Sdílet prostřednictvím

Průvodce rozhodováním ohledně identity

  • Článek

IT pracovníci v jakémkoli prostředí, ať už se jedná o místní, hybridní nebo výhradně cloudové prostředí, potřebují řídit, kteří správci, uživatelé a skupiny mají přístup k prostředkům. Služby pro správu identit a přístupu (IAM) umožňují spravovat řízení přístupu v cloudu.

Plotting identity options from least to most complex, aligned with jump links below

Přejít na: Určení požadavků na | integraci identit v cloudových směrných | plánech synchronizace | adresářů hostovaných v | cloudu Active Directory Federation Services (AD FS) | Vyučte si další informace

Pro správu identit v cloudovém prostředí je k dispozici několik možností. Tyto možnosti se liší náklady a složitostí. Klíčovým faktorem při strukturování cloudových služeb identit je požadovaná úroveň integrace se stávající místní infrastrukturou identit.

Microsoft Entra ID poskytuje základní úroveň řízení přístupu a správy identit pro prostředky Azure. Pokud má infrastruktura vaší organizace místní Active Directory složitou strukturu doménové struktury nebo přizpůsobené organizační jednotky (OU), můžou cloudové úlohy vyžadovat synchronizaci adresářů s ID Microsoft Entra pro konzistentní sadu identit, skupin a rolí mezi místními a cloudovými prostředími. Pro zajištění podpory aplikací, které závisí na starších mechanismech ověřování, se může vyžadovat nasazení služby Active Directory Domain Services (AD DS) v cloudu.

Správa cloudových identit je iterativní proces. Při počátečním nasazení můžete začít s řešeními nativními pro cloud a malou skupinou uživatelů a odpovídajících rolí. S tím, jak se bude vaše migrace vyvíjet, možná budete potřebovat pomocí synchronizace adresářů integrovat řešení identit nebo do svých cloudových nasazení přidat doménové služby. V každé iteraci procesu migrace si znovu projděte svou strategii pro identity.

Určení požadavků na integraci identit

Otázka Směrný plán cloudu Synchronizace adresářů Doménové služby hostované v cloudu Active Directory Federation Services (AD FS)
Chybí vám v současnosti místní adresářová služba? Ano No č. Číslo
Potřebují vaše úlohy pracovat se sadou uživatelů a skupin společnou pro cloudové i místní prostředí? Číslo Ano No Číslo
Závisí vaše úlohy na starších mechanismech ověřování, jako jsou protokoly Kerberos nebo NTLM? Číslo Ne Ano Ano
Vyžadujete jednotné přihlašování napříč různými zprostředkovateli identit? Číslo č. Ne Ano

V rámci plánování migrace do Azure budete muset určit nejlepší způsob integrace vaší stávající správy identit a cloudových služeb identit. Následují běžné scénáře integrace.

Směrný plán cloudu

Microsoft Entra ID je nativní systém pro správu identit a přístupu (IAM), který uživatelům a skupinám uděluje přístup k funkcím správy na platformě Azure. Pokud vaše organizace nemá významné místní řešení identit a plánujete migrovat úlohy tak, aby byly kompatibilní s cloudovými mechanismy ověřování, měli byste začít vyvíjet infrastrukturu identit pomocí Microsoft Entra ID jako základ.

Předpoklady standardních hodnot cloudu: Použití čistě nativní infrastruktury identit cloudu předpokládá následující:

  • Vaše cloudové prostředky nebudou mít závislosti na místních adresářových službách ani serverech Active Directory, případně je možné úlohy upravit a tyto závislosti odebrat.
  • Migrované úlohy aplikace nebo služby podporují mechanismy ověřování kompatibilní s ID Microsoft Entra nebo je můžete snadno upravit tak, aby je podporovaly. Id Microsoft Entra spoléhá na mechanismy ověřování připravené na internet, jako je SAML, OAuth a OpenID Připojení. Stávající úlohy, které závisí na starších metodách ověřování s využitím protokolů, jako je Kerberos nebo NTLM, možná bude potřeba před migrací do cloudu refaktorovat podle vzoru směrného plánu cloudu.

Tip

Úplná migrace služeb identit na Microsoft Entra ID eliminuje potřebu udržovat vlastní infrastrukturu identit, což výrazně zjednodušuje správu IT.

Microsoft Entra ID ale není úplnou náhradou za tradiční infrastrukturu místní Active Directory. Funkce adresáře, jako jsou starší metody ověřování, správa počítačů nebo zásady skupin, nemusí být dostupné, dokud do cloudu nenasadíte další nástroje nebo služby.

V případě scénářů, kdy s cloudovými nasazeními potřebujete integrovat místní identity nebo doménové služby, si níže můžete přečíst o modelech synchronizace adresářů a doménových služeb hostovaných v cloudu.

Synchronizace adresářů

Synchronizace adresářů je často nejlepším řešením pro organizace se stávající místní infrastrukturou Active Directory, kterým umožňuje zachovat stávající správu uživatelů a přístupu a zároveň poskytuje požadované funkce IAM pro správu cloudových prostředků. Tento proces nepřetržitě replikuje informace o adresářích mezi ID Microsoft Entra a místními adresářovými službami, což umožňuje běžným přihlašovacím údajům pro uživatele a konzistentní systém identit, rolí a oprávnění v celé organizaci.

Poznámka

Organizace, které přijaly Microsoft 365, už možná implementovaly synchronizaci adresářů mezi infrastrukturou místní Active Directory a ID Microsoft Entra.

Předpoklady synchronizace adresářů: Použití řešení synchronizované identity předpokládá následující:

  • V cloudové i místní IT infrastruktuře musíte udržovat společnou sadu uživatelských účtů a skupin.
  • Místní služby identit podporují replikaci s ID Microsoft Entra.

Tip

Všechny cloudové úlohy, které závisejí na starších mechanismech ověřování poskytované místní Active Directory servery a které nejsou podporovány ID Microsoft Entra, budou nadále vyžadovat připojení k místním doménovým službám nebo virtuálním serverům v cloudovém prostředí poskytujícím tyto služby. Používáním místních služeb identit také vznikají závislosti na možnostech připojení mezi cloudem a místními sítěmi.

Doménové služby hostované v cloudu

Pokud máte úlohy, které závisí na ověřování na základě deklarace identity s využitím starších protokolů, jako je Kerberos nebo NTLM a které není možné refaktorovat tak, aby přijímaly moderní ověřovací protokoly, jako je SAML, OAuth nebo OpenID Connect, možná v rámci cloudového nasazení budete muset do cloudu migrovat i některé vaše doménové služby.

Tento model zahrnuje nasazení virtuálních počítačů se službou Active Directory do cloudových virtuálních sítí za účelem zajištění služby Active Directory Domain Services (AD DS) pro prostředky v cloudu. Všechny stávající aplikace a služby, které se migrují do vaší cloudové sítě, by s menšími úpravami měly být schopné používat tyto adresářové servery hostované v cloudu.

V místním prostředí se pravděpodobně budou i nadále používat stávající adresáře a doménové služby. V tomto scénáři byste měli využít také synchronizaci adresářů, která v cloudovém i místním prostředí zajistí společnou sadu uživatelů a rolí.

Předpoklady pro doménové služby hostované v cloudu: Provedení migrace adresáře předpokládá následující:

  • Vaše úlohy závisí na ověřování na základě deklarace identity s využitím protokolů, jako je Kerberos nebo NTLM.
  • Pro účely správy nebo uplatňování zásad skupin Active Directory musí být vaše virtuální počítače úloh připojené k doméně.

Tip

Přestože kombinace migrace adresářů a doménových služeb hostovaných v cloudu poskytuje velkou flexibilitu při migraci stávajících úloh, hostováním virtuálních počítačů zajišťujících tyto služby ve vlastní cloudové virtuální síti se zvyšuje složitost úloh správy IT. S tím, jak se bude vaše migrace do cloudu vyvíjet, prozkoumejte požadavky na dlouhodobou údržbu spojenou s hostováním těchto serverů. Zvažte, jestli refaktoring stávajících úloh kvůli kompatibilitě se zprostředkovateli cloudových identit, jako je id Microsoft Entra, může snížit potřebu těchto serverů hostovaných v cloudu.

Active Directory Federation Services (AD FS)

Federace identit vytváří vztahy důvěryhodnosti mezi různými systémy správy identit a umožňuje využívat společné možnosti ověřování a autorizace. V rámci vaší organizace nebo vašich systémů identit spravovaných vašimi zákazníky nebo obchodními partnery pak můžete zajistit podporu možností jednotného přihlašování napříč různými doménami.

MICROSOFT Entra ID podporuje federaci místní Active Directory domén pomocí Active Directory Federation Services (AD FS) (AD FS). Další informace o možnostech implementace v Azure najdete v tématu Rozšíření služby AD FS do Azure.

Další informace

Další informace o službách identit v Azure najdete tady:

  • Microsoft Entra ID. Microsoft Entra ID poskytuje cloudové služby identit. Umožňuje spravovat přístup k prostředkům Azure a řídit správu identit, registrace zařízení, zřizování uživatelů, přístup k aplikacím a ochranu dat.
  • Microsoft Entra Připojení. Nástroj Microsoft Entra Připojení umožňuje propojit instance Microsoft Entra s existujícími řešeními pro správu identit, což umožňuje synchronizaci stávajícího adresáře v cloudu.
  • Řízení přístupu na základě role v Azure (Azure RBAC) Azure RBAC zajišťuje řízení přístupu na základě role pro efektivní a bezpečnou správu přístupu k prostředkům v rovině řízení. Úlohy a povinnosti jsou uspořádané do rolí, které se přiřazují uživatelům. Azure RBAC umožňuje řídit, kdo má přístup k jednotlivým prostředkům a jaké akce s nimi může provádět.
  • Microsoft Entra Privileged Identity Management (PIM) PIM zkracuje dobu expozice přístupových oprávnění k prostředkům a zlepšuje přehled o jejich využití prostřednictvím sestav a upozornění. Omezuje uživatele na oprávnění za běhu, přiřazování jejich oprávnění po omezenou dobu a potom tato oprávnění automaticky odvolali.
  • Integrace místní Active Directory domén s ID Microsoft Entra Tato referenční architektura poskytuje příklad synchronizace adresářů mezi místní Active Directory doménami a ID Microsoft Entra.
  • Rozšíření služby Active Directory Domain Services (AD DS) do Azure: Tato referenční architektura obsahuje příklad nasazení serverů AD DS kvůli rozšíření doménových služeb na cloudové prostředky.
  • Rozšíření služby Active Directory Federation Services (AD FS) do Azure: Tato referenční architektura konfiguruje Active Directory Federation Services (AD FS) (AD FS) tak, aby prováděla federované ověřování a autorizaci s adresářem Microsoft Entra.

Další kroky

Identita je pouze jednou ze základních komponent infrastruktury, která během procesu přechodu na cloud vyžaduje rozhodnutí na úrovni architektury. Informace o alternativních modelech nebo modelech určených pro rozhodování o návrzích pro jiné typy architektur najdete v přehledu průvodců rozhodováním ohledně architektury.

Přehled průvodců rozhodováním ohledně architektury