Porovnání zprostředkovatelů identity Microsoftu

  • 3 min

Zprostředkovatel identity (IdP) je systém, který vytváří, spravuje a ukládá digitální identity. Příkladem je ID Microsoft Entra. Možnosti a funkce zprostředkovatelů identity se mohou lišit. Mezi tři nejběžnější komponenty patří:

  • úložiště identit uživatelů
  • ověřovací systém
  • protokoly zabezpečení, které chrání před neoprávněným vniknutím

Zprostředkovatel identity ověřuje identity uživatelů pomocí jednoho nebo více ověřovacích faktorů, jako je heslo nebo kontrola otisku prstu. Zprostředkovatel identity je často důvěryhodným zprostředkovatelem pro použití s jednotným přihlašováním (SSO) pro přístup k jiným prostředkům. Jednotné přihlašování zvyšuje použitelnost snížením únavy hesel. Poskytuje také lepší zabezpečení snížením potenciálního prostoru pro útoky. Zprostředkovatelé identit můžou usnadnit připojení mezi prostředky cloud computingu a uživateli, čímž se snižuje potřeba, aby se uživatelé při používání mobilních a roamingových aplikací znovu ověřily.

Běžné protokoly identit

Zprostředkovatel OpenID – OpenID Connect (OIDC) je ověřovací protokol založený na protokolu OAuth2 (který se používá k autorizaci). OIDC používá k poskytování služeb identit standardizované toky zpráv z OAuth2. Konkrétně systémová entita (označovaná jako zprostředkovatel OpenID-Provider) vydává tokeny identit ve formátu JSON předávajícím stranám OIDC prostřednictvím rozhraní RESTful HTTP API.

Zprostředkovatel identity SAML – SAML (Security Assertion Markup Language) je otevřený standard pro výměnu ověřovacích a autorizačních dat mezi zprostředkovatelem identity a poskytovatelem služeb. SAML je jazyk založený na značkách XML pro kontrolní výrazy zabezpečení, což jsou příkazy, které poskytovatelé služeb používají k rozhodování o řízení přístupu.

Porovnání zprostředkovatelů identity v Microsoft Azure

Microsoft poskytuje několik různých nástrojů pro identitu na základě vašich obchodních potřeb a cílů. Id Microsoft Entra by mělo být vaším výchozím bodem cloudové identity. Další služby můžou poskytovat podpůrné funkce při přechodu z místního prostředí do cloudu.

Microsoft Entra Domain Services Microsoft Entra ID Active Directory Domain Services
Poskytuje spravované doménové služby s podmnožinou plně kompatibilních tradičních funkcí služby AD DS, jako je připojení k doméně, zásady skupiny, LDAP a ověřování Kerberos / NTLM. Cloudová identita a správa mobilních zařízení, které poskytují uživatelské účty a ověřovací služby pro prostředky, jako jsou Microsoft 365, Azure Portal nebo aplikace SaaS. Server LDAP (Lightweight Directory Access Protocol) připravený pro podniky, který poskytuje klíčové funkce, jako je identita a ověřování, správa objektů počítače, zásady skupiny a vztahy důvěryhodnosti.

Služba Active Directory Domain Services (AD DS)

Server LDAP (Lightweight Directory Access Protocol) připravený pro podniky, který poskytuje klíčové funkce, jako je identita a ověřování, správa objektů počítače, zásady skupiny a vztahy důvěryhodnosti.

  • SLUŽBA AD DS je ústřední komponentou v mnoha organizacích s místním IT prostředím a poskytuje základní funkce ověřování uživatelských účtů a správy počítačů.

Microsoft Entra ID

Cloudová identita a správa mobilních zařízení, které poskytují uživatelské účty a ověřovací služby pro prostředky, jako jsou Microsoft 365, Azure Portal nebo aplikace SaaS.

  • Microsoft Entra ID je možné synchronizovat s místním prostředím služby AD DS a poskytnout tak uživatelům jedinou identitu, která funguje nativně v cloudu.

Microsoft Entra Domain Services

Poskytuje spravované doménové služby s podmnožinou plně kompatibilních tradičních funkcí služby AD DS, jako je připojení k doméně, zásady skupiny, LDAP a ověřování Kerberos / NTLM.

  • Microsoft Entra DS se integruje s Microsoft Entra ID, které se může synchronizovat s místním prostředím SLUŽBY AD DS. Tato schopnost rozšiřuje případy použití centrální identity na tradiční webové aplikace, které běží v Azure jako součást strategie "lift and shift".