Handleiding voor identiteitsbeslissingen
In elke omgeving - on-premises, hybride of alleen-cloud - moet met IT worden geregeld welke beheerders, gebruikers en groepen toegang hebben tot resources. Met IAM-services (identiteits- en toegangsbeheer) kunt u toegangsbeheer in de cloud beheren.
Ga naar: Bepaal vereisten | voor identiteitsintegratie cloudbasislijn | adreslijstsynchronisatie | in de cloud gehoste domeinservices | Active Directory Federation Services | Meer informatie
Er zijn verschillende opties beschikbaar om identiteit in een cloudomgeving te beheren. Deze opties variëren in kosten en complexiteit. Een belangrijke factor in het structureren van uw cloudgebaseerde identiteitsservices is het vereiste niveau van integratie met uw bestaande on-premises infrastructuur.
Microsoft Entra ID biedt een basisniveau van toegangsbeheer en identiteitsbeheer voor Azure-resources. Als de on-premises Active Directory-infrastructuur van uw organisatie een complexe foreststructuur of aangepaste organisatie-eenheden (OE's) heeft, vereisen uw cloudworkloads mogelijk adreslijstsynchronisatie met Microsoft Entra ID voor een consistente set identiteiten, groepen en rollen tussen uw on-premises en cloudomgevingen. Daarnaast vereist ondersteuning voor toepassingen die afhankelijk zijn van verouderde verificatiemechanismen mogelijk de implementatie van AD DS (Active Directory Domain Services) in de cloud.
Cloudgebaseerd identiteitsbeheer is een iteratief proces. Voor een eerste implementatie kunt u beginnen met een cloudeigen oplossing met een klein aantal gebruikers en bijbehorende rollen. Naarmate uw migratie zich verder ontwikkelt, moet u uw identiteitsoplossing mogelijk integreren met behulp van adreslijstsynchronisatie of domeinen toevoegen als onderdeel van uw cloudimplementaties. Herzie uw identiteitsstrategie tijdens elke herhaling van het migratieproces.
Vereisten voor identiteitsintegratie vaststellen
| Vraag | Cloudbasislijn | Directorysynchronisatie | In de cloud gehoste domeinservices | Active Directory Federation Services |
|---|---|---|---|---|
| Mist u momenteel een on-premises adreslijstservice? | Ja | No | Nr. | Nee |
| Moeten uw workloads een gemeenschappelijke groep gebruikers en groepen gebruiken tussen de cloud- en on-premises omgeving? | Nee | Ja | No | Nee |
| Zijn uw workloads afhankelijk van verouderde verificatiemechanismen, zoals Kerberos of NTLM? | Nee | Nee | Ja | Ja |
| Hebt u eenmalige aanmelding nodig voor meerdere id-providers? | Nee | Nr. | Nee | Ja |
Als onderdeel van de planning van uw migratie naar Azure, moet u bepalen hoe u uw bestaande identiteitsbeheer- en cloudidentiteitsservices integreert. Hieronder vindt u algemene scenario's voor integratie.
Cloudbasislijn
Microsoft Entra ID is het systeemeigen IAM-systeem (Identity and Access Management) voor het verlenen van gebruikers en groepen toegang tot beheerfuncties op het Azure-platform. Als uw organisatie geen belangrijke on-premises identiteitsoplossing heeft en u van plan bent workloads te migreren om compatibel te zijn met verificatiemechanismen in de cloud, moet u beginnen met het ontwikkelen van uw identiteitsinfrastructuur met behulp van Microsoft Entra ID als basis.
Veronderstellingen voor cloudbasislijnen: Bij het gebruik van een puur cloudeigen identiteitsinfrastructuur wordt ervan uitgegaan dat het volgende geldt:
- Uw cloudresources zijn in generlei opzicht afhankelijk van on-premises adreslijstservices of Active Directory-servers, of workloads kunnen worden gewijzigd om deze afhankelijkheden te verwijderen.
- De toepassings- of serviceworkloads die worden gemigreerd, ondersteunen verificatiemechanismen die compatibel zijn met Microsoft Entra ID of kunnen eenvoudig worden gewijzigd om deze te ondersteunen. Microsoft Entra ID is afhankelijk van verificatiemechanismen die gereed zijn voor internet, zoals SAML, OAuth en OpenID Verbinding maken. Bestaande workloads die afhankelijk zijn van verouderde verificatiemethoden met protocollen als Kerberos of NTLM, moeten mogelijk met behulp van het cloudbasislijnpatroon worden geherstructureerd voordat u naar de cloud migreert.
Fooi
Het volledig migreren van uw identiteitsservices naar Microsoft Entra ID elimineert de noodzaak om uw eigen identiteitsinfrastructuur te onderhouden, waardoor uw IT-beheer aanzienlijk wordt vereenvoudigd.
Maar Microsoft Entra ID is geen volledige vervanging voor een traditionele on-premises Active Directory-infrastructuur. Adreslijstfuncties zoals verouderde verificatiemethoden, computerbeheer of groepsbeleid zijn mogelijk niet beschikbaar zonder de implementatie van extra hulpprogramma's of services in de cloud.
Voor scenario's waarin u uw on-premises identiteiten of domeinservices moet integreren met uw cloudimplementaties, raadpleegt u de patronen voor adreslijstsynchronisatie en cloudgebaseerde domeinservices die hieronder worden beschreven.
Directorysynchronisatie
Voor adreslijstsynchronisatie met bestaande on-premises Active Directory-infrastructuur is adreslijstsynchronisatie vaak de beste oplossing om bestaand gebruikers- en toegangsbeheer te behouden en toch de vereiste IAM-mogelijkheden voor het beheer van cloudresources te kunnen bieden. Dit proces repliceert voortdurend mapgegevens tussen Microsoft Entra ID en on-premises adreslijstservices, waardoor algemene referenties voor gebruikers en een consistente identiteit, rol en machtigingssysteem in uw hele organisatie worden toegestaan.
Notitie
Organisaties die Microsoft 365 hebben aangenomen, hebben mogelijk al adreslijstsynchronisatie geïmplementeerd tussen hun on-premises Active Directory-infrastructuur en Microsoft Entra-id.
Veronderstellingen voor adreslijstsynchronisatie: Bij het gebruik van een gesynchroniseerde identiteitsoplossing wordt ervan uitgegaan dat het volgende wordt gebruikt:
- U moet een gemeenschappelijke set gebruikersaccounts en groepen in uw cloud en on-premises IT-infrastructuur onderhouden.
- Uw on-premises identiteitsservices ondersteunen replicatie met Microsoft Entra-id.
Fooi
Cloudworkloads die afhankelijk zijn van verouderde verificatiemechanismen die worden geleverd door on-premises Active Directory-servers en die niet worden ondersteund door Microsoft Entra ID, vereisen nog steeds connectiviteit met on-premises domeinservices of virtuele servers in de cloudomgeving die deze services bieden. Het gebruik van on-premises identiteitsservices brengt ook de afhankelijk met zich mee van connectiviteit tussen de cloud en on-premises netwerken.
In de cloud gehoste domeinservices
Als u workloads hebt die afhankelijk zijn van op claims gebaseerde verificatie met behulp van verouderde protocollen, zoals Kerberos of NTLM, en deze workloads niet kunnen worden geherstructureerd voor het accepteren van moderne verificatieprotocollen, zoals SAML of OAuth en OpenID Connect, moet u enkele domeinservices mogelijk naar de cloud migreren als onderdeel van uw cloudimplementatie.
Voor dit patroon moet u virtuele machines waarop Active Directory wordt uitgevoerd, implementeren naar uw cloudgebaseerde virtuele netwerken, om resources in de cloud AD DS (Active Directory Domain Services) te kunnen bieden. Bestaande toepassingen en services die naar uw cloudnetwerk migreren, moeten deze cloudgebaseerde adreslijstservers met kleine wijzigingen kunnen gebruiken.
Waarschijnlijk blijven uw bestaande adreslijsten en domeinservices in uw on-premises omgeving verder in gebruik. In dit scenario moet u adreslijstsynchronisatie ook gebruiken voor het verstrekken van een gemeenschappelijke set gebruikers en rollen in de cloud en on-premises omgevingen.
Veronderstellingen voor door de cloud gehoste domeinservices: Als u een directorymigratie uitvoert, wordt ervan uitgegaan dat het volgende wordt gebruikt:
- Uw workloads zijn afhankelijk van op claims gebaseerde verificatie met behulp van protocollen, zoals Kerberos of NTLM.
- Uw workload-VM's moeten deelnemen aan een domein voor het beheer of de toepassing van Active Directory-groepsbeleid.
Fooi
Een adreslijstmigratie in combinatie met in de cloud gehoste domeinservices geeft een hoge mate van flexibiliteit tijdens de migratie van bestaande workloads. De hosting van virtuele machines binnen uw virtuele netwerk in de cloud om deze services te leveren, verhoogt echter ook de complexiteit van de IT-beheertaken. Naarmate uw cloudmigratie-ervaring zich verder ontwikkelt, dient u de onderhoudsvereisten op de lange termijn voor het hosten van deze servers in de gaten te houden. Overweeg of het herstructureren van bestaande workloads voor compatibiliteit met cloud-id-providers, zoals Microsoft Entra ID, de noodzaak voor deze cloud-gehoste servers kan verminderen.
Active Directory Federation Services
Identiteitsfederatie brengt vertrouwensrelaties tussen meerdere systemen voor identiteitsbeheer tot stand om gemeenschappelijke verificatie- en autorisatiemogelijkheden mogelijk te maken. Vervolgens kunt u de mogelijkheden ondersteunen voor eenmalige aanmelding tussen meerdere domeinen binnen uw organisatie of identiteitssystemen die worden beheerd door uw klanten of zakelijke partners.
Microsoft Entra ID ondersteunt federatie van on-premises Active Directory-domeinen met Active Directory Federation Services (AD FS). Zie AD FS uitbreiden naar Azure voor meer informatie over hoe dit kan worden geïmplementeerd in Azure.
Meer informatie
Meer informatie over identiteitsservices in Azure vindt u in:
- Microsoft Entra-id. Microsoft Entra ID biedt identiteitsservices in de cloud. Hiermee kunt u de toegang beheren tot uw Azure-resources en identiteitsbeheer, apparaatregistratie, gebruikersinrichting, toepassingstoegangsbeheer en gegevensbescherming controleren.
- Microsoft Entra Verbinding maken. Met het hulpprogramma Microsoft Entra Verbinding maken kunt u Microsoft Entra-exemplaren verbinden met uw bestaande oplossingen voor identiteitsbeheer, zodat uw bestaande directory in de cloud kan worden gesynchroniseerd.
- Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure RBAC biedt efficiënt en veilig beheer van toegang tot resources in het beheervlak. Taken en verantwoordelijkheden zijn ingedeeld in rollen waaraan gebruikers zijn toegewezen. Met Azure RBAC kunt u bepalen wie toegang heeft tot een resource en welke acties die gebruiker voor die resource kan uitvoeren.
- Microsoft Entra Privileged Identity Management (PIM). PIM verlaagt de tijd gedurende welke toegangsbevoegdheden voor een resource zichtbaar zijn en vergroot uw inzicht in het gebruik ervan door middel van rapporten en waarschuwingen. Het beperkt gebruikers tot Just-In-Time-bevoegdheden, waarbij hun bevoegdheden gedurende een beperkte duur worden toegewezen en deze bevoegdheden automatisch worden ingetrokken.
- Integreer on-premises Active Directory-domeinen met Microsoft Entra ID. Deze referentiearchitectuur biedt een voorbeeld van adreslijstsynchronisatie tussen on-premises Active Directory-domeinen en Microsoft Entra-id.
- Breid Active Directory Domain Services (AD DS) uit naar Azure. Deze referentiearchitectuur is een voorbeeld van de implementatie van AD DS-servers om domeinservices uit te breiden naar cloudresources.
- Breid Active Directory Federation Services (AD FS) uit naar Azure. Deze referentiearchitectuur configureert Active Directory Federation Services (AD FS) voor federatieve verificatie en autorisatie met uw Microsoft Entra-directory.
Volgende stappen
Identiteit is slechts een van de kernonderdelen van de infrastructuur waarvoor beslissingen over de architectuur moeten worden genomen tijdens de ingebruikname van de cloud. Raadpleeg het overzicht van de handleidingen voor architectuurbeslissingen voor informatie over alternatieve patronen of modellen die worden gebruikt bij het maken van ontwerpbeslissingen voor andere typen infrastructuur.