Поделиться через


Проверка подлинности LDAP с помощью идентификатора Microsoft Entra

Протокол LDAP является протоколом приложения для работы с различными службами каталогов. Службы каталогов, такие как Active Directory, хранят сведения о пользователе и учетной записи, а также сведения о безопасности (например, пароли). Такие службы позволяют совместно использовать эту информацию с другими устройствами в сети. Корпоративные приложения (например, электронная почта, менеджеры по взаимоотношениям с клиентами (CRM) и программное обеспечение по управлению персоналом (HR)), могут использовать протокол LDAP для проверки подлинности, доступа и поиска информации.

Идентификатор Microsoft Entra поддерживает этот шаблон через доменные службы Microsoft Entra (AD DS). Это позволяет организациям, внедряющим стратегию с приоритетами в работе с облаком, модернизировать свою среду, перемещая локальные ресурсы LDAP в облако. Непосредственные выгоды:

  • Интегрировано с идентификатором Microsoft Entra. Добавление изменений пользователей и групп или атрибутов в их объекты автоматически синхронизируется с клиентом Microsoft Entra с AD DS. Изменения объектов в локальная служба Active Directory синхронизируются с идентификатором Microsoft Entra, а затем с AD DS.

  • Упрощение операций. Снижается необходимость сохранения и исправления локальных инфраструктур вручную.

  • Надежность. Вы получаете управляемые высокодоступные службы

Используется, если

Существует потребность использовать проверку подлинности LDAP для приложения или службы.

Diagram of architecture

Компоненты системы

  • Пользователь: обращается в браузере к приложениям, зависящим от LDAP.

  • Веб-браузер: интерфейс, с которым взаимодействует пользователь, для получения доступа к внешнему URL-адресу приложения.

  • Виртуальная сеть: частная сеть в Azure, с помощью которой приложение прежних версий может использовать службы LDAP.

  • Приложение прежних версий: рабочие нагрузки приложений или серверов, для которых требуется протокол LDAP, развернутые в виртуальной сети Azure или видимые IP-адресам экземпляров AD DS через сетевые маршруты.

  • Идентификатор Microsoft Entra: синхронизирует сведения об удостоверениях из локального каталога организации с помощью Microsoft Entra Подключение.

  • Доменные службы Microsoft Entra (AD DS): выполняет одностороннюю синхронизацию с идентификатором Microsoft Entra для предоставления доступа к центральному набору пользователей, групп и учетных данных. Экземпляр AD DS назначается виртуальной сети. Приложения, службы и виртуальные машины, которые размещены в Azure и подключаются к этой виртуальной сети, могут использовать стандартные функции AD DS (например, присоединение к домену, групповая политика и проверка подлинности Kerberos и NTLM).

    Примечание.

    В средах, в которых организация не может синхронизировать хэши паролей или пользователи выполняют вход с помощью смарт-карт, рекомендуется использовать лес ресурсов в AD DS.

  • Microsoft Entra Подключение: средство синхронизации сведений о локальном удостоверении с идентификатором Microsoft Entra. Мастер развертывания и интерактивные интерфейсы помогают настроить необходимые компоненты и компоненты, необходимые для подключения, включая синхронизацию и вход из Active Directory в идентификатор Microsoft Entra.

  • Active Directory: служба каталогов, в которой хранятся локальные сведения об удостоверениях, такие как информация о пользователе и учетной записи, а также сведения о безопасности, такие как пароли.

Реализация проверки подлинности LDAP с помощью идентификатора Microsoft Entra