2012 R2 新增功能：混合 IT 的身份管理

9 篇博客系列文章的第 6 篇。

任何行业的领导者都有一个共同的主要责任：条分缕析地找出组织要投入主要时间、金钱和人力的正确领域。在我们的 2012 R2 产品版本的规划阶段尤为如此；该规划确定了将我们的所有资源重点放在这四个主要投入领域。

这些重点关注领域为 IT 消费化、迁移到云环境、数据的爆发式增长以及新的现代业务应用。为使您的合作伙伴和客户能够在这四个领域获利，我们开发了云操作系统战略，显而易见，其中每一个重点关注领域都依赖一致的身份管理以便在企业层面运营。

例如，不能验证和管理用户的身份和设备，就不可能有 IT 消费化；不能管理访问并根据其独特需求将人连接到基于云的资源，组织向云环境的迁移就不可能安全且动态；不能确保正确的人可访问正确的数据，数据的爆发式增长就没有用；而且新的基于云的应用需要控制和管理访问，就像应用以前一样。

自初始 Active Directory 产品与 Windows 2000 一起推出的 13 多年以来，它已成长为全球超过 95% 的组织的默认身份管理和访问控制解决方案。但是，随着组织向云环境的迁移，其身份和访问控制也需要向云环境迁移。随着公司越来越多地依赖基于 SaaS 的应用程序，随着用于访问公司资产的通过云连接的设备的范围不断扩大，以及随着更大托管云和公有云容量的使用，公司必须将其身份解决方案扩展到云环境。

简单的说，混合身份管理是未来企业计算的基础。

我们牢记这一点，开始着手构建满足这些要求的解决方案，以便使我们的客户和合作伙伴处于竞争优势。

为了构建此解决方案，我们从 “云优先”设计原则开始。为满足企业在云环境中工作的需求，我们构建了一个利用 Active Director 成熟功能的解决方案，并将其与 Windows Azure 的灵活性和可扩展性相结合。结果产生了名为 Windows Azure Active Directory 的应用程序。

通过云优化的 Active Directory，企业可以将其身份和访问管理拉伸到云环境，并且更好地管理、控制并确保在组织的每一个角落以及其利用的所有资源之间的合规性。

这可以采用表面上看似简单的流程形式（虽然幕后十分复杂），像单一登录，它可以帮助使用多个设备和多个应用程序的员工节约大量的时间和精力，还可以实现用户的自定义和个性化体验随设备而行（无论用户在何时以及何地开展工作）。没有可扩展、基于云的身份管理系统，上述类似活动不可能实现。

如果有人怀疑 Windows Azure AD 的重要性以及对企业的适用性，请看一下这些事实：

• 自我们发布 Windows Azure AD 以来，我们拥有超过 2.65 万亿次身份验证。
• Windows Azure AD 每两分钟为全球用户和设备提供超过 1,000,000 次身份验证请求（即大约每秒 9,000 次请求）服务。
• 目前，Azure Active Directory 内有超过 420,000 个唯一域上载和提供。

Windows Azure AD 经过实践测试和充分验证，以及在许多其他方面都经过“实践”证明。

但是，可能更为重要的是，Windows Azure AD 是一个 Microsoft 相关业务产品也需要依赖的产品：Office 365（Microsoft 历史上发展最快的产品）和 Windows Intune 都使用 Windows Azure AD 对每一个用户和设备进行身份验证。

在本博文中，Vijay Tewari（Windows Server 和 System Center 的首席项目经理）、Alex Simons（Active Directory 的项目管理总监）、Sam Devasahayam（Windows Azure AD 的首席项目管理负责人）和 Mark Wahl（Active Directory 的首席项目经理）一起介绍了 R2 的最具创新性的功能之一，混合身份管理。

与本系列中的其他博文一样，您可以在本博文结尾处“后续步骤”下查看指向各种工程内容的链接，其中包含本博文中所介绍概念的深度技术概述。

* * *

今天的混合 IT 环境要求客户能够利用来自本地基础结构的资源以及服务提供商和 Windows Azure 提供的资源。身份是用户访问这些资源时获得无缝体验所需的关键元素。其关键是利用一个身份管理系统，能够实现在各提供程序之间使用相同的身份。

先前在 Active Directory 博文中，Active Directory 团队介绍了“Windows Server 2012 R2 中 Active Directory 的新增功能”以及支持“以人为中心的 IT 应用场景”的功能。这些 PCIT 应用场景使组织能够帮助用户安全地访问其个人设备上的文件以及对本地公司资源的进一步控制访问。

在本博文中，我们将介绍我们在 Active Directory 系列的产品和服务中进行的投入。这些产品极大地简化了混合 IT 并使组织能够通过为本地和云使用相同的身份来统一管理服务。

Windows Server Active Directory

首先，让我们来了解一些背景知识。

目前，Windows Server 中的 Active Directory (Windows Server AD) 被全球范围内的组织所广泛采用，它在用户、设备及其应用程序之间提供共同身份结构。这允许最终用户进行无缝访问 – 无论他们是从已加入域的计算机访问文件服务器，还是访问 SharePoint 服务器上的电子邮件或文档。它还允许 IT 人员设置资源访问策略，是 Exchange 和许多其他企业关键功能的基础。

Windows Azure 虚拟机上的 Windows Server Active Directory

今天的混合 IT 界专注于促进基础结构服务的效率。因此，我们看到组织将更多的应用程序工作负荷移动到虚拟化环境。Windows Azure 提供基础结构服务以在几分钟内启动新的 Windows Server 机器，并根据使用情况需要的变化进行调整。Windows Azure 还使您能够使用 Windows Azure 虚拟网络扩展您的企业网络。因些，，当需要将依赖 Windows Server AD 的应用程序引入到云时，可以在 Windows Azure 虚拟网络上找到其他域控制器以缩短网络延迟、改善冗余并为虚拟化工作负荷提供域服务。

已经交付的一个应用场景（从 Windows Server 2012 开始）为使 Windows Server 2012 的 Active Directory 域服务角色能够在 Windows Azure 上的虚拟机内运行。

您可以通过此教程评估该应用场景并在 Windows Azure 虚拟机上托管的服务器中创建新的 Active Directory 林。您还可以查看这些指南以便在 Windows Azure 虚拟机上部署 Windows Server AD。

Windows Azure Active Directory

我们还在 Windows Azure 中构建了一组新功能 – Windows Azure Active Directory。Windows Azure Active Directory（简称“Windows Azure AD”）是组织的云目录。这意味着您可以决定您的用户的身份、要在云中保留的信息、使用或管理该信息的人以及允许访问它的应用程序或服务。

Windows Azure AD 在世界各地的 Microsoft 数据中心作为云级服务实施，我们努力对其进行构架以符合现代基于云的应用程序的需要。它为云应用程序提供目录、身份管理和访问控制功能。

管理对应用程序的访问是一个关键应用场景，因此单一租户和多租户 SaaS 应用程序在目录中均头等重要。您可轻松在您的 Windows Azure AD 目录中注册应用程序并为其授予使用组织的身份的访问权。如果您是云 ISV 的开发人员，您可以在 Windows Azure AD 目录中注册您创建的多租户 SaaS 应用程序，并轻松使其可供拥有 Windows Azure AD 目录的任何其他组织使用。我们采用多种语言提供 REST 服务和 SDK，以使您可轻松集成 Windows Azure AD，从而使您的应用程序能够使用组织身份。

此模型跨 Windows Azure、Microsoft Office 365、Dynamics CRM Online、Windows Intune 以及第三方云服务（请参见下图）增强了用户的共同身份。

Windows Server AD 和 Windows Azure AD 之间的关系

对于已经部署 Windows Server AD 的用户，可能想要知道“Windows Azure AD 提供哪些功能？”以及“如何与自己的 AD 环境集成？”答案很简单：Windows Azure AD 补充您现有的 Windows Server AD 并与其集成。

Windows Azure AD 为托管云应用程序中的身份验证和访问控制补充了 Windows Server AD。数据中心中已有 Windows Server Active Directory 的组织可以将其域与其 Windows Azure AD 连接。一旦身份位于 Windows Azure AD 后，开发与 Windows Azure AD 集成的 ASP.NET 应用程序就十分轻松。此外，提供单一登录以及对其他 SaaS 应用程序（如 Box.com、Salesforce.com、Concur、Dropbox、Google Apps/Gmail）的控制访问也十分简单。用户还可以轻松实现多重身份验证以提高安全性和合规性，而无需在本地部署或管理其他服务器。

将 Windows Server AD 连接到 Windows Azure AD 的好处是一致性 – 尤其是，对用户的一致身份验证，这样用户可以继续使用其现有凭据，并无需执行其他身份验证或记住附加凭据。Windows Azure AD 还提供一致的身份。这表示在 Windows Server AD 中添加和删除用户时，用户将自动获取和失去对 Windows Azure AD 支持的应用程序的访问权。

因为 Windows Azure AD 为 Windows Azure 提供基础身份层，这确保了组织可以控制其内部开发人员、IT 员工和操作人员中可以访问其 Windows Azure 管理门户的人。在该应用场景中，这些用户无需记住 Windows Azure 的另一组凭据，因为在其 PC、工作网络和 Windows Azure 之间使用相同的凭据。

与 Windows Azure Active Directory 连接

将您的组织的 Windows Server AD 连接到 Windows Azure AD 需要三步。

第 1 步： 建立一个 Windows Azure AD 租户（如果您的组织还没有）。

首先，您的组织可能已经拥有 Windows Azure AD。如果您已订阅 Office365 或 Windows Intune，您的用户自动存储在 Windows Azure AD 中，您可通过以组织的管理员身份登录并添加 Windows Azure 订阅来通过 Windows Azure 管理门户管理他们。

该视频介绍了如何配合 Windows Azure 使用现有 Windows Azure AD 租户：

如果您未订阅以下服务之一，您可以通过单击此链接以作为组织注册 Windows Azure，创建一个新的 Windows Azure AD 租户。

在注册了 Windows Azure 后，作为您的租户的新用户（例如，“user@example.onmicrosoft.com”）登录，并选取一个 Windows Azure 订阅。然后，您将在 Windows Azure AD 中拥有一个您可以管理的租户。

登录到 Windows Azure 管理门户后，转至“Active Directory”项，您将看到自己的目录。

第 2 步： 从 Windows Server Active Directory 同步您的用户

接下来，您可以从现有 AD 域引入您的用户。此过程在目录集成路线图中详细介绍。

单击“Active Directory”选项卡后，选择您正管理的目录租户。然后，选择“目录集成”选项。

实现集成后，您便可从 Windows Azure 管理门户下载 Windows Azure Active Directory 同步工具，然后，该工具将用户复制到 Windows Azure AD 中并继续保持更新。

第 3 步： 为这些用户选择您的身份验证方法

最后，对于我们进行的身份验证，在域和 Windows Azure AD 之间提供一致的基于密码的身份验证十分简单。我们通过新的密码哈希同步功能实现这一目的。

密码哈希同步非常强大，因为用户可以使用其登录到桌面或与 Windows Server AD 集成的其他应用程序所使用的密码来登录到 Windows Azure。此外，随着 Windows Azure 管理门户与 Windows Azure AD 集成，它还支持通过组织的本地 Windows Server AD 进行单一登录。

如果您希望使用户无需再次登录即可自动获取对 Windows Azure 的访问，您可使用 Active Directory 联合身份验证服务 (AD FS) 来对 Windows Server Active Directory 和 Windows Azure AD 之间的登录进行联合身份验证。

在 Windows Server 2012 R2 中，我们对 AD FS 进行了一系列改进以支持混合 IT。

我们最近在该博文中“以人为中心的 IT”上下文中对其进行了讨论，但相同的风险管理概念也适用于 Windows Azure AD 保护的任何资源。Windows Server 2012 R2 中的 AD FS 包括通过在域控制器上部署 AD FS 使客户能够缩小其基础结构占地的部署增强功能，它支持更多负载平衡配置。

AD FS 包括其他先决条件检查，它允许分组管理服务帐户以减少停机时间，并且它提供增强的登录体验，为访问基于 Windows Azure AD 的服务的用户提供无缝体验。

AD FS 还实施为构建与 Windows Server AD 和 Windows Azure AD 集成的应用程序提供一致开发界面的新协议（如 OAuth）。这简化了在本地或在 Windows Azure 上部署应用程序。

对于已部署第三方联合身份验证的组织，Shibboleth 和其他第三方身份提供程序也得到 Windows Azure AD 联合身份验证支持，以使 Windows Azure 用户能够进行单一登录。

在您的组织拥有 Windows Azure AD 租户后，通过执行这些步骤，您组织的用户将能够在 Windows Azure 管理以及在其他 Microsoft 和第三方云服务中无缝交互。所有这些操作均可通过与其现有 Windows Server Active Directory 相同的凭据和身份验证体验完成。

总结

随着 IT 组织不断发展以支持其数据中心以外的资源，Windows Azure AD、Windows Server 2012 中的 Windows Server AD 增强功能以及 Windows Server 2012 R2 提供对这些资源的无缝访问。

在未来几周，您将在 Active Directory 博文中看到 Windows Azure 和 Windows Server 2012 R2 中的 Active Directory 增强功能的更多详细信息。

* * *

此博文只是该“2012 R2 新增功能”系列包含的混合 IT 三篇博文中的第一篇。下周，请留意介绍混合网络和灾难恢复的其他两篇博文。如果您有任何关于本主题的问题，欢迎在下面的评论部分留言，或通过 Twitter @InTheCloudMSFT 与我联系。

- Brad

后续步骤

要了解本博文中所涵盖主题的更多信息，请阅读以下文章。您也可以通过作为组织注册 Windows Azure 来获得 Windows Azure AD 目录。

• 配合 Windows Azure 使用现有 Windows Azure AD 租户
  此博文中的视频介绍了如何注册 Windows Azure 订阅以及如何使用组织帐户登录和管理 Windows Azure。
• 使用密码哈希同步简化 Windows Server AD 与 Windows Azure AD 的连接
  此博文介绍了使您可以将用户从 Windows Server AD 轻松同步到 Windows Azure AD 以便用户可以保持其相同密码的增强功能。
• 简化 Web 应用程序与 Windows Azure Active Directory、ASP.NET 和 Visual Studio 的集成
  ASP.NET and Web Tools for Visual Studio 2013 预览版将新的 ASP.NET 项目模板和工具体验扩展为在项目创建时集成 Windows Azure AD 身份验证和管理功能。
• Windows Azure Active Directory 的应用程序访问增强功能
  应用程序访问增强功能预览版使您能够通过一次简单的管理体验控制对您的组织使用的许多软件即服务 (SaaS) 应用程序（如 Box.com、Salesforce.com、Concur、DropBox 和 Google Apps Gmail）的访问。
• Windows Azure Active Authentication：多重身份验证，以便安全和合规
  Windows Azure Active Authentication 预览版，为 Windows Azure AD 身份启用多重身份验证，以保护对 Office 365、Windows Azure、Windows Intune、Dynamics CRM Online 及与 Windows Azure AD 集成的许多其他应用程序的访问。开发人员还可以使用 Active Authentication SDK 将多重身份验证构建到其应用程序中。