Azure Active Directory (הקדמה חלק 1)

ינואר 31, 2015

אין תגובות

בסדרת המאמרים הבאה נבין מהו Azure Active Directory, הבדלים ביו גרסאות, איך מגדירים ואיך ניתן להרחיב יכולות מול שירות ענן קיים.

Azure Active Directory או בשמו הקצר AAD הוא שירות ענן המספק יכולות ניהול זהות וגישה, בין היתר תומך במספר דומיינים בצורה סימולטנית.

שירות AAD מורכב מכמה רכיבים: משתמשים, קבוצות, אפליקציות, דומיינים ותתי רכיבים נוספים.
כאשר אנו עובדים עם AAD אנו יכולים להגדיר בין היתר את הדומיין שעמו אנו עובדים, סוגי אפליקציות שמשתמשים יכולים לגשת אליהם, סוגי הזדהות,  למי אנו מאפשרים גישה ולאיזה מידע, גישה לאפליקציות מסוימות, מה המשתמש יכול לבצע ועוד.

כאשר אנו עושים שימוש בשירות AAD אנו מקבלים בתוך השירות את האפשרות של שירות Active Directory זמין ושריד אשר נמצא על גבי מספר Data Center הפזורים בעולם.

AAD והסביבה המקומית

תמיד שאנו מדברים על Active Directory המחשבה הראשונה שעולה היא סביבת מקומית של Active Directory מבוססת Windows Server ולכן חשוב לדעת ששירות Azure AD הוא לא Windows Server Active Directory.
Azure AD אינו מהווה תחליף לשירות מבוסס Windows Server Active Directory ובמידה ובארגון שלכם ישנו Windows Server Active Directory מקומי ניתן להרחיב את היכולות באמצעות שירות AAD ע”י חיבור של הסביבה המקומית מול סביבת הענן.

בסנריו שאנו צריכים לחבר בין שירות AAD לשירות Windows Server Active Directory אנו יכולים להגדיר כלי Directory Synchronization, כגון: DirSync, AADSync, AADConnect וכו’.
ברגע שהגדרנו DirSync יצרנו סביבה היברידית ואנו למעשה מסנכרנים את האובייקטים המקומיים מול שירות הענן בכדי שנוכל לנהל את אותם אובייקטים ולא ליצור אובייקטים כפולים.

מצד שני ישנם גם מצבים בהם Azure AD משמש כשירות Directory ענן היחיד של הארגון.
לדוגמא ארגון שעושה שימוש ביכולות ענן של Exchange Online ללא שירות מקומי נוסף ונמצא ללא Windows Server Active Directory יכול לעשות שימוש נרחב ביכולות Azure AD ולבצע שימוש נרחב של גישה וזהויות מול אפליקציות SaaS.

אחד היתרונות של סביבה היברידית שמוגדר עם שירות AAD ועם שירות Windows Server Active Directory הוא היכולת להפריד בין הגישה של המשתמשים ולבחור את סוג ההזדהות ומול איזה סביבה.
למשל: משתמשים יכולים לבצע הזדהות מקומית מול Windows Server Active Directory ובמידת הצורך לבצע הזדהות חיצונית מול אפליקציות חיצוניות באמצעות Azure AD, בשני המקרים המשתמש עושה שימוש באותם פרטי הזדהות.

אנו יכולים לנהל את הזהויות והגישה באמצעות מספר דרכים: תצורת Hybrid, תצורת AAD בלבד ותצורת ACS.

רכיבים מרכזיים

כאשר אנו מדברים על AAD ישנם מספר רכיבים מרכזיים, כגון: פרוטוקולים שעמם עובדים, משתמשים וקבוצות, דומיינים ואפליקציות.
כמובן שאנו מדברים על רכיבים אלה אנו יכולים להדגיש כי ישנם תכונות נוספות שמתווספות מידי חודש לשירות AAD.

משתמשים וקבוצות

בשירות AAD ישנם שני יישויות חשובות כאשר עובדים עם משתמשים וכאשר עובדים מול אפליקציות: משתמש וקבוצה.
אנו עושים שימוש עם אובייקט של משתמש כאשר אנו צריכים לעשות לוגין, לבצע הזדהויות שונות מול האפליקציות ומה המשתמש יכול לבצע. כאשר אנו מרחיבים את השימוש של המשתמש בשירות AAD אנו יכולים להשתמש במספר סוגי אימות.

משתמשים נחלקים לשלושה סוגים:

משתמש ארגוני שהוא חלק מתוך AAD
משתמש ארגוני שמוגדר בשירות Azure AD אחר
משתמש מסוג Microsoft Account או בקצרה MSA

משתמש ארגוני

משתמש שהוא חלק מתוך Azure AD מקומי או מסונכרן מתוך Directory מקומי בתצורה היברידית (באמצעות DirSync) בד”כ מוגדר כסוג משתמש שהוא Organizational account וניתן
הדומיין של המשתמש נלקח מתוך הדומיין שהוגדר ברמת AAD ואליו הוא שייך, בשירות Azure AD ניתן לבצע ולהחיל יותר הגדרות מאשר לסוגי משתמשים אחרים.

משתמש ארגוני מדומיין אחר

משתמש שהוגדר בשירות Azure AD אחר ומוגדר בסוג משתמש שהוא External Users.
לשמשתמש מסוג זה ישנם מספר אפשרויות ובד”כ מוסיפים משתמש חיצוני על מנת שיוכל להשתמש במשאבים של שירות Azure AD הייעודי שאליו התווסף, כגון שימוש באפליקציות של דומיין לפי המדיניות שלו.

אנו יכולים להשתמש בתרחיש כזה כאשר אנו רוצים לאפשר למשתמש מסומיין אחר לגשת אל הדומיין שלנו, במצב כזה המשתמש החיצוני מקבל את כל ההרשאות, המדיניות וההגדרות שאנו מחילים על משתמש וכפוף לתנאים של אותו דומיין.

משתמש MSA

משתמש מסוג Microsoft Account עם דומיינים מסוג: Outlook, Live. Hotmail וכו’.
אנו משתמשים בתרחישים כאלה שאנו צריכים לאפשר למשתמש שאינו שייך לארגון לגשת למשאבים מסוימים בשירות Azure AD לפי המדיניות הארגונית.

קבוצות Groups

קבוצות בשירות AAD אלה קבוצות מסוג Security בלבד ואנו יכולים להוסיף לקבוצה את כל סוגי המשתמשים הקיימים כיום.
ניתן להגדיר קבוצה מול אפליקציות מסוימות בכדי לאפשר גישה אל אותה אפליקציה.

אפליקציות

אפליקציה היא חלק משירות AAD ומאפשרת גישה אל אפליקציות כדוגמת אפליקציות LOB, כאשר אנו ניגשים אל אפליקציה אנו מבצעים אימות וזיהוי אל הארגון.
במצב שבו אנו מגדירים אפליקציות אנו חייבים לוודא שכל אפליקציה עוברת רגיסטרציה ומספר הגדרות טרם שימוש מול משתמשים.

פרוטוקולים

כאשר אנו עובדים עם AAD אנו יכולים לבצע אימות ע”י מספר פרטוקולים שמבצעים אימות.

WS-Federation

אוסף של משאבים מאובטחים המוגדרים לעבודה ושיתוך משאבים בצורה מאובטחת.
משאב שמוגדר לצורך הזדהות ואימות ויכול לספק גישה מאובטחת למשאב אחר באמצעות דרישה ע”י מזהה או ערך כלשהוא ולעשות זיהוי באמצעות מזהה נוסף.

כיום עושים עם הפרוטקול הזה את רוב האוטנטיקציות מול אפליקציות Azure, השימוש הנרחב בו הוא למעשה בשירותי ענן אחרים, כגון: Exchange Online, CRM Online וכו’.

SAML

סטנדרט של החלפת של נתונים וביצוע אימות ואישור בין דומיינים מאובטחים ובין היתר למימוש Single Sign On לאפליקציות SaaS.
מבוסס על פרוטוקול XML אשר מבצע שימוש עם security token בכדי לבצע העברה של מידע, כגון: זיהוי משתמש ובכדי לאפשר לדומיין או משאב אחר לבצע את האימות.

לדוגמא: מאפשר לאפליקציות WEB לבצע אימות ואישור בין שני דומיינים שונים באמצעות SOO וע”י כך לאפשר הזדהות מהירה ועם ניהול פשוט של אוטנטיקציות.

OAuth

OAuth הוא סטנדרט פתוח של אישור, כאשר אנו משתמשים עם OAuth  אנו מאפשרים למשתש אפליקטיבי לבצע דלגציה מאובטחת למשאב אחר בשם של בעל משאב. היתרון שאנו מקבלים עם OAuth הוא שאנו יכולים לבצע הזדהות בצורה טבעית מול המשאב שמולו אנו צריכים אישור.

OpenID

פרוטוקול שעושה שימוש עם פרווןקול OAuth בכדי לבצע אימות.
OpenID מרחיב את היכולת של OAuth לביצוע אוטנטיקציה ומוסיף על הפרוטוקול עוד שכבה של אישור זהויות.

במאמר Azure Active DIrectory חלק 2 נבין מהפ הפרטוקולים הנוספיםף עבודה עם דומיינים, זהות וגישה ותצורות שונות.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *