跳转到内容

Azure 指南/Azure Active Directory

Add links
来自维基教科书,开放世界中的开放书籍
< Azure 指南
最新修订版为 已审核的最新版本,于 2021 年 1 月 2 日 检查。目前有 2 个待审更改 正在等待审核。

Azure Active Directory 可以被认为是长期存在的 Active Directory 功能的继任者,可用于管理联网计算机,但它是基于云的,并且更加通用。

Active Directory

[编辑 | 编辑源代码]

它是一组在 Windows Server 上运行的服务,可用于管理计算机并分配权限。一个简单的例子是几乎任何企业 - 高级成员将拥有比低级成员更高的权限 - 并且 AD 可用于为整个网络设置用户帐户。一些被利用的服务示例包括轻型目录服务、证书服务、联合服务和权限管理服务等等[1]

Azure 的需求

[编辑 | 编辑源代码]

虽然功能强大,但 Active Directory 存在着局限性,并且与非 Windows 用户的互操作性相对较差[2]。虽然 Microsoft 拥有 Active Directory 联合服务作为替代方案,但仍然需要另一种替代方案。Azure 就是在这里派上用场的。

正如我们所知,Azure 是 Office 365 服务的默认托管平台。这意味着 Azure AD 可用于轻松集成多个 Microsoft 服务 - 例如,可以将用户与 Office 365 帐户关联,以及他们可以使用该帐户登录公司服务器的帐户。

虽然 Azure AD 确实有一个免费层,但还有高级选项可用,这些选项可以启用其他功能和高级管理选项,等等[3]

Office AD 网站 提供了很好的解释

让我们看看 Azure Active Directory 或 Azure AD 身份模型如何能够有效地为我们提供来自云的 Active Directory lite。Azure AD 听起来可能很复杂,但实际上并非如此。它是 Office 365 的默认身份模型。因此,您可能已经在 Office 365 中创建用户时使用过它。想象一个包含少量用户属性的数据库,例如姓名、租户、角色和密码,所有这些属性都存储在云中,使用高度可用的 Azure 云服务,这些服务可以扩展到数百万条记录,一个 Active Directory lite,如果你愿意,这一切都没有本地 Active Directory 带来的层层复杂性。

使用 Azure Active Directory 不会产生任何费用。但是,使用 Azure Active Directory 基本版和高级版会产生额外的付费订阅级别。这些提供了增值功能,例如门户上的公司品牌和用户自助密码重置。为了理解 Azure AD 生命周期,让我们首先浏览一个典型的场景。创建一个新用户,然后在 Office 365 中对其进行管理。

用户帐户信息存储在 Azure AD 中。然后,每当需要验证用户时,Azure AD 都会执行所有身份和访问管理。它始终可用,并且使用基于云的基础设施即服务或 IaaS。Azure AD 允许您将 Active Directory 身份验证服务迁移到云。无论这些是公共云还是私有云,数据始终安全且可用,并存储在数据中心中。

如果您希望保留本地所有权,则可以使用联合服务来提供本地身份,同时允许您将 Active Directory 环境扩展到云。我们知道云提供可扩展性和始终在线的可用性。由于 Azure AD 托管在云中,因此可以依赖它并从任何地方访问它。Microsoft 能够通过基于 Web 的协议和应用程序编程接口或 API 向其他服务公开 Azure AD,这些 API 允许与 Azure AD 进行可信通信。

借助这些安全的 API,Azure AD 可以与其他服务(例如本地 AD)集成,并允许在不同服务之间进行单点登录或 SSO。Azure AD 通过提供身份即服务来简化身份验证。也就是说,Azure AD 负责验证用户的身份。这可以通过许多行业标准协议来实现,例如 OAuth 2.0、SAML 2.0、OpenID Connect 和 Web 服务联合或 WS-Federation。

当您使用 Office 365、Azure 或 Intune 时,您会间接与 Azure AD 交互。还有一些工具可以管理 Azure AD。如果您已经拥有 Azure 订阅,则可以使用 Azure 门户,如果您只需要添加或修改几个用户即可。Azure AD Connect 工具(取代 DirSync)是主要的同步工具,允许将本地 Active Directory 帐户同步到 Azure AD。

对于更复杂的环境,您可以使用轻型目录访问协议或 LDAP,通过 Active Directory 目录服务或 AD DS 来管理本地资源。然后可以将 Active Directory 联合服务 AD FS 部署到现场,然后这将提供本地单点登录控制。如果您更喜欢在命令行工作,您也可以使用 AD 图形 API(这是一个 REST API)直接与 Azure AD 交互,或者使用 Azure AD PowerShell cmdlet,例如 Get-AzureADUser 和 New-AzureADUser。

Azure AD 还可以被应用程序开发人员用来为他们的应用程序启用单点登录 (SSO) 集成,而这在仅使用 AD 时是不可能的。

参考资料

[编辑 | 编辑源代码]
  1. https://searchwindowsserver.techtarget.com/definition/Active-Directory
  2. https://jumpcloud.com/blog/active-directory-azure-active-directory/
  3. https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis
检索自 "https://wikibooks.cn/w/index.php?title=The_Azure_Guide/Azure_Active_Directory&oldid=4353403"
华夏公益教科书