Преглед и оценка на активни директории на Microsoft azure

Microsoft е отрасъл лидер в няколко основни ИТ категории в продължение на десетилетия и една, в която компанията е имала ефективно задушаване е локалните мрежови директории. Windows Server Active Directory (AD) се използва от корпорации и правителства по целия свят и е златният стандарт за управление на идентичността на предприятието (IDM) в предприятието. В допълнение към усъвършенстваните функции и плътната интеграция с най-популярната локална директория в света, ценообразуването на Microsost Azure AD е много конкурентноспособно в пространството за управление на идентичността като услуга (IDaaS), предлагайки безплатно ниво, основно ниво за $ 1 на потребител на месец и две премиумни нива, които работят съответно 6 и 9 долара на месец. Разширени функции, плътна интеграция с водещата локална IDM платформа и нова и приятелска цена, всичко това се комбинира, за да издигне Azure AD до избор на редактор в пространството на IDaaS заедно с Okta Identity Management.

Настройка и свързване с On-Prem AD

По очевидни причини най-честата употреба за Azure AD остават компаниите, които искат да интегрират съществуващ локален AD домейн с приложения, работещи в облака и дори потребители, свързващи се чрез интернет. За да осигурим вътрешностите, които ще преодолеят локалния AD с Azure AD, най-популярното решение на Microsoft е Azure AD Connect, инструмент за синхронизация, който се предлага свободно от Microsoft. Много конкуренти предлагат подобни инструменти за синхронизиране, за да свържат своите IDaaS продукти към локални AD домейни, но Azure AD Connect е добър пример за това как да го направите правилно. Най-голямата разлика между Azure AD Connect и други инструменти за синхронизация е, че Azure AD Connect предлага сигурна синхронизация с парола, която позволява процеса на удостоверяване да се случи в Azure AD, а не идентификационните данни на потребителя да бъдат утвърдени спрямо корпоративния AD. Най-голямата разлика между Azure AD Connect и други инструменти за синхронизация е, че Azure AD Connect синхронизира паролите по подразбиране и процесът на удостоверяване се случва в Azure AD, а не идентификационните данни на потребителя да бъдат утвърдени спрямо корпоративния AD. Много организации може да имат проблеми с политиката при синхронизиране на хеширането на паролите в облака, което прави синхронизирането на пароли Azure AD Connect потенциален проблем.

Azure AD поддържа и използването на услугите на Active Directory Federation (ADFS). Традиционно използван за предоставяне на възможности за удостоверяване на външни приложения или услуги, ADFS принуждава заявките за удостоверяване да се изпълняват с вашия местен AD, но той има свой набор от изисквания и стъпки за конфигуриране, които го правят много по-сложен от конкурентните продукти с подобна функционалност за удостоверяване. Идеалният вариант е нещо по линия на PingFederate на Ping Identity, което осигурява федерация на идентичност с минимална конфигурация, но ще ви позволи да прецизирате всеки аспект от процеса на федерация.

Най-новата опция за интегриране на AD с Azure AD все още използва Azure AD Connect агент, но предлага федеративна опция. Едно често срещано оплакване за Azure AD сред по-големите компании е липсата на средна позиция между синхронизацията, използваща Azure AD Connect, и федерацията, използваща ADFS. Удостоверяването чрез преминаване използва Azure AD Connect, за да предложи прост път до федерален достъп до вашите идентичности в AD. На теория, автентичността чрез пропускане предлага най-доброто от двата свята, запазвайки идентичността и автентификацията на място, но елиминирайки необходимостта от ADFS. Допълнително предимство на автентификацията за преминаване през ADFS е, че свързаността е базирана на агент, което премахва необходимостта от правила за защитна стена или разположение в DMZ. Тази функционалност е в съответствие с голяма част от конкуренцията на Azure AD, включително Okta, OneLogin, Bitium и Centrify. Понастоящем проверката за автентичност е в предварителен преглед, като общата наличност се очаква в следващите няколко месеца.

Интеграция с директории

Изглежда безопасно да се очаква решение на Microsoft IDaaS да се интегрира плътно с AD, а Azure AD не разочарова. Синхронизирането на атрибути може да бъде конфигурирано с Azure AD Connect и по-късно да бъде картографирано в отделни конфигурации на приложението Software-as-a-Service (SaaS). Azure AD също поддържа, че промените на паролата се отписват обратно в AD, когато се появят в Microsoft Office 365 или потребителския портал на Azure AD. Тази функция е налична при конкуренти като OneLogin и редактор Избор на победителя Okta Identity Management, но може да изисква допълнителен софтуер или промени в политиката за синхронизация по подразбиране.

Друга основна точка за интеграция на Azure AD е за клиентите, които използват Microsoft Exchange за своите пощенски услуги, особено за тези, които използват Exchange или Exchange Online във връзка с Office 365 при хибриден облачен сценарий, където цялата или част от имейл услугата се хоства в -предоставя център за данни, докато останалите ресурси се хостват в облака. При инсталиране Azure AD Connect ще разпознае допълнителни атрибути на схемата, които показват инсталация на Exchange и автоматично ще синхронизира тези атрибути. Azure AD също има възможност за синхронизиране на групите Office 365 обратно към AD като групи за разпространение.

Windows 10 също така предлага нови възможности за интегриране с Azure AD. Windows 10 поддържа присъединяване на устройства към Azure AD като алтернатива на вашия корпоративен AD. Внимавайте обаче, тъй като функционалността се различава значително между свързването на устройство към Azure AD срещу присъединяването на устройство към традиционния локален AD. Това е така, защото веднъж свързан с Azure AD, устройството с Windows 10 става управлявано чрез Azure AD и инструментите за управление на мобилни устройства на Microsoft (MDM), а не груповата политика. Голямото предимство за потребителите на Azure AD е, че удостоверяването на потребителския портал е безпроблемно, тъй като потребителят вече е удостоверен на устройството, а приложения за Windows 10 като Mail и Calendar ще разпознаят дали акаунтът на Office 365 е наличен и автоматично ще бъдат конфигурирани. Процесът на влизане е много подобен на стила за влизане по подразбиране в Windows 8, където той изисква подробности за вашия акаунт в Microsoft.

Microsoft Identity Manager

Рядко голямо предприятие разчита на един източник за идентичност. Независимо дали става въпрос за комбинация от Active Directory и система за човешки ресурси (HR), множество гори на Active Directory или връзки с бизнес партньори, допълнителна сложност е неизбежна в по-големите предприятия. Решението на Microsoft за интегриране на множество доставчици на идентичност е Microsoft Identity Manager. Въпреки че е отделен софтуерен пакет, лицензите за достъп на клиенти са включени в слоевете на Azure AD Premium. Сътрудничество на Azure AD B2B (Azure AD B2B) предоставя начин да предложите на бизнес партньорите достъп до корпоративни приложения. Въпреки че в момента е в предварителен преглед, Azure AD B2B улеснява сътрудничеството с бизнес партньорите, предлагайки им достъп до приложения, без да изисква създаване на потребителски акаунти в Active Directory или доверие в Active Directory.

Истинската поддръжка за еднократно влизане (SSO), използваща идентификационни данни на директория, вече се поддържа с помощта на Azure AD при използване на синхронизиране с парола или автентификация при преминаване. Преди това само ADFS предлага тази функция. Потребителите вече могат да се удостоверяват с Azure AD и техните SaaS приложения, без да предоставят идентификационни данни, при условие че отговарят на техническите изисквания (а именно към компютър с Windows, поддържана версия на браузъра и др.). Понастоящем SSO за корпоративни потребители на десктоп също е в предварителен преглед.

Потребителска IDM

Azure AD B2C е ориентиран към потребителите IDM на Microsoft. Тя позволява на потребителите да се удостоверяват с вашите услуги или приложения, като използват съществуващи идентификационни данни, които те вече са установили с други облачни услуги като Google или Facebook. Azure AD B2C поддържа както OAuth 2.0, така и Open ID Connect, а Microsoft предоставя различни опции за интегриране на услугата с вашето приложение или услуга.

Ценообразуването на B2C предлагането е отделно от стандартните нива на Azure AD и се разбиват по броя на съхранените потребители на удостоверяване и броя на автентификациите. Съхранените потребители са безплатни до 50 000 потребители и започват от 0, 0011 долара за удостоверяване до 1 милион. Първите 50 000 удостоверявания на месец също са безплатни и започват от 0, 0028 долара за удостоверяване до 1 милион. Многофакторната автентификация е достъпна и за Azure AD B2C и изпълнява стандартни $ 0, 03 за удостоверяване.

Предоставяне на потребителя

Azure AD предлага подобна функция, зададена на повечето доставчици на IDaaS, когато става въпрос за получаване на потребители и групи, създадени за задаване и предоставяне на достъп до SaaS приложения. Както потребителите, така и групите за сигурност могат да бъдат синхронизирани с помощта на Azure AD Connect, или потребителите и групите могат да бъдат добавени ръчно в Azure AD. За съжаление, в Azure AD няма начин да се скрият потребители или групи, така че клиентите в големите предприятия ще трябва често да се възползват от функциите за търсене, за да преминат към конкретни потребители или групи. Azure AD ви позволява да създавате динамични групи въз основа на атрибутни заявки, използвайки функция (в момента в преглед), наречена разширени правила.

Azure AD поддържа автоматично осигуряване на потребителите в приложенията на SaaS и има ясното предимство да работи изключително добре с внедряването на Office 365. Когато е възможно, Azure AD опростява този процес, както в случая с Google Apps. С прост процес в четири стъпки, Azure AD ви подканва да влезете в Google Apps и поиска вашето разрешение за конфигуриране на Google Apps за автоматично предоставяне на потребители.

Единичен вход

Порталът на крайния потребител на Microsoft е подобен на голяма част от конкуренцията, като предлага мрежа от икони на приложения, насочващи потребителите към SSO приложения. Ако администраторите избират, потребителският портал на Azure AD може да бъде конфигуриран така, че да позволява действия за самообслужване като нулиране на пароли, заявки за приложения или заявки и одобрения за членство в групата. Абонатите на Office 365 имат допълнителното предимство да могат да добавят SSO приложения към менюто на приложението на Office 365, осигурявайки удобен достъп до критични бизнес приложения от Outlook или други предложения на Office 365.

Azure AD поддържа политики за сигурност, свързани с отделни приложения, което ви позволява да изисквате многофакторна автентификация (MFA). Обикновено MFA включва устройство за сигурност или маркер от някакъв вид (като смарт карта) или дори приложение за смартфон, което трябва да присъства преди да влезете. Azure AD може да поддържа MFA за отделни потребители, групи или въз основа на местоположението в мрежата. Okta Identity Management управлява техните политики за сигурност по същия начин. По принцип предпочитаме политиките за сигурност да бъдат отделени, за да може една и съща политика да се прилага към множество приложения, но поне имате възможност да конфигурирате няколко правила.

Една уникална функция, която Microsoft предлага в Azure AD Premium, може да помогне на компанията да започне да идентифицира приложенията на SaaS, които вече се използват от вашата организация. Cloud App Discovery използва софтуерни агенти, за да започне да анализира поведението на потребителите по отношение на приложенията на SaaS, като ви помага да се включите в приложенията, които най-често се използват във вашата организация, и да започнете да управлявате тези на корпоративно ниво.

Традиционният сценарий за решенията на IDaaS включва удостоверяване на потребителите за облачни приложения, използвайки идентификационни данни, произхождащи от локална директория. Azure AD изтласква тези граници, като дава възможност за автентификация на локални приложения, използвайки Application Proxy, който използва агент, който позволява на потребителите да се свързват сигурно с приложения чрез Azure. Поради архитектурата, базирана на агент, използвана от Application Proxy, няма нужда от отворени защитни портове към вътрешни корпоративни приложения. И накрая, Azure AD Domain Services може да се използва за предлагане на директория, съдържаща се в Azure, предоставяща традиционна среда за домейн за удостоверяване на потребителите на виртуални машини, хоствани в Azure. Azure AD Application Proxy може също да бъде конфигуриран да използва политики за условен достъп за налагане на допълнителни правила за удостоверяване (като MFA), когато са изпълнени определени условия.

Azure AD обработва повече от 1, 3 милиарда автентификации всеки ден. Тази чиста скала позволява на Microsoft да предложи поне една услуга, с която понастоящем могат да се конкурират няколко решения за IDM, и това е защита на идентичността на Azure AD. Тази функция използва пълната ширина на облачните услуги на Microsoft (Outlook.com, Xbox Live, Office 365 и Azure), както и машинното обучение (ML), за да предостави несравним анализ на риска за идентичности, съхранявани в Azure AD. Използвайки тези данни, Microsoft открива модели и аномалии, с които може да изчисли оценка на риска за всеки потребител и всеки вход. Microsoft също така активно следи нарушенията на сигурността, включващи идентификационни данни, стигайки дотам, за да оцени тези нарушения за идентификационни данни във вашата организация, които са потенциално компрометирани. След като се изчисли този риск, администраторите могат да го използват в политиките за удостоверяване, които след това им позволяват да се придържат към допълнителни изисквания за вход, като MFA или нулиране на парола.

Докладване

Наборът от отчети, които Microsoft предлага с Azure AD, зависи от вашето ниво на услуга. Дори безплатните и базовите нива предлагат основни доклади за сигурност, които са отчети за консерви, показващи основни дневници за активност и употреба. Абонатите на Premium получават достъп до усъвършенстван набор от доклади, които използват възможностите за машинно обучение на Azure, за да дадат представа за аномалното поведение, като успешни опити за удостоверяване след многократни грешки, тези от множество географии или такива от съмнителни IP адреси.

Azure AD не предлага пълен набор отчети, но консервираните отчети, достъпни за клиентите на Premium, са много по-сложни от това, което предлагат конкурентите. В крайна сметка много ми хареса нивото на представа, което получавате с отчетите за консерви в Azure AD Premium, дори се претеглих с липсата на график или отчети по избор.

Ценообразуване

Ценообразуването на Azure AD започва с безплатен слой, който поддържа до 500 000 обекта на директория (в случая това означава потребители и групи) и до 10 приложения за единичен вход (SSO) на потребител. Безплатната версия на Azure AD се включва автоматично с абонаменти за Office 365, в която ситуация ограничението на обекта не се прилага. С цена на дребно от $ 1 на потребител на месец, основният слой на Azure AD е изключително конкурентен. Основната услуга добавя възможности като брандиране на потребителския портал и групово базиран достъп и предоставяне на SSO, така че, за да създавате автоматично потребителски акаунти в приложенията на SaaS, ще ви е необходим Basic ниво.

Основният слой запазва ограничението от 10 приложения на потребител, но добавя възможността да поддържа локални приложения, използвайки Application Proxy. Подрежданията Premium P1 и P2 в Azure AD премахват ограниченията от размера на SSO приложенията, които потребителите могат да имат, и добавят съответно възможности за самообслужване и MFA за $ 6 и $ 9 на потребител на месец. И двата нива на Azure AD Premium също включват потребителски лицензи за достъп на клиенти (ЛКД) за Microsoft Identity Manager (преди това Forefront Identity Manager), които могат да се използват за синхронизиране и управление на идентичности в бази данни, приложения, други директории и др. Премиумните нива също носят лицензи за условен достъп и Intune MDM на масата, като до голяма степен повишават възможностите за сигурност. Основните предимства на класацията Premium P2 над Premium P1 са защита на идентичността и привилегировано управление на идентичността, като и двете се считат за водещи в индустрията функции за сигурност.

Друго съображение за ценообразуване е възможността да лицензирате услугата на MFA на Azure отделно от Azure AD, което има две предимства: Първо, MFA може да бъде добавен към безплатни или базови слоеве Azure AD за 1, 40 долара на потребител на месец или 10 удостоверения (което най-добре отговаря на използването ви случай), с което общата цена на основната услуга с MFA е $ 2, 40 на потребител. Второ, можете да изберете да активирате MFA само за подмножество от вашата потребителска база, като потенциално спестявате значителна сума пари всеки месец.

Azure AD покрива повечето от основните функции, които трябва да търсите в доставчик на IDaaS. Той носи на масата някои инструменти на корпоративно ниво, които бихте очаквали от компания като Microsoft. Функции като Application Proxy и Identity Protection са сред най-добрите в класа или, просто казано, нямат конкуренция. Ценообразуването е много конкурентноспособно, а интеграцията с Office 365 и други продукти и услуги на Microsoft е солидна и постоянно се развива. Azure AD се присъединява към управлението на идентичността на Okta като избор на редактори в категорията IDaaS.