Synchronizace AD do Azure Active Directory: přehled možností
Pokud chcete využívat cloudové služby Microsoftu jako je Office 365 nebo Azure, potřebujete Azure Active Directory. O něj můžete opřít i vaše aplikace s využitím moderních metod přihlašování a získat celou řadu nadstavbových vlastností v oblasti bezpečnosti (například Azure Identity Protection), řízení přístupů (conditional access, Priviledged Identity Management), správy stavu koncových zařízení (InTune), napojení na partnery (B2B) či zákazníky (B2C). Jak napojit vaše standardní Active Directory do cloudového světa Azure Active Directory, který získáváte jako vysoce dostupnou platformní službu?
Active Directory
Obrovské množství zákazníků využívá AD pro svou vnitřní síť a odtud řeší uživatelské účty, skupiny, práva, přístupy do aplikací nebo doménové politiky stanic. Klíčové ale je, že AD využívá protokoly, které jsou od základu vymyšlené pro lokální síť jako je Kerberos apod. Co když potřebujete ověřit uživatele z domova či kavárny k aplikaci, když nějaké privátní spojení neexistuje (mobilní telefon) nebo je kostrbaté (VPN z PC)? Nebo co když potřebujete aplikaci integrovat s identitami vašeho obchodního partnera? Nebo řídit oprávnění, například umožňit uživatelům schválit přístup k některým informacím o sobě aplikaci třetí strany? Nebo co když chcete hotovu mutli-tenantní aplikaci třetí strany jako služba (SaaS) a potřebujete přistupovat svými identitami, ale logicky nechcete svoje hesla předat SaaS providerovi?
Tyto problémy se nejprve řešily použítím federačních protokolů typu SAML a WS-Federation, ale ani to nepokrývá všechny dnešní potřeby zejména s ohledem na autorizaci. Moderní aplikace dnes využívají OAuth 2.0 pro autorizaci a Open ID Connect jako nadstavbu pro řešení autentizace. Pokud máte Live ID Microsoftu, účet na Google, Facebooku, tak to z praxe velmi dobře znáte. Můžete se takovým účtem přihlásit k jiné službě a to velmi bezpečně, aniž by tato služba získala přístup k vašemu heslu. Klasická Active Directory tyto služby postupně přidávala v roli Active Directory Federation Services (ADFS), které přes SAML a WS-Federation doiterovalo až do podpory moderních protokolů typu OAuth 2.0.
Azure Active Directory
AAD je cloudová as a service identita a je od základu postavena na claim-based autentizaci, zejména Open ID Connect a OAuth 2.0 (a další). Nativně nepodporuje protokoly lokální sítě (nicméně existuje managed služba AAD DS, která to v omezené míře může pro vaše VM v Azure nabídnout – ale o tom jindy). Je zaměřena na cloudové scénáře – moderní aplikace, SaaS a postupně se objevují i snahy některé klasické metody z privátní sítě nabízet i s modernější podobou (například Windows 10 dnes umí join do AAD a SQL umí pro přihlašování uživatelů použít AAD).
Hlavní síla AAD kromě faktu, že je as a service (takže neřešíte patchování, HA či backupy), je v nadstavbách. Základní AAD Free je dost dobré na to, abyste s ním řešili synchronizaci s AD, přihlašování do aplikací a vychytávky moderních claim-based systémů. Placené verze AAD ale přináší výhody nad tím. Například v oblasti bezpečnosti (AAD Identity Protection, vícefaktorové ověření, InTune), provozních záležitostech a governance (self-service, write-back, Privileged Identity Management), možnostech přizpůsobení rozhranní vašim potřebám i systém pro správu účtů pro vaše zákazníky (B2C).
Využívejte AAD. V dalších článcích se zaměřím na zprovoznění moderních forem autentizace a různé scénáře jako jsou webové aplikace, autorizace, ověření mezi mikroslužbami a on-behalf-of flow a tak podobně. Ale dnes pojďme na synchronizaci AD s AAD.