ADFS vs. Azure AD: How Microsoft has changed the authentication game
Addled by ADFS? Intrigado com a palavra-passe hash sync? Perplexo por passar pela autenticação? Vamos explorar como Azure AD está deixando a autenticação no local para trás.
Quando a Microsoft lançou o Office 365 em junho de 2011, um dos primeiros requisitos era fornecer alguma forma de single sign-on para usuários corporativos que estavam acessando a plataforma a partir de um domínio de AD.,isto implicou a ligação do Azure AD ao serviço da Federação prestado através do ADFS e do AD nas instalações.
desde então, a adoção na nuvem tem tido uma enorme influência na forma como as organizações modernas autenticam os usuários. Qualquer confiança na funcionalidade das instalações tornou-se um obstáculo, em vez de uma ajuda.
Como tal, mais e mais organizações estão procurando maneiras de se libertar das armadilhas da tecnologia legacy e tirar proveito da nuvem sem causar perturbações desnecessárias.,
Mas isso não quer dizer que os métodos existentes não têm seus usos, a vantagem final da Nuvem é ter a flexibilidade para selecionar os métodos que melhor atender às suas necessidades, então, vamos examinar como a nuvem de soluções de autenticação, têm evoluído ao longo dos anos, e os benefícios que elas trazem.
do ADFS ao Azure AD Connect – e autenticação na nuvem
a primeira opção de autenticação na nuvem (embora não seja a nossa abordagem preferida) foi a utilização da funcionalidade “sincronização de senhas” do Azure AD Connect, permitindo aos utilizadores autenticarem-se directamente na nuvem., No entanto, se isso acontecesse, os usuários não seriam capazes de ter um único sinal.uma vez que a experiência do Usuário é importante para garantir que os Serviços são adotados, fornecendo um único sinal, com base na abordagem de hash senha, foi um grande problema. Portanto, muitas organizações em todo o mundo implantaram ADFS para garantir que os usuários poderiam acessar os Serviços do Office 365 tão facilmente quanto possível.
Há dois anos, as coisas começaram a mudar quando a Microsoft começou a criar diferentes métodos de single sign-on disponíveis ao lado de novos métodos de autenticação.,
pass-through Authentication and seamless single sign-on
um destes métodos foi Pass-through Authentication (PTA). PTA integra um sinal web para o Office 365 com um pedido de autenticação enviado para os controladores de domínio AD.
isto significa que o utilizador completa o formulário de assinatura no Azure, mas o ID e a senha ainda são validados pelo AD depois de passarem pelo servidor de ligação do Azure AD. Quando a Microsoft desenvolveu isso, eles também vieram com um novo método melhorado para fornecer um único sinal-on.,
Este novo “single sign-on sem costura”, permitiu a Azure aceitar um ticket Kerberos para a autenticação. Este token Kerberos está ligado ao anúncio original onde o usuário autenticou e pode ser passado para Azure para validação. Isso significava que um usuário que assina no local e, em seguida, tenta acessar o Office 365 pode ser autenticado com o token Kerberos, simples e seguro.no entanto, o PTA continua a exigir uma componente nas instalações., Isto é inicialmente instalado como um agente no Azure AD Connect server, mas também pode ser instalado em servidores adicionais para proporcionar maior disponibilidade – A Microsoft recomenda pelo menos três agentes de autenticação em três servidores para PTA.é este requisito nas instalações que pode ser problemático. Caso o tubo de Internet falhe, então não haverá acesso ao Office 365 até que a autenticação seja mudada apenas para cloud, ou a conectividade à Internet para os agentes de autenticação é restaurada.,
Video: Why migrate to Azure authentication?
não seja escravo dos processos de autenticação nas instalações. Assista a este curto vídeo agora para:
- Descubra as diferenças entre federados vs. gerenciado arquitetura de autenticação
- Entender as melhores práticas para migrar suas autenticação
Assista agora
o Melhor de ambos, Uma solução híbrida
Para evitar essa situação, agora há outra opção., A utilização da palavra-passe hash sync (PHS) significa que um utilizador pode sempre autenticar-se directamente contra o anúncio Azure.
Este é o melhor método de fornecer acesso consistente ao ambiente do Office 365, mas parece remover a facilidade de sinal único necessário pelos usuários.
neste caso, no entanto, o PHS pode ser complementado pela facilidade de sign-on simples sem costura. Azure AD pode aceitar o mesmo token Kerberos baseado no anúncio e não requer que o usuário digite seu ID e senha.,
nas instalações os utilizadores têm acesso através de um simples sinal sem descontinuidade, enquanto os utilizadores que estão noutro local necessitariam da combinação correcta de ID e senha para aceder aos Serviços.
neste cenário, não há confiança em qualquer ambiente nas instalações, em caso de falha na internet, qualquer usuário externo ainda será capaz de autenticar. Se o anúncio interno falhar, os usuários ainda serão capazes de usar seu ID e senha de acesso, mesmo que o token Kerberos não está disponível.qual é a diferença?,
neste ponto, pode valer a pena olhar para os prós e contras relativos dos três métodos de autenticação.
estas funções parecem indicar que o ADFS ainda é uma boa escolha quando a autenticação é necessária apenas nas instalações (e não é introduzida numa página web baseada em nuvem), ou quando se determina se o dispositivo de um utilizador é interno ou externo.
para todos os outros casos, seria preferível a utilização de PTA ou PHS., Uma vez que a PHS proporciona uma melhor disponibilidade e não tem confiança em elementos nas instalações, é geralmente o método recomendado para Autenticação.
Encontre o que funciona para si
Mais recentemente (fevereiro de 2019), o NCSC mudou o seu conselho sobre a segurança do Office 365 para usar a “autenticação nativa da nuvem”. Isto significa a implementação de PHS e sem descontinuidade. O documento completo pode ser encontrado aqui.
para muitas organizações, isto significa passar de uma implementação ADFS, para o uso de PHS e sem descontinuidades.,
a alteração tanto na sincronização como na autenticação deve ser abordada com um certo grau de cuidado para garantir que qualquer tempo de inactividade seja minimizado.
é claro, isto só remove os requisitos de autenticação do Office 365 do ambiente ADFS e não remove quaisquer outras partes reliant, embora a maioria deles deve ser capaz de ser transferido para Azure AD quando apropriado.
mover-se do ADFS para a sincronização de hash de senhas com sinal simples pode parecer um pouco assustador, mas o terceiro espaço pode ajudar a acelerar o processo de migração.,é importante obter aconselhamento especializado sobre o melhor método de autenticação para a sua organização específica, uma vez que o ADFS ainda tem os seus usos e pode vir a ser a melhor opção em algumas circunstâncias.
certifique-se de ver o nosso vídeo curto para obter mais detalhes sobre por que muitos estão fazendo o salto para a autenticação baseada em nuvem.
também, descubra todas as últimas notícias e recursos que vêm para Azure AD, Windows 10 e Office 365 com a nossa Série Webinar atualizada tecnologia trimestral Microsoft.