ADFS vs. Azure AD: cum Microsoft a schimbat jocul de autentificare

0 Comments

Addled de ADFS? Nedumerit de parola hash sync? Nedumerit de trecere prin autentificare? Să explorăm modul în care Azure AD lasă autentificarea locală în urmă.când Microsoft a lansat Office 365 în iunie 2011, una dintre primele cerințe a fost să ofere o formă de conectare unică pentru utilizatorii corporativi care accesau platforma dintr-un domeniu publicitar.,

aceasta a implicat conectarea Azure AD la Serviciul Federației furnizat prin ADFS și anunțul local.

de atunci, adoptarea cloud a avut o influență uriașă asupra modului în care organizațiile moderne autentifică utilizatorii. Orice încredere în funcționalitatea locală a devenit un obstacol, mai degrabă decât un ajutor.ca atare ,tot mai multe organizații caută modalități de a se elibera de capcanele tehnologiei vechi și de a profita de Cloud fără a provoca perturbări inutile.,dar asta nu înseamnă că metodele existente nu au utilizările lor, avantajul final al Cloud-ului este flexibilitatea de a selecta metodele care răspund cel mai bine nevoilor dvs., așa că haideți să examinăm modul în care soluțiile de autentificare în cloud au evoluat de-a lungul anilor și beneficiile pe care le aduc.

de la ADFS la Azure AD Connect – și cloud authentication

prima opțiune de autentificare cloud (deși nu abordarea noastră preferată) a fost utilizarea funcției „password hash sync” a Azure AD Connect, permițând utilizatorilor să se autentifice direct în Cloud., Cu toate acestea, dacă s-ar întâmpla acest lucru, utilizatorii nu ar putea avea o singură conectare.deoarece experiența utilizatorului este importantă pentru a se asigura că serviciile sunt adoptate, furnizarea de sign-on unic, bazat pe abordarea hash parola, a fost o problemă majoră. Prin urmare, multe organizații din întreaga lume au implementat ADF-uri pentru a se asigura că utilizatorii pot accesa serviciile Office 365 cât mai ușor posibil.acum doi ani, lucrurile au început să se schimbe când Microsoft a început să creeze diferite metode de conectare unică disponibile alături de metode mai noi de autentificare.,

Pass-through Authentication și Single sign-on fără sudură

una dintre aceste metode a fost Pass-through Authentication (PTA). PTA integrează o conectare web la Office 365 cu o solicitare de autentificare trimisă controlorilor de domeniu publicitar.aceasta înseamnă că utilizatorul completează formularul de conectare în Azure, dar ID-ul și parola sunt încă validate de AD după trecerea prin serverul Azure AD Connect. Când Microsoft a dezvoltat acest lucru, au venit, de asemenea, cu o nouă metodă îmbunătățită pentru furnizarea de conectare unică.,acest nou „single sign-on Fără sudură”, a permis Azure să accepte un bilet Kerberos pentru autentificare. Acest token Kerberos este legat de anunțul original în care utilizatorul s-a autentificat și poate fi transmis către Azure pentru validare. Acest lucru a însemnat că un utilizator care semnează în local și apoi încearcă să acceseze Office 365 poate fi autentificat cu tokenul Kerberos, simplu și sigur.cu toate acestea, PTA necesită încă o componentă locală., Acesta este instalat inițial ca agent pe serverul Azure AD Connect, dar poate fi instalat și pe servere suplimentare pentru a oferi o disponibilitate mai mare – Microsoft recomandă cel puțin trei agenți de autentificare pe trei servere pentru PTA.această cerință locală ar putea fi problematică. În cazul în care conducta de Internet nu reușește, atunci nu va exista acces la Office 365 până când autentificarea nu este comutată doar în cloud sau conectivitatea la internet la agenții de autentificare este restabilită.,

Video: de Ce migrează de la Azure autentificare?

nu fi un sclav al proceselor de autentificare on-premises. Urmăriți acest scurt videoclip acum la:

  • de a Descoperi diferențele în federat vs reușit autentificarea arhitectura
  • să Înțeleagă cele mai bune practici pentru migrarea de autentificare

Uita-te acum

cel Mai bun din ambele – O soluție hibridă

Pentru a evita această situație, există o altă opțiune., Utilizarea parolei hash sync (PHS) înseamnă că un utilizator se poate autentifica întotdeauna direct împotriva anunțului Azure.aceasta este cea mai bună metodă de a oferi acces consecvent la mediul Office 365, dar pare să elimine facilitatea de conectare unică necesară utilizatorilor.

în acest caz, deși, PHS poate fi suplimentat cu facilitatea de conectare unică fără sudură. Azure AD poate accepta același token Kerberos bazat pe anunțuri și nu necesită utilizatorului să introducă ID-ul și parola.,

utilizatorii locali obțin acces utilizând o singură conectare fără sudură, în timp ce utilizatorii care se află în altă parte ar avea nevoie de combinația corectă de ID și parolă pentru a accesa serviciile.în acest scenariu, nu există încredere în niciun mediu local, în cazul unei defecțiuni a internetului, utilizatorii externi vor putea în continuare să se autentifice. Dacă anunțul intern nu reușește, utilizatorii vor putea să-și folosească ID-ul și parola pentru a accesa, chiar dacă tokenul Kerberos nu este disponibil.

care este diferența?,

în acest moment, ar putea fi în valoare de uita la argumentele pro și contra relative ale celor trei metode de autentificare.

Aceste funcții ar părea să indice că ADFS este încă o alegere bună atunci când este necesară autentificarea pentru a fi doar local (și nu a intrat într-un nor bazat pe web page), sau atunci când se determină dacă dispozitivul unui utilizator este intern sau extern.pentru toate celelalte cazuri, ar fi de preferat utilizarea PTA sau PHS., Deoarece PHS oferă o disponibilitate mai bună și nu se bazează pe elemente locale, este, în general, metoda recomandată pentru autentificare.mai recent (februarie 2019), NCSC și-au schimbat sfaturile privind securizarea Office 365 pentru a utiliza „autentificarea nativă în cloud”. Aceasta înseamnă implementarea PHS și conectarea unică fără sudură. Documentul complet poate fi găsit aici.pentru multe organizații, acest lucru înseamnă trecerea de la o implementare ADFS, la utilizarea PHS și conectarea unică fără probleme.,

modificarea sincronizării și a autentificării trebuie abordată cu un anumit grad de atenție, pentru a se asigura că timpul de nefuncționare este minimizat.desigur, acest lucru elimină doar cerințele de autentificare Office 365 din mediul ADFS și nu elimină alte părți dependente, deși majoritatea acestora ar trebui să poată fi mutate în Azure AD atunci când este cazul.trecerea de la ADFS la sincronizarea hash a parolei cu o singură conectare fără sudură poate părea un pic înfricoșătoare, dar ThirdSpace poate ajuta la accelerarea procesului de migrare.,este important să obțineți sfaturi de la experți cu privire la cea mai bună metodă de autentificare pentru organizația dvs., deoarece ADFS are încă utilizările sale și se poate dovedi a fi cea mai bună opțiune în anumite circumstanțe.asigurați-vă că vizionați videoclipul nostru scurt pentru a obține mai multe detalii despre motivul pentru care mulți fac saltul la autentificarea bazată pe cloud.de asemenea, descoperiți toate cele mai recente știri și caracteristici care vin la Azure AD, Windows 10 și Office 365 cu seria webinar trimestrială Microsoft Technology Update.


Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *