在谈论标识和访问时,你需要了解两个基本概念: 身份验证 (AuthN) 和 授权 (AuthZ)。
身份验证和授权支持出现的其他一切情况。 它们在标识和访问过程中按顺序发生。
让我们简单了解一下身份验证和授权。
什么是身份验证?
身份验证是确定要访问资源的个人或服务的标识的过程。 这涉及向一方提出合法凭证质询的行为,并为创建用于标识和访问控制的安全主体提供基础。 身份验证可确定用户身份是否正确。
什么是授权?
身份验证确定用户的身份标识,而授权是确定经过身份验证的人员或服务具有的访问级别的过程。 它指定了允许其访问哪些数据及其可以使用这些数据做些什么。
身份验证和授权是什么关系?
下图显示了身份验证和授权之间的关系:
标识卡代表用户用来证明其身份的凭据(你将在本模块后面的部分详细了解凭据类型。) 通过身份验证后,授权会定义用户可访问的应用程序、资源和数据的类型。
Azure AD 与 Active Directory 区别?
Active Directory 与 Azure AD 相关,但它们之间存在一些关键区别。
- Microsoft 在 Windows 2000 中引入了 Active Directory,使组织能够通过为每个用户使用一个标识来管理多个本地基础结构组件和系统。
- 对于本地环境,Windows Server 上运行的 Active Directory 提供由你自己的组织托管的标识和访问管理服务。 Azure AD 是 Microsoft 基于云的标识和访问管理服务。 使用 Azure AD,你可以控制标识帐户,但 Microsoft 确保该服务在全球范围内可用。 如果你使用过 Active Directory,你会非常熟悉 Azure AD。
- 使用 Active Directory 保护本地标识时,Microsoft 不会监视登录操作。 将 Active Directory 与 Azure AD 连接时,Microsoft 可以通过检测可疑登录操作来帮助保护你,且无需额外费用。 例如,Azure AD 可以检测来自意外位置或未知设备的登录尝试。
谁在使用 Azure AD?
Azure AD 适用于:
- IT 管理员
管理员可以根据其业务需求,使用 Azure AD 来控制对应用程序和资源的访问。
- 应用开发人员
开发人员可以使用 Azure AD 提供基于标准的方法,以向其构建的应用程序添加功能,例如向应用添加 SSO 功能或使应用能够使用用户的现有凭据。
- 用户
用户可以管理自己的标识。 例如,自助式密码重置使用户无需 IT 管理员或支持人员的帮助即可更改或重置密码。
- 联机服务订阅者
Microsoft 365、Microsoft Office 365、Azure 和 Microsoft Dynamics CRM Online 订阅者已在使用 Azure AD。
- 租户是组织的一种表示形式。 租户间通常彼此独立,各自具有自己的标识。
- 每个 Microsoft 365、Office 365、Azure 和 Dynamics CRM Online 租户都会自动成为 Azure AD 租户。
Azure AD 提供哪些服务?
Azure AD 提供的服务包括:
- 身份验证
这包括验证用于访问应用程序和资源的标识。 它还提供自助式密码重置、多重身份验证、禁用密码自定义列表和智能锁定服务等功能。
- 单一登录
借助 SSO,你只需记住一个用户名和一个密码即可访问多个应用程序。 单个标识与用户关联,这简化了安全模型。 当用户更改角色或离开组织时,访问权限修改仅与该标识关联,这大大减少了更改或禁用帐户所需的工作量。
- 应用程序管理
可以使用 Azure AD 管理云和本地应用。 应用程序代理、SaaS 应用程序、“我的应用”门户(也称为“访问面板”)和单一登录等功能可提供更好的用户体验。
- 设备管理
除了个人帐户外,Azure AD 还支持设备注册。 注册使得设备可通过 Microsoft Intune 等工具进行管理。 它还允许基于设备的条件访问策略将访问尝试限制为仅来自已知设备,而不考虑发出请求的用户帐户。
Azure AD 可以帮助保护哪些资源?
- Azure AD 可帮助用户同时访问外部和内部资源。
- 外部资源可能包括 Microsoft Office 365、Azure 门户以及成千上万个其他软件即服务 (SaaS) 应用程序。
- 内部资源可能包括公司网络和 Intranet 上的应用,以及组织内部开发的任何云应用程序。
什么是单一登录?
使用单一登录,用户可以一次登录并使用相应凭据访问各种提供商提供的多个资源和应用程序。
更多的标识意味着需要记住和更改更多的密码。 密码策略可能因应用程序而异。 随着复杂性要求增加,用户记住这些密码的难度也不断加大。 用户需要管理的密码越多,与凭证相关的安全事故风险就越大。
考虑一个用于管理所有这些标识的过程。 支持人员处理帐户锁定和密码重置请求时,将会承受更多的压力。 如果用户离开组织,追踪所有这些标识并确保它们已被禁用会非常困难。 如果忽略了某一标识,则可能允许本应删除的访问。
使用 SSO,你只需记住一个 ID 和一个密码。 将跨应用程序的访问权限授予给与用户关联的单个标识,这简化了安全模型。 当用户更改角色或离开组织时,访问将绑定到单个标识。 这一更改大大减少了更改或禁用帐户所需的工作量。 为帐户使用 SSO,用户可以更轻松地管理其标识并增强安全功能。
如何将 Active Directory 与 Azure AD 连接?
通过将 Active Directory 与 Azure AD 连接起来,可以为用户提供一致的标识体验。
可以通过几种方法将现有 Active Directory 安装内容与 Azure AD 连接。 最常用的方法可能是 Azure AD Connect。
Azure AD Connect 在本地 Active Directory 和 Azure AD 之间同步用户标识。 Azure AD Connect 在两个标识系统之间同步更改,这使你可以在两个系统下使用 SSO、多重身份验证和自助式密码重置等功能。 自助式密码重置可防止用户使用已泄露的已知密码。
下图显示 Azure AD Connect 如何在本地 Active Directory 和 Azure AD 之间发挥作用:
当公司将其现有的 Active Directory 实例与 Azure AD 集成时,它将在整个组织中创建一致的访问模型。 这样做极大地简化了其登录不同应用程序、管理对用户标识和控制所做的更改以及监视和阻止异常访问尝试的过程。