Porovnání možností integrace pro místní službu Active Directory se sítí Azure

Tento článek porovnává možnosti integrace místního prostředí Active Directory (AD) se sítí Azure. Pro každou možnost je k dispozici podrobnější referenční architektura.

Mnoho organizací používá službu Active Directory Domain Services (AD DS) k ověřování identit přidružených k uživatelům, počítačům, aplikacím nebo jiným prostředkům, které jsou součástí hranice zabezpečení. Adresářové služby a služby identit jsou obvykle hostované místně, ale pokud je vaše aplikace hostovaná částečně místně a částečně v Azure, může dojít k latenci odesílání žádostí o ověření z Azure zpět do místního prostředí. Implementace adresářových služeb a služeb identit v Azure může tuto latenci snížit.

Azure poskytuje dvě řešení pro implementaci adresářových služeb a služeb identit v Azure:

• Pomocí Microsoft Entra ID vytvořte doménu Active Directory v cloudu a připojte ji k místní doméně Active Directory. Microsoft Entra Connect integruje vaše místní adresáře s ID Microsoft Entra.

• Rozšiřte stávající místní infrastrukturu Active Directory do Azure nasazením virtuálního počítače v Azure, na kterém běží služba AD DS jako řadič domény. Tato architektura je častější, když jsou místní síť a virtuální síť Azure připojené pomocí připojení VPN nebo ExpressRoute. Je možné provést několik variant této architektury:

  • Vytvořte doménu v Azure a připojte ji k místní doménové struktuře AD.
  • Vytvořte samostatnou doménovou strukturu v Azure, která je důvěryhodná doménami ve vaší místní doménové struktuře.
  • Replikace nasazení služby AD FS (Active Directory Federation Services) do Azure

Další části popisují každou z těchto možností podrobněji.

Integrace místních domén s ID Microsoft Entra

Pomocí ID Microsoft Entra vytvořte doménu v Azure a propojte ji s místní doménou AD.

Adresář Microsoft Entra není rozšířením místního adresáře. Spíše se jedná o kopii, která obsahuje stejné objekty a identity. Změny provedené v těchto položkách v místním prostředí se zkopírují do ID Microsoft Entra, ale změny provedené v ID Microsoft Entra se nereplikují zpět do místní domény.

Můžete také použít ID Microsoft Entra bez použití místního adresáře. V tomto případě microsoft Entra ID funguje jako primární zdroj všech informací o identitě, nikoli jako obsahující data replikovaná z místního adresáře.

výhody

• Nemusíte udržovat infrastrukturu AD v cloudu. Microsoft Entra ID je zcela spravován a spravován Microsoftem.
• ID Microsoft Entra poskytuje stejné informace o identitě, které jsou k dispozici místně.
• K ověřování může dojít v Azure, což snižuje potřebu externích aplikací a uživatelů kontaktovat místní doménu.

výzvy

• Pokud chcete zachovat synchronizaci adresáře Microsoft Entra, musíte nakonfigurovat připojení k místní doméně.
• Aplikace může být potřeba přepsat, aby bylo možné povolit ověřování prostřednictvím ID Microsoft Entra.
• Pokud chcete ověřit účty služeb a počítačů, budete muset také nasadit microsoft Entra Domain Services.

referenční architektura

• integrace místních domén Active Directory s Microsoft Entra ID

Služba AD DS v Azure připojená k místní doménové struktuře

Nasaďte servery SLUŽBY AD Domain Services (AD DS) do Azure. Vytvořte doménu v Azure a připojte ji k místní doménové struktuře AD.

Tuto možnost zvažte, pokud potřebujete používat funkce SLUŽBY AD DS, které nejsou aktuálně implementovány pomocí Microsoft Entra ID.

výhody

• Poskytuje přístup ke stejným informacím o identitě, které jsou k dispozici místně.
• Účty uživatelů, služeb a počítačů můžete ověřovat místně i v Azure.
• Nemusíte spravovat samostatnou doménovou strukturu AD. Doména v Azure může patřit do místní doménové struktury.
• Na doménu v Azure můžete použít zásady skupiny definované místními objekty zásad skupiny.

výzvy

• Musíte nasadit a spravovat vlastní servery a doménu služby AD DS v cloudu.
• Mezi doménovými servery v cloudu a servery, které běží místně, může docházet k určité latenci synchronizace.

referenční architektura

• rozšíření služby Active Directory Domain Services (AD DS) do Azure

AD DS v Azure s samostatnou doménovou strukturou

Nasaďte servery SLUŽBY AD Domain Services (AD DS) do Azure, ale vytvořte samostatnou doménovou strukturu služby Active Directory , která je oddělená od místní doménové struktury. Tato doménová struktura je důvěryhodná doménami ve vaší místní doménové struktuře.

Typická použití této architektury zahrnuje zachování oddělení zabezpečení pro objekty a identity uchovávané v cloudu a migraci jednotlivých domén z místního prostředí do cloudu.

výhody

• Můžete implementovat místní identity a samostatné identity jen pro Azure.
• Nemusíte replikovat z místní doménové struktury AD do Azure.

výzvy

• Ověřování v Rámci Azure pro místní identity vyžaduje další segmenty směrování sítě na místní servery AD.
• Musíte nasadit vlastní servery a doménovou strukturu služby AD DS v cloudu a vytvořit odpovídající vztahy důvěryhodnosti mezi doménovými strukturami.

referenční architektura

• vytvoření doménové struktury prostředků služby Active Directory Domain Services (AD DS) v Azure

Rozšíření služby AD FS do Azure

Replikace nasazení služby AD FS (Active Directory Federation Services) do Azure za účelem provedení federovaného ověřování a autorizace pro komponenty spuštěné v Azure.

Typické použití pro tuto architekturu:

• Ověřování a autorizace uživatelů z partnerských organizací
• Umožňuje uživatelům ověřovat se z webových prohlížečů spuštěných mimo bránu firewall organizace.
• Umožňuje uživatelům připojit se z autorizovaných externích zařízení, jako jsou mobilní zařízení.

výhody

• Můžete využít aplikace pracující s deklaracemi.
• Poskytuje možnost důvěřovat externím partnerům pro ověřování.
• Kompatibilita s velkou sadou ověřovacích protokolů

výzvy

• V Azure musíte nasadit vlastní proxy servery webových aplikací SLUŽBY AD DS, AD FS a AD FS.
• Tato architektura může být složitá pro konfiguraci.

referenční architektura

• rozšíření služby Active Directory Federation Services (AD FS) do Azure