Τι το Microsoft Azure μπορεί και δεν μπορεί να κάνει για να βοηθήσει την On-Premise Active Directory

Βίντεο: The Great Gildersleeve: Gildy’s New Car / Leroy Has the Flu / Gildy Needs a Hobby

Περιεχόμενο

Τα διαφορετικά περιβάλλοντα Azure AD και Server AD
Οι κοινότητες μεταξύ Azure AD και Server AD
Πώς είναι διαφορετικά
No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας
Το Azure AD διευκολύνει την ζωή όλων των χρηστών μέσω του IDAaS

Πηγή: Rvlsoft / Dreamstime.com

Πάρε μακριά:

Σε αυτό το άρθρο συζητούμε τις ομοιότητες και τις διαφορές μεταξύ του Microsoft Azure και του διακομιστή AD και του τρόπου με τον οποίο η Azure AD μπορεί να ενισχύσει τις δυνατότητες της υπηρεσίας AD σας σε αυτή την εποχή του cloud και των πολλαπλών προσφερόμενων υπηρεσιών.

Μιλούσα με τον διευθυντή τεχνολογίας ενός αρκετά δημοφιλούς δημόσιου σχολικού συστήματος την άλλη μέρα που μεταδίδει την απογοήτευσή του απέναντι στο Microsoft Azure Active Directory. Είχαν ανατεθεί πρόσφατα μια ομάδα ΜΜΕ σχετικά με το θέμα για να τους βοηθήσει να τους καθοδηγήσουν μέσω της υλοποίησης της Azure AD. Μετά από αρκετές τηλεδιασκέψεις, ο σκηνοθέτης εγκατέλειψε τη συνεργασία με τους "εμπειρογνώμονες" καθώς κατάλαβε ότι δεν ήξεραν πολύ περισσότερο από ό, τι έκανε ήδη. "Μπορώ να διαβάσω τα άρθρα του TechNet εξίσου εύκολα", είπε.

Αυτό δεν είναι τόσο περίεργο, καθώς υπάρχει μεγάλη σύγχυση όσον αφορά την ενσωμάτωση του Azure AD και της επίγειας έκφρασης AD σε ένα περιβάλλον υβριδικών σύννεφων. Συνήθως η αρχική παραδοχή είναι ότι το Azure AD είναι απλώς μια έκδοση αντιγράφου του παραδοσιακού διακομιστή AD που απλώς κατοικεί στο σύννεφο. Αυτός είναι ο λόγος για τον οποίο υπάρχουν τόσα πολλά κλισέ για την υπόθεση. (Για σύγκριση των υπηρεσιών cloud, ανατρέξτε στο The Four Major Cloud Players: Πλεονεκτήματα και μειονεκτήματα).

Τα διαφορετικά περιβάλλοντα Azure AD και Server AD

Το γεγονός είναι ότι αυτές οι δύο εκδοχές της ΑΔ έχουν σχεδόν όσες διαφορές με αυτές που κάνουν ομοιότητες. Αυτό οφείλεται στο γεγονός ότι κάθε ένα από αυτά είναι χτισμένο γύρω από ένα διαφορετικό περιβάλλον.

Όταν οι επαγγελματίες τεχνολογιών πληροφορικής αναφέρονται στην ΑΔ, αναφέρονται στην παραδοσιακή ΑΔ που όλοι έχουμε συνηθίσει να έχουμε με τα χρόνια που κατοικούν στο φυσικό επίπεδο. Ο διακομιστής AD βασίζεται στις αρχές της οργάνωσης, της διαχειρισιμότητας και της πολιτικής. Παίρνουμε τον τομέα μας και το διαχωρίζουμε σε μικρότερες, πιο εύχρηστες οργανωτικές μονάδες όπου κατοικούν οι χρήστες και οι υπολογιστές που μοιράζονται το κοινό. Ίσως ο ΔΣ σας χωρίζεται από φυσικές τοποθεσίες ή από τη λειτουργία της εργασίας. Τόσο οι χρήστες όσο και οι αντίστοιχοι υπολογιστές τους συμμετέχουν στη διαδικασία εξουσιοδότησης καθώς συνδέονται με ελεγκτές τομέα που χρησιμοποιούν το LDAP και έχουν πρόσβαση σε φυσικούς πόρους χρησιμοποιώντας εισιτήρια Kerberos. Οι εφαρμογές προέρχονται από αρχεία ISO και η Πολιτική ομάδας κλειδώνει τους επιτραπέζιους υπολογιστές και τις ρυθμίσεις για τους χρήστες.

Και τότε υπάρχει Azure. Το Azure κατασκευάστηκε για το σύννεφο, το οποίο σημαίνει ότι έχει σχεδιαστεί ειδικά για να υποστηρίξει τις υπηρεσίες web. Το σύννεφο αφορά την ελαστικότητα, την ευκινησία και την αέναη αλλοίωση. Το Azure είναι μια επίπεδη δομή άκυρη από τις οργανωτικές μονάδες και τα αντικείμενα πολιτικής ομάδας, μια δομή στην οποία η τοποθεσία είναι άσχετη. Στην πραγματικότητα, το Azure είναι ένας τεράστιος ωκεανός αντικειμένων που συγκεντρώνονται σε ένα τεράστιο δοχείο. Είναι ένα μέρος όπου οι εφαρμογές είναι υπηρεσίες, οι επεκτάσεις των ίδιων των χρηστών. Οι εφαρμογές σε αυτό το περιβάλλον αποδίδονται απλά και όχι εγκατεστημένες. Ενώ η παραδοσιακή τεχνολογία AD είναι γνωστή για την όσο το δυνατόν καλύτερη διαχείριση και έλεγχο της εμπειρίας του χρήστη, το Azure AD έχει ως στόχο να κάνει την εμπειρία του χρήστη όσο το δυνατόν πιο ρευστό.

Οι κοινότητες μεταξύ Azure AD και Server AD

Έτσι, Azure AD δεν προορίζεται να είναι η έκδοση σύννεφο του διακομιστή AD. Κατασκευάστηκε για να το αυξήσει, καθώς η παραδοσιακή μπροσούρα δεν κατασκευάστηκε ποτέ για να υποστηρίξει τον κόσμο των διαδικτυακών υπηρεσιών διαδικτύου. Ας αρχίσουμε λοιπόν με τις ομοιότητες μεταξύ των δύο.

Όπως και ο προκάτοχός της, η Azure AD φιλοξενεί χρήστες και ομάδες. Σε ένα περιβάλλον υβριδικού cloud, οι διαχειριστές AD μπορούν να δημιουργήσουν χρήστες εντός της τοπικής τους υπηρεσίας AD και να τους έχουν συγχρονιστεί με το Azure από ένα ενδιάμεσο εργαλείο που ονομάζεται Azure AD Connect και προσφέρει μερικά σημαντικά χαρακτηριστικά.

Συγχρονισμός κωδικού πρόσβασης - Δεδομένου ότι οι χρήστες και οι ομάδες συγχρονίζονται με το Azure AD, οι χρήστες μπορούν να συνδεθούν τόσο στο χώρο όσο και στο σύννεφο, καθώς οι κωδικοί πρόσβασης συγχρονίζονται μεταξύ των δύο. Δεδομένου ότι η αρχή αυτή ορίζεται ως η αρχή, η Azure AD χρησιμοποιεί επίσης την πολιτική τοπικού κωδικού πρόσβασης.
Κωδικοποίηση κωδικού πρόσβασης κωδικού πρόσβασης - Οι χρήστες μπορούν να αλλάξουν τους κωδικούς τους μέσα στο Azure AD και να τους έχουν γράψει στο επίκεντρο. Αυτό είναι ένα φανταστικό χαρακτηριστικό για έναν οργανισμό όπως ένα σχολικό σύστημα όπου οι δάσκαλοι και οι κωδικοί προσωπικού λήγουν το καλοκαίρι. Αντί να είναι κλειδωμένοι από την πρόσβασή τους και πρόσβαση στο διαδίκτυο μέχρι να μπορέσουν να επιστρέψουν στην εργασία για να αλλάξουν τον κωδικό τους στο γραφείο τους, μπορούν να το κάνουν από το σπίτι τους στο Azure AD ανά πάσα στιγμή.
Συγχρονισμός φίλτρου - Αυτό επιτρέπει στους διαχειριστές να επιλέξουν ακριβώς ποια αντικείμενα συγχρονίζονται στο σύννεφο και ποια όχι.

Πώς είναι διαφορετικά

Ενώ οι χρήστες και οι ομάδες μπορούν να συνυπάρχουν ταυτόχρονα με τους Azure AD και Server AD, αυτό δεν ισχύει για τους λογαριασμούς υπολογιστών. Το Azure δεν προσφέρει τη λειτουργία "domain join" που έχουμε συνηθίσει. Αυτό οφείλεται στο γεγονός ότι η Azure είναι για τον ιστό, ένα κενό των παραδοσιακών πρωτοκόλλων ελέγχου ταυτότητας, όπως το LDAP και το Kerberos, αλλά βασίζεται σε πρωτόκολλα ελέγχου ταυτότητας ιστού όπως SAML, WS, Graph API και OAuth 2.0. Οι υπολογιστές είναι συνδεδεμένοι στο Azure. Αυτό σημαίνει ότι οι λογαριασμοί ηλεκτρονικών υπολογιστών μπορούν είτε να διαμένουν επί τόπου είτε στο σύννεφο, αλλά όχι και οι δύο. (Για να μάθετε σχετικά με μερικά από τα μεγαλύτερα προβλήματα στη διαχείριση της υπηρεσίας καταλόγου Active Directory, ανατρέξτε στην ενότητα Οι κορυφαίοι πέντε πόλοι πόνου διαχείρισης Active Directory.)

No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας

Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.

Αυτό δεν είναι τόσο μεγάλο όσο φαίνεται, ωστόσο, καθώς πολλές οργανώσεις σήμερα έχουν στην πραγματικότητα δύο τύπους στόλων υπολογιστών, όπως επιτραπέζιους υπολογιστές και κινητές συσκευές. Σε αυτό το σενάριο, οι κινητές συσκευές θα μπορούσαν να διαμένουν στο εσωτερικό του Azure, ενώ οι επιτραπέζιοι υπολογιστές βρίσκονται στο επίκεντρο. K-12 εκπαιδευτικά ιδρύματα που προσφέρουν ένα-προς-έναν φορητό εξοπλισμό για τους φοιτητές είναι μια καλή εφαρμογή για Azure, όπως χιλιάδες φορητοί υπολογιστές reimaged στο τέλος κάθε έτους, καθιστώντας τους ιδανικούς υποψηφίους για Azure.

Όπως αναφέρθηκε, η Azure AD δεν διαθέτει λειτουργικότητα Πολιτικής Ομάδας, ωστόσο οι συσκευές Azure μπορούν να διαχειρίζονται από τη Microsoft Intune, η οποία προσφέρει δυνατότητες όπως διαχείριση ενημερώσεων και απομακρυσμένη σάρωση σε περίπτωση που μια συσκευή έχει συμβιβαστεί. Επιπλέον, το Intune μπορεί να ενσωματωθεί με το Microsoft SCCM για να παρέχει πιο λεπτομερή διαχείριση συσκευών.

Το Azure AD διευκολύνει την ζωή όλων των χρηστών μέσω του IDAaS

Η κατώτατη γραμμή είναι η εξής: Ο διακομιστής AD είναι πρωτίστως μια λύση υπηρεσίας καταλόγου, ενώ η Azure AD, η οποία διαθέτει κάποιες δυνατότητες υπηρεσίας καταλόγου, είναι μια λύση ταυτότητας. Η διαχείριση ταυτότητας δεν ήταν ένα ζήτημα όταν σχεδιάστηκε ο διακομιστής AD, αλλά είναι ένα κρίσιμο στοιχείο για τις σημερινές οργανώσεις.

Οι χρήστες σε σχεδόν κάθε οργανισμό χρησιμοποιούν σήμερα πολλές εφαρμογές cloud όπως το Office 365, το Saleforce.com, το Dropbox κ.λπ. Όταν οι εφαρμογές cloud έγιναν πρώτες, οι χρήστες έπρεπε να πιστοποιήσουν την ταυτότητά τους σε κάθε εφαρμογή, καθώς οι χρήστες έπρεπε να διαχειριστούν πολλούς κωδικούς πρόσβασης σε ορισμένες περιπτώσεις, καθώς οι προμηθευτές εφαρμογών νέφους εφαρμόζουν διαφορετικές πολιτικές κωδικού πρόσβασης.

Στη συνέχεια ήρθε η Federated Services, η οποία προσέφερε ενιαία σύνδεση ή SSO. Αρχικά, αυτό σήμαινε ότι η εφαρμογή σύννεφο θα εκτρέψει τη διαδικασία επαλήθευσης ταυτότητας πίσω στο AD της υπηρεσίας on-premise του χρήστη, όπου ένας διαμορφωμένος ομοσπονδιακός διακομιστής θα πιστοποιεί τον χρήστη σύμφωνα με τα τοπικά διαπιστευτήρια του. Αυτό το καθιστούσε ευκολότερο για τον χρήστη, αλλά απαιτούσε μεγάλη χειροκίνητη διαμόρφωση για τις ομάδες πληροφορικής, καθώς έπρεπε να δημιουργηθεί ομοσπονδιακή σχέση για κάθε πωλητή εφαρμογών.

Και στη συνέχεια ήρθε η Ταυτότητα ως Υπηρεσία (IDaaS) η οποία είναι ό, τι Azure AD είναι όλα σχετικά.Η Azure AD χειρίζεται την ομοσπονδία για εκατοντάδες εφαρμογές, επιτρέποντας στους χρήστες της Azure AD να μετακινούνται άψογα από την εφαρμογή στην εφαρμογή σχεδόν εξίσου εύκολα με τις εφαρμογές στην επιφάνεια εργασίας τους. Κατά μία έννοια, η Azure AD είναι ένας κόμβος ομοσπονδίας.

Επιπλέον, η Azure AD προσφέρει στους οργανισμούς τη δυνατότητα να φιλοξενήσουν εικονικό ελεγκτή τομέα στο σύννεφο, προσφέροντας στους χρήστες τη δυνατότητα ταυτοποίησης μέσω κινητού καθώς και της απόλυσης σε περίπτωση συνολικής αποτυχίας στο χώρο. Ναι, η Azure AD και ο διακομιστής AD δεν αναπαράγουν τις υπηρεσίες του άλλου, αλλά τις συμπληρώνουν, προσφέροντας σήμερα στους χρήστες τον καλύτερο και από τους δύο κόσμους.