etter å ha passert gjennom Azure AD Koble til server. Når Microsoft utviklet dette, de kom også opp med en ny og forbedret metode for å tilby single sign-on.,
Denne nye «sømløs» single sign-on», er tillatt Azure å godta en Kerberos-billett for godkjenning. Dette Kerberos-token er knyttet til den opprinnelige ANNONSEN der brukeren er autentisert og kan sendes til Azure for validering. Dette betydde at en bruker som logger inn på lokale og deretter prøver å få tilgang til Office 365 kan godkjennes med Kerberos-token, enkel og sikker.
Imidlertid, PTA ikke krever fortsatt en lokal komponent., Dette er i utgangspunktet installeres som en agent på Azure AD Koble til server, men kan også installeres på flere servere for å gi bedre tilgjengelighet – Microsoft anbefaler minst tre godkjenning agenter på tre servere for PTA.
Det er denne lokale krav som kan være problematisk. Internett bør rør mislykkes, så vil det ikke være tilgang til Office 365 til enten autentisering er satt til cloud, eller Internett-tilkobling til godkjenning agenter er gjenopprettet.,
Video: Hvorfor migrerer til Azure-godkjenning?
Don»t være en slave til lokal godkjenning prosesser. Se denne korte videoen nå:
- Oppdage forskjellene i samlet vs. klarte godkjenning architecture
- Korrekt beste praksis tilnærminger for å overføre din godkjenning
Se nå
Beste av begge – En hybrid løsning
for Å unngå denne situasjonen, det er nå en annen mulighet., Benytter passord-hash sync (PHS) betyr at brukeren alltid kan autentisere direkte mot Azure AD.
Dette er den beste metode for å gi konsekvente tilgang til Office 365-miljø, men synes å fjerne single sign-on-anlegget som trengs av brukere.
I dette tilfellet skjønt, PHS kan suppleres med sømløs single sign-on-anlegget. Azure AD kan akseptere den samme ANNONSEN basert Kerberos-token, og krever ikke at brukeren om å skrive inn ID og passord.,
På-lokaler-brukere få tilgang ved hjelp sømløs single sign-on, mens brukere som ellers ville kreve riktig ID og passord for å få tilgang til tjenestene.
I dette scenariet, det er ingen tillit til noen lokale miljøet, i tilfelle av en internett-svikt, enhver eksterne brukere vil fortsatt være i stand til å godkjenne. Hvis den interne ANNONSE mislykkes, vil brukerne fortsatt være i stand til å bruke ID og passord for å få tilgang til, selv om Kerberos-token er ikke tilgjengelig.
Hva er forskjellen?,
På dette punktet, kan det være verdt å se på den relative fordeler og ulemper med de tre godkjenningsmetoder.
Disse funksjonene synes å indikere at ADFS er fortsatt et godt valg når godkjenning er nødvendig for å bare være lokale (og ikke gått inn i en cloud-basert web side), eller når man skal avgjøre om en bruker enheten er interne eller eksterne.
For alle andre tilfeller bruk av PTA eller PHS ville være å foretrekke., Siden PHS gir bedre tilgjengelighet og har ingen tillit til lokale elementer, er det generelt anbefalt metode for godkjenning.
Finn ut hva som fungerer for deg
Mer nylig (februar 2019), den NCSC har endret sine råd om sikring av Office 365 til å bruke «cloud-native-godkjenning». Dette betyr at implementering av PHS og sømløs single sign-on. Hele dokumentet finner du her.
For mange organisasjoner, dette betyr å flytte fra en ADFS implementering, for å bruke PHS og sømløs single sign-on.,
endre i både synkronisering og godkjenning bør bli kontaktet med en viss grad av forsiktighet for å sikre at alle nedetid reduseres.
selvfølgelig, dette bare fjerner Office 365 godkjenning krav fra ADFS miljø og ikke fjerne andre uavhengige parter, selv om de fleste av disse skal være i stand til å bli flyttet til Azure AD når det er hensiktsmessig.
du går fra ADFS for å passord-hash synkronisere med sømløs single sign-on kan virke litt skremmende, men ThirdSpace kan bidra til å akselerere migrasjon prosess.,
Få ekspertråd om den beste metoden for godkjenning for akkurat din organisasjon er viktig, som ADFS fortsatt har sin bruker og kan vise seg å være det beste alternativet i noen tilfeller.
pass på å se den korte videoen for å få flere detaljer om hvorfor mange er å hoppe derfra til cloud-basert autentisering.
Også, oppdage alle de siste nyhetene og funksjoner kommer til Azure AD, Windows 10 og Office 365 med vår kvartalsvise Microsoft Teknologi Oppdatere webinar serie.