ADFS vs. Azure AD: jak Microsoft zmienił uwierzytelnianie

26 stycznia, 2021 admin 0 Comments

dodane przez ADFS? Zaintrygowany synchronizacją hashów haseł? Zakłopotany przez uwierzytelnianie pass through? Zobaczmy, w jaki sposób Usługa Azure AD pozostawia uwierzytelnianie lokalne.

Kiedy Microsoft uruchomił Office 365 w czerwcu 2011 r., jednym z wczesnych wymagań było zapewnienie pewnej formy pojedynczego logowania dla użytkowników korporacyjnych, którzy uzyskali dostęp do platformy z domeny reklamowej.,

wiązało się to z połączeniem usługi Azure AD z usługą Federacyjną udostępnianą za pośrednictwem systemu ADFS i reklamy lokalnej.

od tego czasu wdrożenie chmury ma ogromny wpływ na sposób uwierzytelniania użytkowników przez współczesne organizacje. Każde poleganie na funkcjonalności lokalnej stało się przeszkodą, a nie pomocą.

w związku z tym coraz więcej organizacji szuka sposobów na uwolnienie się od pułapek tradycyjnych technologii i wykorzystanie chmury bez powodowania niepotrzebnych zakłóceń.,

nie oznacza to jednak, że istniejące metody nie mają swojego zastosowania, a ostateczną zaletą chmury jest elastyczność wyboru metod, które najlepiej odpowiadają twoim potrzebom, więc przyjrzyjmy się, jak ewoluowały rozwiązania do uwierzytelniania w chmurze na przestrzeni lat i jakie korzyści przynoszą.

od ADFS do Azure AD Connect – i uwierzytelnianie w chmurze

pierwsza opcja uwierzytelniania w chmurze (choć nie jest to preferowane przez nas podejście) wykorzystywała funkcję „synchronizacja hashów haseł” usługi Azure AD Connect, umożliwiając użytkownikom uwierzytelnianie bezpośrednio w chmurze., Jeśli jednak tak się stanie, użytkownicy nie będą mogli mieć pojedynczego logowania.

ponieważ doświadczenie użytkownika jest ważne dla zapewnienia, że usługi są przyjmowane, zapewnienie jednokrotnego logowania, w oparciu o podejście hash hasła, było poważnym problemem. Dlatego wiele organizacji na całym świecie wdrożyło narzędzia ADF, aby zapewnić użytkownikom łatwy dostęp do usług Office 365.

Dwa lata temu sytuacja zaczęła się zmieniać, gdy Microsoft zaczął tworzyć różne metody jednokrotnego logowania dostępne obok nowszych metod uwierzytelniania.,

uwierzytelnianie przelotowe i bezproblemowe jednokrotne logowanie

jedną z tych metod było uwierzytelnianie przelotowe (PTA). PTA integruje logowanie internetowe w usłudze Office 365 z żądaniem uwierzytelnienia wysłanym do kontrolerów domeny AD.

oznacza to, że użytkownik wypełnia formularz logowania na platformie Azure, ale identyfikator i hasło są nadal weryfikowane przez aplikację AD po przejściu przez serwer Azure AD Connect. Gdy firma Microsoft opracowała tę metodę, opracowała również nową, ulepszoną metodę zapewniania jednokrotnego logowania.,ta nowa funkcja „bezszwowego pojedynczego logowania” umożliwiła platformie Azure zaakceptowanie biletu Kerberos do uwierzytelniania. Ten token Kerberos jest powiązany z oryginalną reklamą, w której użytkownik jest uwierzytelniony i może zostać przekazany do platformy Azure w celu weryfikacji. Oznacza to, że użytkownik, który zaloguje się lokalnie, a następnie spróbuje uzyskać dostęp do usługi Office 365, może zostać uwierzytelniony tokenem Kerberos, w prosty i bezpieczny sposób.

jednak PTA nadal wymaga komponentu lokalnego., Usługa ta jest początkowo instalowana jako agent na serwerze Azure AD Connect, ale może być również instalowana na dodatkowych serwerach, aby zapewnić większą dostępność – Microsoft zaleca co najmniej trzech agentów uwierzytelniania na trzech serwerach dla PTA.

to wymóg lokalowy może być problematyczny. Jeśli przewód internetowy zawiedzie, nie będzie dostępu do usługi Office 365, dopóki uwierzytelnianie nie zostanie przełączone na tylko chmurę lub przywrócone zostanie połączenie internetowe z agentami uwierzytelniania.,

wideo: dlaczego warto migrować do uwierzytelniania platformy Azure?

nie bądź niewolnikiem lokalnych procesów uwierzytelniania. Obejrzyj ten krótki film teraz do:

  • Odkryj różnice w architekturze uwierzytelniania federacyjnego i zarządzanego
  • Poznaj najlepsze praktyki migracji uwierzytelniania

Obejrzyj teraz

najlepsze z obu – rozwiązanie hybrydowe

aby uniknąć tej sytuacji, istnieje teraz inna opcja., Korzystanie z synchronizacji hashów haseł (PHS) oznacza, że użytkownik może zawsze uwierzytelniać się bezpośrednio w usłudze Azure AD.

jest to najlepsza metoda zapewnienia spójnego dostępu do środowiska Office 365, ale wydaje się, że usuwa funkcję jednokrotnego logowania potrzebną użytkownikom.

w tym przypadku PHS może być uzupełniony przez płynne jednokrotne logowanie. Usługa Azure AD może akceptować ten sam token Kerberos oparty na reklamach i nie wymaga od użytkownika wprowadzania identyfikatora i hasła.,

użytkownicy lokalni uzyskują dostęp za pomocą płynnego jednokrotnego logowania, podczas gdy użytkownicy przebywający w innym miejscu wymagaliby poprawnej kombinacji identyfikatora i hasła, aby uzyskać dostęp do usług.

w tym scenariuszu nie ma zależności od środowiska lokalnego, w przypadku awarii Internetu, wszyscy użytkownicy zewnętrzni nadal będą mogli uwierzytelnić. Jeśli reklama wewnętrzna zawiedzie, użytkownicy nadal będą mogli użyć swojego identyfikatora i hasła, aby uzyskać dostęp, nawet jeśli token Kerberos nie jest dostępny.

co za różnica?,

w tym momencie warto przyjrzeć się względnym zaletom i wadom trzech metod uwierzytelniania.

funkcje te wydają się wskazywać, że system ADFS jest nadal dobrym wyborem, gdy uwierzytelnianie jest wymagane tylko lokalnie (i nie jest wprowadzane na stronie internetowej w chmurze) lub podczas określania, czy urządzenie użytkownika jest wewnętrzne, czy zewnętrzne.

we wszystkich innych przypadkach preferowane byłoby użycie PTA lub PHS., Ponieważ PHS zapewnia lepszą dostępność i nie polega na elementach lokalnych, jest ogólnie zalecaną metodą uwierzytelniania.

dowiedz się, co Ci odpowiada

niedawno (w lutym 2019 r.) NCSC zmieniło porady dotyczące zabezpieczania pakietu Office 365 w celu korzystania z „uwierzytelniania natywnego w chmurze”. Oznacza to wdrożenie PHS i płynne jednokrotne logowanie. Pełny dokument można znaleźć tutaj.

dla wielu organizacji oznacza to przejście od implementacji ADFS do korzystania z PHS i płynnego jednokrotnego logowania.,

do zmiany zarówno synchronizacji, jak i uwierzytelniania należy podchodzić z należytą starannością, aby zminimalizować wszelkie przestoje.

oczywiście usuwa to tylko wymagania uwierzytelniania Office 365 ze środowiska ADFS i nie usuwa żadnych innych zależnych stron, chociaż większość z nich powinna być w stanie przenieść do Azure AD, gdy jest to właściwe.

przejście z ADFS do synchronizacji hash hasła z płynnym jednokrotnym logowaniem może wydawać się nieco przerażające, ale ThirdSpace może przyspieszyć proces migracji.,

uzyskanie porady eksperta na temat najlepszej metody uwierzytelniania dla konkretnej organizacji jest ważne, ponieważ ADFS nadal ma swoje zastosowania i może okazać się najlepszym rozwiązaniem w niektórych okolicznościach.

koniecznie obejrzyj nasz krótki film, aby dowiedzieć się więcej o tym, dlaczego wielu z nich przechodzi na uwierzytelnianie oparte na chmurze.

odkryj również najnowsze wiadomości i funkcje dostępne na platformach Azure AD, Windows 10 i Office 365 w ramach serii webinariów z kwartalnymi aktualizacjami technologii Microsoft.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *