מי אתה Azure Active Directory ?

16 בינואר 2015

תגיות:
אין תגובות

Azure AD, מה זה לא?  – לעומת מה שאנו מכירים ב AD המקומי, ב Azure AD אין היררכיה של Organizational Units, אין שימוש ב Group Policies, לא ניתן לצרף מחשבים ולא ניתן לבצע מולו שאילתות ב LDAP.

אז מה זה כן ?  נתחיל בהגדרה היבשה – Azure AD (בשמו המקוצר) הינו שירות המספק יכולות ניהול זהויות בענן כמו Active Directory ב Datacenter המקומי שלנו (On Premises). השירות הינו Multi-tenant, משמע שהוא יכול לתמוך בכמה ארגונים בצורה סימולטנית.

Azure AD תומך בפרוטוקול SAML 2.0, מה שמאפשר פיתוח נתמך של אפליקציות שאינן דווקא מייקרוסופטיות למטרת-

· מימוש Single Sign On לאפליקציות SaaS

· ביצוע שאילתות וניהול אובייקטים ב Cloud Directory כמו משתמשים וקבוצות באמצעות Graph API

· ביצוע אינטגרציה עם On Premises AD בכדי לסנכרן מידע לענן ולאפשר Single Sign On לאפליקציות מקומיות ואף לאלה הממוקמות בענן.

 
כיצד ניתן ליישם/לממש תשתית AD ב Azure ?

ניהול הזהויות שלנו על גבי תשתית Azure ניתן למימוש ע"י אחת משלוש אפשרויות:

  1. Hybrid collaboration – הקמה של מכונה ווירטואלית על גבי תשתית Azure ועל גביה ביצוע התקנה של Windows Active Directory Role כפי שאנחנו מכירים אותו כיום, למעשה – התקנה רגילה של AD בענן ע"י הרחבת התשתיות המקומיות שלנו אל מחוץ לגבולות הארגון באמצעות צריכת שירותי IaaS (Infrastructure as a Service). כמובן שאפשרות זו מצריכה שימוש ב VPN בכדי לחבר בין הענן לתשתית המקומית שלנו ב Datacenter (On Premises).

    כמו כן, יש מספר צורות/הצעות בהן ניתן לממש את החיבור של AD בענן לתשתית המקומית –

    • חיבור של כלל ה Domain Controllers תחת אותו Domain, לא משנה היכן הם ממוקמים
    • יצירת Domains נפרדים בענן וב Datacenter המקומי ואיגודם תחת אותו Forest
    • יצירת Forests נפרדים בענן וב Datacenter המקומי וחיבורם באמצעות cross-forest trusts או באמצעות Active Directory Federation Services (AD FS) שניתן למקם גם כן על גבי תשתית Azure

מתי נבחר באפשרות זו ?

  • כאשר יש לנו אפליקציות אשר מותקנות על גבי מכונות ווירטואליות שממוקמות ב Azure אך מצריכות הזדהות או מידע מה Active Directory שקיים בארגון, מה שיסייע בנגישות ושיפור ביצועים.
  • במקרים בהם יש לנו סניפים מרוחקים חסרי משאבים או יכולת להחזיק ב Domain Controllers מקומיים ונדרשים לעבודה מול Active Directory.
  • לשם הרחבת השרידות התשתיתית אל מחוץ לגבולות הארגון (הרחבת התשתית מחוץ לגבולות הארגון תיתן מענה למקרים של קריסה פיזית ואי זמינות שלDomain Controllers בודדים, עבור מקרים של Logical corruption, Schema extension, וירוסים ופריצות נעשה שימוש בפתרונות צד ג' דוגמת הפתרונות של חברת Semperis ו Dell אשר מספקים אוטומציה לתהליך ה Active Directory Disaster Recovery).

2.   Azure Active Directory – מיום ליום אנו עדים לגדילה משמעותית בהיצע אפליקציות ה SaaS (Software as a Service) שצצות בשוק ואיתן אנו מגלים את הצורך המובהק במתן מענה   
      לאותן Cloud based applications. אותו מענה הינו Azure AD אשר ניתן לשימוש בשני מצבים:

    • כאשר הארגון משתמש אך ורק באפליקציות SaaS. כך למעשה באמצעות Azure AD ניתן לספק לאותן אפליקציות שירותי Directory\identity management – המשתמש ניגש לאפליקציית ה SaaS אשר מאמתת אותו אל מול ה Azure AD (באמצעות Token שנשלח חזרה אל האפליקציה לאחר האימות).

                    clip_image002

           (מקור: Microsoft.com)

    • ארגונים אשר מריצים Windows Server Active Directory יכולים לחבר את תשתית ה On Premises שלהם ל Azure AD ובכך לאפשר למשתמשים שלהם להתחבר לאפליקציות ה SaaS ב SSO (Single Sign On). גם כאן כמו במקרה הקודם אפליקציית ה SaaS תאמת את המשתמש מול ה Azure AD באותה צורה בדיוק כמו שתואר קודם, השוני במקרה הנ"ל הוא שהמידע שיהיה ב Azure AD יסונכרן מתשתית ה Active Directory שנמצאת On Premises באמצעות Data Sync ו ADFS. כך למעשה מנהל תשתית ה AD המקומית יכול להמשיך ולנהל את ה Active Directory שלו כפי שעשה עד כה. כל מידע שיוגדר יסונכרן אל תשתית ה Azure AD על בסיס קבוע בין התשתית המקומית (Windows Server Active Directory) אל התשתית שבענן (Azure Active Directory).

                    clip_image004 

                    (מקור: Microsoft.com)

3.   Azure AD Access Control – כמו שניתן לראות כיום, המון אתרים ברשת מאפשרים גישה/התחברות לשירותים שלהם באמצעות שימוש במנגנוני אימות עם פרטי חשבון של Google,  
      Facebook, Twitter, Microsoft Passport וכו'.
      במצב בו ישנן אפליקציות SaaS אשר אינן מעוניינות להחזיק ברשימת משתמשים וסיסמאות ואף לתחזק אותה. ניתן לספק באמצעות שימוש ב Azure AD מנגנון אימות ל Tokens   
       שמונפקים מהספקים השונים (שכתובים בפורמטים שונים), על ידי אימות אפליקציית ה SaaS אל מול Azure AD אשר מאמת את ה Token של הספקים שונים.

                   clip_image006

 

לסיכום, מה זה נותן לנו ?

  • את היכולת למרכז את ניהול הזהויות בארגון
  • את היכולת לאפשר לעובדים SSO מחוץ לארגון
  • רמת זמינות גבוהה והסרת הצורך בתחזוקת התשתיות
  • פיתוחים הקשורים לניהול זהויות בארגון הופכים לפשוטים יותר בשל העובדה כי Azure AD מאפשר שימוש בפרוטוקולי REST ו OData
  • עדיין ניתן לשמור את המידע הרגיש על גבי ה AD המקומי של הארגון ולהשתמש ב Azure AD עבור שירותים חיצוניים
  • ניתן לממש הזדהות באמצעות ספקים חיצוניים דוגמת Facebook, Google וכו'.
  • ניתן לנהל את תשתית ה Azure AD באמצעות PowerShell – וכולנו יודעים כמה ערך מוסף יש בזה
  • משתמשים ב Office 365 ? אתם כבר צורכים שירותים מ Azure AD

 

p_0147 (2)הפוסט נכתב על ידי שרון אברבנאל, VP Products בחברת Semperis, מנהל את Infrastructure & Management User Group במייקרוסופט ישראל והבעלים של הבלוג המצליח IT in a box.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *