Azure Active Directory

  • Article

Azure Active Directory je komplexní cloudové řešení pro správu identit a přístupu (IAM), které poskytuje celou řadu možností pro správu uživatelů a skupin. Pomáhá zabezpečit přístup k aplikacím včetně online služeb společnosti Microsoft, jako je Office 365, ale také k celé řadě aplikací SaaS dalších dodavatelů.

Tradiční AD úkony, na které jsou dnešní AD správci zvyklí, jako například připojování počítačů do domény a spravovat je přes GPO nejsou v Azure AD dostupné. Totéž platí pro podporu LDAP protokolu. Místo toho však podporuje škálu federačních protokolů (jako SAML, WS-Federation). Berte tedy Azure AD spíše jako doplněk ke klasickému Windows Server Active Directory, kde AD obsluhuje firemní prostředky a identity uvnitř firemní sítě a Azure AD má na starost zařízení a identity spotřebitele určené pro veřejný cloud.

Azure AD se může použít jako separátní cloudová adresářová služba, anebo můžeme rozšířit do cloudu naší on-premise AD DS. Tímto můžeme pokračovat ve využívání současného on-premise prostředí a zároveň využívat Azure AD k správě identit a přístupů v cloudu. Přístupy můžeme kontrolovat různými politikami a pravidly, například požadovat MFA (multi-faktorová autentizace), anebo řídit přístup podle lokace, či zařízení, ze kterého se přistupuje. Ke správě se dá použít Azure AD management portál a Windows PowerShell

Azure AD tedy umožňuje jednotné přihlašování uživatelů k tisícům cloudových aplikací ze zařízení s Windows, Mac OS a iOS. Uživatelé mohou spouštět cloudové aplikace z firemního webového portálu s využitím svých přihlašovacích údajů do firemní sítě. Také jim můžeme doručit samoobslužný portál.

Azure Active Directory – přehled edic

Azure Active Directory se licencuje na uživatele, a je k dispozici ve 3 edicích: Free, Basic a Premium.

  • Free – správa uživatelských účtů, synchronizace s lokálními adresářovými službami, SSO na Azure, Office 365, a tisíce dalších populárních SaaS aplikací jako Salesforce, Workday, Concur, DocuSign, Google Apps, Box, ServiceNow, Dropbox...
  • Basic – navíc k FREE verzi poskytuje přístup dle skupin, samoobslužný portál pro reset hesel, aplikační proxy (k publikování on-premise web aplikací přes Azure Active Directory), modifikovatelné prostředí pro běh cloudových aplikaci, firemní úroveň SLA tedy 99.9% dostupnost. Správce této edice také může aktivovat trial PREMIUM edice.
  • Premium – navíc k Basic edici nabízí: Branding and Customization; Group Based Access Control; Self Service Password Management; Multi-Factor Authentication; Advanced Reporting/alerting/analytics

Tabulka porovnání a seznam „coming soon“ funkcí lze najít na MS stránkách https://msdn.microsoft.com/library/azure/dn532272.aspx.

2.1 A kolik to stoji?

Následující ceny berte jako orientační, vždy je třeba se podívat na oficiální zdroje anebo se obrátit na Microsoft. V době psaní článků byly zhruba takto:
Premium verze stojí cca 4.5€ měsíčně na jednoho uživatele. Chcete-li vědět jak je to s verzi Basic, je třeba se obrátit na kontaktní osobu za Váš Enterprise Agreement. Link

Azure Multi-Factor Authentication je dostupná jako samostatná služba nebo jako součást balíčku s Azure Active Directory Premium a Enterprise Mobility Suite. Jsou zde 2 modely, a to podle uživatele (1€), anebo podle počtu ověřeni (1€ na 10 ověření). Link

Technická podpora všech všeobecně dostupných služeb Azure, včetně Azure Active Directory úrovně Free a Premium, je dostupná prostřednictvím podpory Azure Support. Ceny začínají na €21.60/měsíc.

3 Azure Active Directory Premium

Azure AD Premium je součástí Microsoft Enterprise Mobility Suite (EMS), které dále obsahuje Windows Intune a Azure Rights Management Services. Azure AD Premium je cílené na velké podniky, takže je dostupné i skrze Enterprise Agreement (EA).

Azure Active Directory Premium poskytuje úroveň škálování a spolehlivosti, jakou velké podniky požadují. Je vysoce dostupná a je hostovaná v globálně distribuovaných datacentrech. Služba denně zvládá miliony ověření od více než 200 milionů aktivních uživatelů a poskytuje SLA na úrovni 99,9 %.

Premium edice obsahuje navíc tyto sady funkcí:

  • Branding and Customization – přihlašovací obrazovka se může upravit tak, aby byla v souladu s designem společnosti a jejích dalších firemních služeb či webových stránek, tedy včetně nahrazením výchozího Azure AD loga značkou společnosti.
  • Group Based Access Control – k federovaným aplikacím můžeme kontrolovat přístup dle skupin. Dále, uživatelé mohou žádat o přístupy požadavkem k připojení se k určité skupině, a schvalování může být provedeno přes vlastníky skupin (skrze Azure AD Access Panel). Správa skupin může být administrátory delegována.
  • Self Service Password Management – možnost pro uživatele si samoobslužně obnovit heslo (pokud jej mají uložené v Azure AD). Microsoft nyní již umožňuje (volitelně) nové heslo zapisovat do našeho on-premise AD.
  • Multi-Factor Authentication – Služba Azure Multi-Factor Authentication brání neoprávněnému přístupu k místním i cloudovým aplikacím pomocí víceúrovňového ověřování (SMS, hovor, notifikace do mobilní aplikace) během přihlašování.
    Díky této službě je možné využívat více faktorové přihlašování i v on-premise prostředí (RADIUS, IIS atd).
  • FIM - Azure AD Premium také obsahuje Forefront Identity Manager Server a Client Access Licenci.
  • Advanced Reporting, alerting, and analytics – Chrání vaší firmu sledováním a výstrah zabezpečení a sestav založených na strojovém učení, které rozpoznávají nekonzistentní vzorce přístupu uživatelů nebo zařízení, a pomáhají tak odstranit potenciální rizika hrozeb.
    Standardně máme k dispozici reporty pro přihlášení: z neznámých zdrojů, na několikátý pokus, z několika destinací. Premium dále přidává: přihlášení z podezřelých adres, nepravidelná aktivita, seznam nejvíce aktivních uživatelů, seznam zařízení použitých k přihlašování.
    (na TechNetu lze nalézt náhledy dalších reportů)

image
Obrázek 1 – Azure Report pro nepravidelná přihlášení

4 Synchronizace

V Azure AD se sice dají vytvářet uživatelé jeden po druhém na portálu, anebo importovat přes CSV, Graph API nebo AAD Powershell module, ale pro větší podniky s tisíci účtů by to bylo dost nepraktické. Proto Microsoft poskytuje možnosti synchronizace účtů a skupin z podnikových AD domén, či forestů.

Pro tuto integraci jsou zde 3 možnosti:

  • Azure Active Directory Synchronization Tool (DirSync)
  • Azure Active Directory Synchronization Services (AAD Sync)
  • Forefront Identity Manager 2010 R2 (použítelný i na jiné adresářové služby, např. Novel, Notes, openLdap)

Nastavení Azure AD Directory synchronizace bude pro většinu organizací snadno nasaditelné a to přes Next>Next wizard s minimálními vstupy. Organizace s více než 50 000 AD objektů (uživatelé, skupiny, kontakty) už můžou potřebovat plnou verzi Microsoft SQL Server.

Pokud se budete rozhodovat, který nástroj použít, na technetuje přehledná tabulka funkcí a možností jednotlivých nástrojů.

5 Typické scénáře užití

Jedním z příkladů může být nasazení Azure Access Control Service (ACS) k autentizaci uživatelů dalších identit (jako FaceBook, Google, Yahoo) uvnitř naší síťě.

Prvním klasickým příkladem je např. Dropbox. Pokud máme předplacenou službu Dropbox for Business a chceme využívat výhod jednotného přihlášení či udělování oprávnění do této služby, můžeme využít před-konfigurovanou federaci s touto službou.

S nasazením a rozšířením o další služby nám může pomoci Microsoft utilita Cloud App Discovery, (umí sbírat data ze zařízení ve vaší společnosti a najít služby, které zaměstnanci používají, a které jsou v Azure galerii aplikací). Poté můžeme tyto uživatele přidat do Azure skupiny (určená pro Dropbox předplatné), které bude vázána na jejich firemní ID. Pokud uživatel pak odejde, přístup k Dropboxu a firemním datům bude ukončen zároveň s jeho firemním účtem.

Druhým příkladem nasazení může být připojení na Twitter účet přes Azure skupinu, ve které mohou být firemní účty lidí dostupné za vztahy s veřejností. Tito zaměstnanci pak mohou publikovat statusy jménem našeho firemního Twitter účtu, a zároveň bude i snáze dohledatelné, kdo vložil jaký příspěvek. Budeme-li mít Azure AD Premium, můžeme delegovat kontrolu nad touto skupinou například na vedoucího PR oddělení.

6 Závěr

Pro uživatele tedy Azure AD přináší nespornou výhodu v tom, že si nepotřebují pamatovat tolik přihlašovacích údajů, zvláště v dnešním světě, kde se už mnozí z nás neobejdou bez „password manažerů“.

Je sice pravda, že spousty SaaS aplikací/služeb může být federováno např. skrz ADFS do našeho on-prem AD, avšak, množství těchto aplikací roste rychle, a spravovat množství těchto federačních trustů se časem stává přítěží, nemluvě o sledování a obnovování certifikátů a další konfigurace.

Zde se nám hodí Azure AD, kde nám postačí na jedné straně federační trust do našeho on-prem AD a integrace SaaS s Azure AD na straně back-endu, a máme funkční SSO.

Kompletní, každým dnem rostoucí, seznam AAD integrovaných aplikací lze nalézt Azure AD Marketplace, a pokud tam nějakou nenajdete, lze o ní požádat.

Jiří Pavlík, KPCS CZ

KPCS CZ je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.