Aktualisieren Sie Ihre Active Directory-Dienste, um sich auf die Cloud vorzubereiten

Die Wolke kommt und könnte verschiedene Formen annehmen. Dies kann bedeuten, dass eine Hybridinfrastruktur für virtuelle Maschinen integriert, bestimmte Software in die Cloud erweitert oder Cloud-Plattformen zum Hosten neuer Anwendungen und Dienste verwendet werden.

Es gibt jedoch eine Konstante: Die Cloud erfordert ordnungsgemäße Identitätsverwaltungs- und Authentifizierungsmechanismen für alles, was die IT unterstützen muss. Selbst wenn Sie keinen einzelnen Cloud-Dienst aktiviert haben, möchten Sie die Active Directory-Dienste aktualisieren, damit Sie die Governance zentralisieren können, wenn die Cloud in Ihrem Unternehmen eintrifft.

Zeit für die Bereitstellung von Verbunddiensten

Federation for Active Directory (AD) erweitert Ihr Authentifizierungssystem auf externe Anwendungen und Ressourcen. Viele Administratoren bekommen berechtigten Sodbrennen, wenn sie darüber nachdenken, ihr Domain-System außerhalb der Perimeter-Firewall zuzulassen, aber Ihre Domain wird dadurch nicht ins Internet gestellt. Ein anspruchsbasiertes Token unterscheidet sich von dem normalen Windows-Token, das Endbenutzer von einem Domänencontroller (DC) erhalten, wenn sie beispielsweise auf eine Dateifreigabe zugreifen. In diesem Fall wird ein Token für den Dateiserver generiert und enthält alle Informationen, einschließlich aller Gruppenmitgliedschaften.
Anspruchsbasierte Sicherheitstoken erstellen eine spezifische Antwort mit Informationen über den Benutzer, die nur für diese einzelne Anwendung gelten und über die erforderlichen Details verfügen, um die Authentifizierung abzuschließen. Das Token ist vertrauenswürdig, da der Aussteller es signiert. Der Aussteller arbeitet mit Ihren Domänencontrollern zusammen, um die Tokeninformationen zu erhalten. Das Token ist jedoch kein Domänencontroller, sondern ein Identitätsanbieter Ausführen des Sicherheitstoken-Dienstesoder IP-STS. Ihr STS und das STS eines Partners schaffen Vertrauen und eine erfolgreiche Token-Validierung.

Windows Azure Active Directory füllt die Lücken

Windows Azure Active Directory (WAAD) ist die neueste Geschichte von Redmond. Dies ist keine typische externe AD-Replikation. Stattdessen handelt es sich um eine Reihe von Funktionen, die immer noch Teil der AD-Dienste sind. Dies sind nicht die gleichen Funktionen, die ein lokaler DC bietet. Bei einer Unternehmens-AD-Domäne geht es sowohl um die Kontrolle über Gruppenrichtlinien als auch um Anmeldungen. Die WAAD-Implementierung wurde speziell für das Identitätsmanagement für eine neue Klasse von Anwendungen entwickelt, die in einer mandantenfähigen Cloud und in internetorientierten In-Service-Anwendungen vorhanden sind.
Dies bedeutet nicht, dass WAAD von herkömmlichen Active Directory-Diensten isoliert ist. Sie haben die Möglichkeit, sich zu integrieren, um die Anforderungen auf hybride Weise zentral zu verwalten. DirSync macht dies in Abstimmung mit Active Directory-Verbunddienste (ADFS), um nahtlose zu ermöglichen Einmalige Anmeldung zwischen lokalen Anwendungen und internetbasierten Cloud-Anwendungen. In Azure gibt es auch ein Verwaltungsportal, das besser ist als die Unterstützung vieler Schnittstellen für Ihr lokales ADFS. Stattdessen können Sie mit dem verwalten Anwendungsprogrammierschnittstellen (APIs), die für diesen Anwendungsfall in der Azure-Cloud erstellt wurden.

Unterstützung der Integration von Drittanbietern

Was ist mit all diesen Anwendungen aus der Office 365-Online-Suite oder mit Anwendungen, die auf verschiedenen Plattformen wie Google oder Amazon vorhanden sind? WAAD bietet einen Integrationspunkt mit mehreren APIs, mit denen Apps von Drittanbietern Ihre Standardanmeldeinformationen verwenden können.
Möglicherweise betrachten Sie diese Funktion mit einer gesunden Dosis Skepsis, und Sie würden dies zu Recht tun, wenn Sie sich Benutzernamen und Kennwörter vorstellen, die auf Internetseiten auftauchen. In Wirklichkeit wird einem Internetdienst, der die WAAD-APIs verwendet, niemals ein Kennwort angezeigt. diese APIs umfassen WS-Federation, SAML, Oauth und die Graph API.
Administratoren bestimmen das Service-Prinzip in WAAD so, dass es die Details einer konsumierenden Anwendung enthält. Zwei wichtige Details sind die App Principle ID und das Secret. Wenn diese Informationen auf der Anwendungsseite konfiguriert sind, ordnet sich die Anwendung den WAAD-Authentifizierungsdiensten zu und leitet den Benutzer während der Anmeldung an die WAAD-Authentifizierungsseite weiter. Ein Token wird dann mit Details wie einer Namenskennung an die Anwendung zurückgegeben, ohne dass Benutzernamen oder Kennwörter die Hände wechseln. Die Anwendung kann auch die AD-Struktur nicht lesen. Es kann nur dann auf Daten im Kontext des Benutzers zugreifen, wenn eine Suche erforderlich ist. Auf diese Weise können Sie alles vom Box-Cloud-Speicher in eine Anwendung integrieren in der Azure-Cloud gehostet.

Neue Active Directory-Dienste für neue Apps

Die meisten Unternehmen, die die Windows-Authentifizierung verwenden, ändern sich nur, wenn sie dazu gezwungen werden. Dies hat viel mit der kritischen Natur von Active Directory-Diensten zu tun. Hybrid- und Cloud-Dienste sind ein guter Grund, auf eine neue Version von AD zu aktualisieren und Federated Services zu aktivieren. Microsoft bietet WAAD derzeit kostenlos an, sodass Sie keinen Grund haben, WAAD zu verpassen und das Wasser mit bekannten Apps wie Office 365 oder Windows InTune zu testen.
Über den Autor:
Eric Beehler ist seit Mitte der neunziger Jahre in der IT-Branche tätig und spielt schon lange zuvor mit Computertechnologie. Seine Erfahrung umfasst mehr als neun Jahre Erfahrung im Geschäftsbereich Managed Services von Hewlett-Packard. Zusammenarbeit mit Fortune 500-Unternehmen bei der Bereitstellung von Netzwerk- und Serverlösungen; und zuletzt IT-Erfahrung in der Versicherungsbranche, die an hochverfügbaren Lösungen und Disaster Recovery arbeitet. Derzeit bietet er Beratung und Schulung durch sein Miteigentum an Die Firma Services LLC.

Similar Posts

Leave a Reply