Active Directoryn seuraava sukupolvi

  • Article

 

Active Directoryä (AD) käytetään melkein jokaisessa organisaatiossa ratkaisuna käyttäjien ja Windows työasemien tunnistukseen. AD esiteltiin osana Windows Server 2000 käyttöjärjestelmää joulukuussa 1999, jonka jälkeen se on yleistynyt melkein jokaisen organisaation käyttäjähakemistoksi. AD on saanut 14 vuoden aikana monia uudistuksia, sekä siihen on läheisesti integroitu monia perusinfrastruktuurin palveluita. Loppukäyttäjälle AD on tuottanut kertakirjautusmiskokemuksen niin, että kaikkiin organisaation sisäverkossa oleviin AD integroituihin palveluihin pääsee ilman erillistä käyttäjätunnus salasana paria.

Uudenlaiset vaatimukset käyttäjätunnistukseen

Kuluttajistuminen, erilaisten pilvipalveluiden hyödyntäminen ja uudenlaisten päätelaitteiden määrän kasvu on taas tuonut uudentyyppisiä tarpeita. Perinteisen organisaatioverkon rinnalle on käyttäjille syntynyt useita käyttäjätunnuksia erilaisiin kuluttajapalveluihin. Lisäksi organisaatiot ovat alkaneet hyödyntämään erittäin laajasti organisaatioille tarkoitettuja SaaS pilvipalveluita. Yleensä nämä SaaS palvelut on integroitu käyttöönottoprojektissa oman organisaation AD hakemistoon federointiteknologioiden avulla, jolloin loppukäyttäjillä kertakirjautumisen käyttökokemus on säilynyt, vaikka organisaatio onkin siirtynyt käyttämään joitain ratkaisukokonaisuuksia pilvestä. Joissain tapauksissa organisaatiot ovat ottaneet SaaS palveluita käyttöön ilman federaatiota, jolloin käyttäjälle tulee taas uusia käyttäjätunnuksia ja salasanoja uusiin palveluihin.

Erilaisten pilvipalveluiden määrä on kasvanut viimevuosina räjähdysmäisesti ja pilvipalveluiden toimittajat yleensä tarjoavat SAML rajapintaa liittyville organisaatioille käyttäjätunnusten federointiin. Federaatio tulee näissä tapauksissa toteuttaa aina organisaation ja pilvipalvelutarjoajan välillä. Ajan myötä näiden yksittäisten federaatioiden määrä tulee kasvamaan merkittävästi. Jokaisen uuden SaaS sovelluksen käyttöönotossa tulee aina toteuttaa uusi federaatio taas uuteen palveluun ja organisaation vastuulla on ylläpitää kaikkia näitä yhteyksiä omassa federaatiopalvelussaan.

Lisäksi erilaisten pilvipalveluiden käytön myötä tietoturvaan ja käyttäjätunnistukseen liittyvät kysymykset ovat nousseet enemmän keskusteluun. Miten voisimme hyödyntää vahvaa tunnistusta pilvipalveluissa, jotka eivät sitä itse tarjoa.

Heterogeenisen laitekannan ja käyttäjien itsensä omistamien päätelaitteiden käyttäminen työssä on myös yleistynyt. Perinteisesti hallitussa organisaatioverkossa on ollut helppoa tuoda Windows työaseman työpöydälle käyttäjän tarvitsemien sovellusten kuvakkeet valmiiksi. Käyttäjälle on valmiiksi kerätty näkymä josta hän on päässyt kertakirjautumisen avulla eri järjestelmiin.

Käyttäjähallintaan liittyvät tarpeet ovat siis siirtyneet myös hybridipilvimaailmaan. Edelleen on kuitenkin samoja tarpeita kuten aiemminkin. Tarvitaan ratkaisu loppukäyttäjien ryhmien hallintaan. Unohtuneiden salasanojen vaihtaminen tuottaa edelleen työtä ja kustannuksia omassa palvelupisteessä tai ulkoistetussa palvelussa. Itsepalvelu on yleistynyt julkisissa verkkopalveluissa ja sen lisääminen on hyödyksi myös organisaation sisällä.

Uuden sukupolven AD hybridipilvipalveluna.

Edellä kuvattuihin tarpeisiin vastaamaan on nyt tuotu uudentyyppinen Active Directory. Nykyisin puhutaan paljon hybridipilvipalveluista, eli hyödynnetään julkisesta pilvestä eniten hyötyä tuottavat palvelut ja integroidaan ne osaksi omaa infrastruktuuria. Active Directory voidaan toteuttaa nykyisin myös tällä tavalla. Oman ympäristön Active Directory voidaan nyt integroida Azure Active Directory Premium palveluun.

Azure Active Directory Premium palvelu tarjoaa tällä hetkellä (15.4.2014) valmiin federaation 1235:een SaaS pilvipalveluun. Joukkoon mahtuu kaikki tunnetuimmat pilvipalvelut, sekä myös paikallisia palveluntarjoajia. AD Premium palvelun avulla perinteisen AD ympäristön kertakirjautumiskokemus viedään nyt myös kolmannen osapuolen pilvipalveluihin ja valmiin federaatioverkoston avulla organisaation ei tarvitse enää itse toteuttaa erillisiä federaatioita eri pilvipalveluihin.

 

Eri pilvipalveluiden lisääminen organisaation omaan näkymään

 

Heterogeeniseen laitekantaan ja laitteisiin joiden työpöytää, tai käyttäjän näkymää ei organisaatiolla ole mahdollista hallita, tuodaan uudenlainen selainpohjainen näkymä omista palveluista. Tämä on siis eräänlainen laitteesta riippumaton ”Pilvityöpöytä”, johon loppukäyttäjille voidaan tuoda organisaation käyttämät SaaS pilvipalvelut keskitetysti. Organisaatiotasoisten SaaS palveluiden lisäksi AD Premium tarjoaa mahdollisuuden loppukäyttäjille integroida myös omat kuluttajapalvelut. Palvelun avulla käyttäjät saavat saman kertakirjautumisen ja näkymän sisään kaikki tarvitsemansa palvelut. Sivusto mahdollistaa kertakirjautumisen eri pilvipalveluihin, jolloin se kannattaa myös suojata vahvasti.

"Pilvityöpöytä"

 

Käyttäjän tunnistuksessa voidaan hyödyntää pelkän salasanan lisäksi vahvaa tunnistusta. AD Premium pitää sisällään palvelun nimeltä Azure Multifactor Authentication (MFA). MFA on mahdollista liittää osaksi käyttäjän tunnistusta omassa ympäristössä oleviin sovelluksiin, sekä Azuressa oleviin palveluihin. MFA hakee kirjautumisen yhteydessä AD käyttäjätunnuksen tiedoista käyttäjän matkapuhelinnumeron ja soittaa siihen pyytääkseen käyttäjältä vahvistuksen puhelimitse salasanan lisäksi. Vahvistus voidaan tehdä pelkästään painamalla # nappia tai se voidaan toteuttaa myös tekstiviesteillä.

Yksittäiset SaaS sovellukset voidaan julkaista käyttäjille ryhmien kautta ja käyttäjien on mahdollista hallita ryhmiä myös itsepalveluna. Loppukäyttäjä voi vaihtaa myös itse salasanansa AD Premium palvelun avulla. AD Premium palvelun kautta vaihdettu salasana voidaan myös synkronoida oman organisaation AD hakemistoon.

Pilvestä tarjottavien identiteetinhallintakyvykkyyksien lisäksi AD Premium pitää sisällään käyttöoikeuden Forefront Identity Manager identiteetinhallintaratkaisuun. Mikäli pilvestä tarjottavat kyvykkyydet eivät riitä ja organisaatio tarvitsee laajemman kokonaisuuden identiteetinhallintaan, se on mahdollista toteuttaa FIM:in avulla.

Käyttäjien tunnistus ja identiteetinhallinnan vaatimukset siirtyvät jatkossa enemmän hybridipilvi maailmaan. Oman organisaation käyttäjätunnistusratkaisua kannattaa nyt arvioida hybridiratkaisut mielessä ja loppukäyttäjän käyttökokemus on edelleen erittäin arvokas asia pitää hyvällä tasolla kun osa palveluista hankitaan pilvestä.

Terveisin,

Antti Alila

Tuotepäällikkö

Server & Cloud, Microsoft Oy