ADFS vs Azure AD: hur Microsoft har ändrat autentiseringsspelet
Addled av ADFS? Förbryllad av lösenord hash sync? Förbryllad av passera genom autentisering? Låt oss undersöka hur Azure AD lämnar på plats autentisering bakom.
När Microsoft lanserade Office 365 i juni 2011 var ett av de tidiga kraven att tillhandahålla någon form av enkel inloggning för företagsanvändare som kom åt plattformen inifrån en ANNONSDOMÄN.,
detta innebar att Azure AD länkades till federationstjänsten via ADFS och lokalannonsen.
sedan dess har cloud adoption haft ett enormt inflytande på hur moderna organisationer autentiserar användare. Varje tillit till lokal funktionalitet har blivit ett hinder, snarare än en hjälp.
som sådan söker fler och fler organisationer efter sätt att frigöra sig från trappings of legacy tech och dra nytta av molnet utan att orsaka onödiga störningar.,
men det är inte att säga att befintliga metoder inte har sina användningsområden, den ultimata fördelen med molnet har flexibilitet att välja de metoder som bäst uppfyller dina behov, så låt oss undersöka hur cloud autentiseringslösningar har utvecklats under åren, och de fördelar de ger.
från ADFS till Azure AD Connect – och cloud authentication
det första molnautentiseringsalternativet (även om det inte var vår föredragna metod) använde funktionen ”password hash sync” i Azure AD Connect, så att användarna kunde autentisera direkt i molnet., Men om detta hände skulle användarna inte kunna ha enkel inloggning.
eftersom användarupplevelsen är viktig för att säkerställa att tjänsterna antas, var det ett stort problem att tillhandahålla single sign-on, baserat på lösenordshash-metoden. Därför distribuerade många organisationer över hela världen ADFS för att säkerställa att användarna kunde få tillgång till Office 365-tjänster så enkelt som möjligt.
för två år sedan började saker och ting förändras när Microsoft började skapa olika metoder för enkel inloggning tillgänglig tillsammans med nyare metoder för autentisering.,
genomgående autentisering och sömlös enkel inloggning
en av dessa metoder var genomgående autentisering (pta). PTA integrerar en webb sign-on till Office 365 med en autentiseringsbegäran som skickas till annonsdomänkontrollerna.
det betyder att användaren fyller i inloggningsformuläret i Azure, men ID och lösenord valideras fortfarande av annonsen efter att ha passerat Azure AD Connect-servern. När Microsoft utvecklade detta kom de också fram till en ny förbättrad metod för att tillhandahålla enkel inloggning.,
denna nya ”sömlösa enkel inloggning”, tillät Azure att acceptera en Kerberos-biljett för autentiseringen. Denna Kerberos token är kopplad till den ursprungliga annonsen där användaren autentiseras och kan skickas till Azure för validering. Detta innebar att en användare som loggar in på plats och sedan försöker komma åt Office 365 kan autentiseras med Kerberos token, enkel och säker.
men PTA kräver fortfarande en komponent på plats., Detta är ursprungligen installerat som en agent på Azure AD Connect-servern, men kan också installeras på ytterligare servrar för att ge större tillgänglighet-Microsoft rekommenderar minst tre autentiseringsagenter på tre servrar för PTA.
det är detta krav på lokaler som kan vara problematiskt. Om internetpipan misslyckas kommer det inte att finnas någon tillgång till Office 365 tills antingen autentisering endast växlas till cloud, eller Internet-anslutningen till autentiseringsagenterna återställs.,
Video: Varför migrera till Azure-autentisering?
Don”t vara en slav till interna autentiseringsprocesser. Titta på den här korta videon nu till:
- Upptäck skillnaderna i federerad vs hanterad autentiseringsarkitektur
- förstå bästa metoder för att migrera din autentisering
Titta nu
bäst av båda – en hybridlösning
för att undvika denna situation finns det nu ett annat alternativ., Att använda password hash sync (PHS) innebär att en användare alltid kan autentisera direkt mot Azure-annonsen.
det här är den bästa metoden för att ge konsekvent tillgång till Office 365-miljön, men verkar ta bort den enda inloggningsfacilitet som användarna behöver.
i det här fallet kan PHS kompletteras med den sömlösa enkel inloggningsanläggningen. Azure-annonsen kan acceptera samma annonsbaserade Kerberos-token och kräver inte att användaren anger sitt ID och lösenord.,
användare på plats får åtkomst med sömlös enkel inloggning, medan användare som är någon annanstans skulle kräva rätt ID-och lösenordskombination för att komma åt tjänsterna.
i det här scenariot finns det inget beroende av någon lokal miljö, i händelse av ett internetfel kommer alla externa användare fortfarande att kunna autentisera. Om den interna annonsen misslyckas kan användarna fortfarande använda sitt ID och lösenord för att komma åt, Även om Kerberos-token inte är tillgänglig.
vad är skillnaden?,
vid denna tidpunkt kan det vara värt att titta på de relativa fördelarna och nackdelarna med de tre autentiseringsmetoderna.
dessa funktioner verkar indikera att ADFS fortfarande är ett bra val när autentisering krävs endast på plats (och inte in på en molnbaserad webbsida), eller när man bestämmer om en användares enhet är intern eller extern.
för alla andra fall skulle användning av PTA eller PHS vara att föredra., Eftersom PHS ger bättre tillgänglighet och inte litar på element på plats, är det i allmänhet den rekommenderade metoden för autentisering.
hitta vad som fungerar för dig
nyligen (februari 2019) har NCSC ändrat sina råd om att säkra Office 365 för att använda ”cloud-native authentication”. Detta innebär att genomföra PHS och sömlös single sign-on. Det fullständiga dokumentet finns här.
För många organisationer innebär det att man går från en ADFS-implementering till att använda PHS och sömlös enkel inloggning.,
förändringen i både synkronisering och autentisering bör kontaktas med viss försiktighet för att säkerställa att eventuella driftstopp minimeras.
detta tar naturligtvis bara bort Office 365-autentiseringskraven från ADFS-miljön och tar inte bort några andra reliantpartier, även om de flesta av dessa bör kunna flyttas till Azure AD när det är lämpligt.
att flytta från ADFS till password hash sync med sömlös single sign-on kan verka lite skrämmande, men ThirdSpace kan hjälpa till att påskynda migreringsprocessen.,
det är viktigt att få expertråd om den bästa metoden för autentisering för din specifika organisation, eftersom ADFS fortfarande har sina användningsområden och kan visa sig vara det bästa alternativet under vissa omständigheter.
var noga med att titta på vår korta video för att få mer information om varför många gör hoppet till molnbaserad autentisering.
upptäck också alla de senaste nyheterna och funktionerna som kommer till Azure AD, Windows 10 och Office 365 med vår kvartalsvisa Microsoft Technology Update webinar-serie.