Сравнение поставщиков удостоверений Майкрософт

  • 3 мин

Поставщик удостоверений (IdP) — это система, которая создает, контролирует и хранит цифровые удостоверения. Идентификатор Microsoft Entra — это пример. Возможности и функции поставщиков удостоверений могут различаться. Три наиболее распространенных компонента:

  • репозиторий удостоверений пользователей;
  • система проверки подлинности;
  • протоколы безопасности, защищающиеся от вторжений.

Поставщик удостоверений проверяет удостоверения пользователей с помощью одного или нескольких факторов проверки подлинности, например проверка пароля или отпечатка пальца. Поставщик удостоверений часто является доверенным поставщиком, который используется с единым входом (SSO) для доступа к другим ресурсам. Единый вход делает работу более удобной для пользователей, поскольку им не приходится часто вводить пароли. Кроме того, он обеспечивает защиту, сокращая поверхность потенциальной атаки. Поставщики удостоверений могут упростить подключения между ресурсами облачных вычислений и пользователями, тем самым сократив необходимость повторной проверки подлинности пользователей при использовании мобильных приложений и роуминга.

Распространенные протоколы удостоверений

Поставщик OpenID. OpenID Connect (OIDC) — это протокол проверки подлинности, основанный на протоколе OAuth2 (который используется для авторизации). Для предоставления служб удостоверений OIDC использует стандартизованные потоки сообщений от OAuth2. В частности, системная сущность (называемая OpenID-Provider) выдает маркеры идентификации в формате JSON сторонам, использующим OIDC, через API HTTP RESTful.

Поставщик удостоверений SAML. Язык разметки заявлений системы безопасности (SAML) — это открытый стандарт для обмена данными проверки подлинности и авторизации между поставщиком удостоверений и поставщиком услуг. SAML — это язык разметки на основе XML для утверждений безопасности, то есть операторов, которые используют поставщики услуг для принятия решений по управлению доступом.

Сравнение поставщиков удостоверений в Microsoft Azure

Майкрософт предоставляет несколько инструментов для идентификации в зависимости от бизнес-потребностей и целей. Идентификатор Microsoft Entra должен быть отправной точкой для облачного удостоверения. Другие службы могут предоставлять вспомогательные возможности при переходе из локальной среды в облако.

Доменные службы Microsoft Entra Microsoft Entra ID Доменные службы Active Directory
Предоставляет управляемые доменные службы с набором полностью совместимых традиционных функций AD DS, таких как присоединение к домену, групповая политика, LDAP и проверка подлинности Kerberos или NTLM. Облачная платформа для управления удостоверениями и мобильными устройствами, которая предоставляет службы управления учетными записями и проверки подлинности для таких ресурсов, как Microsoft 365, портал Azure и приложения SaaS. Сервер корпоративного уровня с поддержкой протокола LDAP, который предоставляет такие функции, как идентификация и проверка подлинности, управление объектами компьютеров, групповая политика и доверие.

Доменные службы Active Directory (AD DS)

Сервер корпоративного уровня с поддержкой протокола LDAP, который предоставляет такие функции, как идентификация и проверка подлинности, управление объектами компьютеров, групповая политика и доверие.

  • AD DS является центральным компонентом во многих организациях с локальной ИТ-средой, обеспечивая основные функции для проверки подлинности учетных записей пользователей и управления компьютерами.

Microsoft Entra ID

Облачная платформа для управления удостоверениями и мобильными устройствами, которая предоставляет службы управления учетными записями и проверки подлинности для таких ресурсов, как Microsoft 365, портал Azure и приложения SaaS.

  • Идентификатор Microsoft Entra можно синхронизировать с локальной средой AD DS для предоставления единого удостоверения пользователям, работающим в облаке в собственном коде.

Доменные службы Microsoft Entra

Предоставляет управляемые доменные службы с набором полностью совместимых традиционных функций AD DS, таких как присоединение к домену, групповая политика, LDAP и проверка подлинности Kerberos или NTLM.

  • Microsoft Entra DS интегрируется с идентификатором Microsoft Entra, который сам может синхронизироваться с локальной средой AD DS. Эта возможность расширяет случаи использования центрального удостоверения для традиционных веб-приложений, которые работают в Azure в рамках стратегии "lift-and-shift".