Beslutsguide för identitet
I alla miljöer, såväl lokala som hybridbaserade eller molnexklusiva, behöver IT-avdelningen kontrollera vilka administratörer, användare och grupper som har åtkomst till resurser. Med IAM-tjänster (identitets- och åtkomsthantering) kan du hantera åtkomstkontroll i molnet.
Hoppa till: Fastställa identitetsintegreringskrav | Molnbaslinje | Katalogsynkronisering | Molnbaserade domäntjänster | Active Directory Federation Services (AD FS) | Läs mer
Det finns flera alternativ för att hantera en identitet i en molnmiljö. Dessa alternativ varierar i både kostnad och komplexitet. En avgörande faktor för strukturering av dina molnbaserade identitetstjänster är den nivå av integrering som krävs med din befintliga lokala identitetsinfrastruktur.
Microsoft Entra ID tillhandahåller en basnivå för åtkomstkontroll och identitetshantering för Azure-resurser. Om organisationens lokal Active Directory infrastruktur har en komplex skogsstruktur eller anpassade organisationsenheter (OUs) kan dina molnbaserade arbetsbelastningar kräva katalogsynkronisering med Microsoft Entra-ID för en konsekvent uppsättning identiteter, grupper och roller mellan dina lokala miljöer och molnmiljöer. Dessutom kan stöd för program som är beroende av äldre autentiseringsmekanismer kräva distribution av Active Directory Domain Services (AD DS) i molnet.
Molnbaserad identitetshantering är en iterativ process. Du kan börja med en molnbaserad lösning med en liten uppsättning användare och motsvarande roller för en inledande distribution. Allt eftersom migreringen mognar kan du behöva integrera din identitetslösning med hjälp av katalogsynkronisering eller lägga till domäntjänster som en del av dina molndistributioner. Utvärdera din identitetsstrategi på nytt i varje iteration av migreringsprocessen.
Fastställa krav för identitetsintegrering
| Fråga | Molnbaslinje | Katalogsynkronisering | Molnbaserade domäntjänster | Active Directory Federation Services |
|---|---|---|---|---|
| Saknar du för närvarande en lokal katalogtjänst? | Ja | No | Nr | Nej |
| Behöver dina arbetsbelastningar använda en gemensam uppsättning användare och grupper mellan den molnbaserade miljön och den lokala miljön? | Inga | Ja | No | Nej |
| Är dina arbetsbelastningar beroende av äldre autentiseringsmekanismer såsom Kerberos eller NTLM? | Nej | Nej | Ja | Ja |
| Kräver du enkel inloggning över flera identitetsprovidrar? | Nej | Nr | Nej | Ja |
Som en del i att planera din migrering till Azure behöver du bestämma det bästa sättet att integrerar dina befintliga tjänster för identitetshantering och molnidentitet. Följande är vanliga integreringsscenerier.
Molnbaslinje
Microsoft Entra ID är det interna IAM-systemet (IAM) för att ge användare och grupper åtkomst till hanteringsfunktioner på Azure-plattformen. Om din organisation saknar en betydande lokal identitetslösning och du planerar att migrera arbetsbelastningar för att vara kompatibla med molnbaserade autentiseringsmekanismer bör du börja utveckla din identitetsinfrastruktur med Hjälp av Microsoft Entra-ID som bas.
Antaganden om molnbaslinje: Användning av en rent molnbaserad identitetsinfrastruktur förutsätter följande:
- Dina molnbaserade resurser kommer inte att ha beroenden på lokala katalogtjänster eller Active Directory-servrar, eller så kan arbetsbelastningar ändras för att ta bort sådana beroenden.
- De program- eller tjänstarbetsbelastningar som migreras stöder antingen autentiseringsmekanismer som är kompatibla med Microsoft Entra-ID eller kan ändras enkelt för att stödja dem. Microsoft Entra ID förlitar sig på internetklara autentiseringsmekanismer som SAML, OAuth och OpenID Anslut. Befintliga arbetsbelastningar som är beroende av äldre autentiseringsmetoder där protokoll såsom Kerberos eller NTLM används kan behöva refaktoriseras före migrering till molnet med hjälp av molnbaslinjemönstret.
Dricks
Om du helt migrerar dina identitetstjänster till Microsoft Entra ID eliminerar du behovet av att underhålla din egen identitetsinfrastruktur, vilket avsevärt förenklar IT-hanteringen.
Men Microsoft Entra-ID är inte en fullständig ersättning för en traditionell lokal Active Directory infrastruktur. Directory-funktioner såsom äldre autentiseringsmetoder, datorhantering eller grupprinciper är kanske inte tillgängliga utan distribution av ytterligare verktyg eller tjänster till molnet.
För scenarier där du behöver integrera dina lokala identiteter eller domäntjänster med molndistributioner kan du läsa om de mönster för katalogsynkronisering och molnhanterade domäntjänster som beskrivs nedan.
Katalogsynkronisering
För organisationer med befintlig lokal Active Directory-infrastruktur är katalogsynkronisering ofta den bästa lösningen för att bevara befintlig användar- och åtkomsthantering och samtidigt få de IAM-funktioner som krävs för hantering av molnresurser. Den här processen replikerar kontinuerligt kataloginformation mellan Microsoft Entra-ID och lokala katalogtjänster, vilket ger vanliga autentiseringsuppgifter för användare och ett konsekvent identitets-, roll- och behörighetssystem i hela organisationen.
Kommentar
Organisationer som har antagit Microsoft 365 kanske redan har implementerat katalogsynkronisering mellan sin lokal Active Directory infrastruktur och Microsoft Entra-ID.
Antaganden om katalogsynkronisering: Om du använder en synkroniserad identitetslösning förutsätts följande:
- Du behöver underhålla en gemensam uppsättning användarkonton och grupper i din molnbaserade och din lokala IT-infrastruktur.
- Dina lokala identitetstjänster stöder replikering med Microsoft Entra-ID.
Dricks
Alla molnbaserade arbetsbelastningar som är beroende av äldre autentiseringsmekanismer som tillhandahålls av lokal Active Directory servrar och som inte stöds av Microsoft Entra-ID kräver fortfarande antingen anslutning till lokala domäntjänster eller virtuella servrar i molnmiljön som tillhandahåller dessa tjänster. Användning av lokala identitetstjänster introducerar även beroenden av anslutning mellan molnet och lokala nätverk.
Molnbaserade domäntjänster
Om du har arbetsbelastningar som är beroende av anspråksbaserad autentisering som använder äldre protokoll såsom Kerberos eller NTLM, och sådana arbetsbelastning inte kan refaktoriseras för att acceptera moderna autentiseringsprotokoll som SAML eller OAuth och OpenID Connect, kan du behöva migrera några av dina domäntjänster till molnet som en del av molndistributionen.
Det här mönstret omfattar distribution av virtuella datorer som kör Active Directory till dina molnbaserade virtuella nätverk för att tillhandahålla Active Directory Domain Services (AD DS) till resurser i molnet. Alla befintliga program och tjänster som migreras till ditt molnnätverk bör kunna använda dessa molnhanterade katalogservrar med smärre ändringar.
Det är troligt att dina befintliga kataloger och domäntjänster fortsätter att användas i din lokala miljö. I det här scenariot bör du även använder katalogsynkronisering för att tillhandahålla en gemensam uppsättning användare och roller i både den molnbaserade och den lokala miljön.
Antaganden för molnbaserade domäntjänster: När du utför en katalogmigrering förutsätts följande:
- Dina arbetsbelastningar är beroende av anspråksbaserad autentisering där protokoll som Kerberos eller NTLM används.
- Dina virtuella arbetsbelastningsdatorer måste vara domänkopplade för hantering eller tillämpning av Active Directory-grupprinciper.
Dricks
En katalogmigrering tillsammans med molnhanterade domäntjänster ger stor flexibilitet vid migrering av befintliga arbetsbelastningar, men värdhantering av virtuella datorer i ditt virtuella molnnätverk för att tillhandahålla dessa tjänster ökar komplexiteten för IT-hanteringsuppgifterna. Allt eftersom din molnmigreringsfunktion mognad bör du undersöka de långsiktiga underhållskraven för hantering av dessa servrar. Fundera på om refaktorisering av befintliga arbetsbelastningar för kompatibilitet med molnidentitetsprovidrar som Microsoft Entra-ID kan minska behovet av dessa molnbaserade servrar.
Active Directory Federation Services
Identitetsfederation upprättar förtroenderelationer mellan flera identitetshanteringssystem för att möjliggöra gemensamma funktioner för autentisering och auktorisering. Sedan kan du stödja funktioner för enkel inloggning över flera domäner i din organisation eller identitetssystem som hanteras av dina kunder eller affärspartner.
Microsoft Entra ID stöder federation av lokal Active Directory domäner med hjälp av Active Directory Federation Services (AD FS) (AD FS). Mer information om hur du kan implementera detta i Azure finns i Utöka AD FS till Azure.
Läs mer
Mer information om identitetstjänster i Azure finns här:
- Microsoft Entra-ID. Microsoft Entra ID tillhandahåller molnbaserade identitetstjänster. Det gör att du kan hantera åtkomst till dina Azure-resurser och kontrollera identitetshantering, enhetsregistrering, användaretablering, åtkomstkontroll för program samt dataskydd.
- Microsoft Entra Anslut. Med Microsoft Entra Anslut-verktyget kan du ansluta Microsoft Entra-instanser till dina befintliga identitetshanteringslösningar, vilket möjliggör synkronisering av din befintliga katalog i molnet.
- Rollbaserad åtkomstkontroll i Azure (Azure RBAC). Azure RBAC hanterar effektivt och säkert åtkomst till resurser i hanteringsplanet. Jobb och ansvarsområden organiseras i roller, och användare tilldelas de rollerna. Med Azure RBAC kan du kontrollera vem som har åtkomst till en resurs samt vilka åtgärder användare kan utföra på den resursen.
- Microsoft Entra Privileged Identity Management (PIM). PIM sänker exponeringstiden för behörigheter för resursåtkomst och ökar din insyn i användningen av dem via rapporter och aviseringar. Det begränsar användare till just-in-time-privilegier, tilldelar sina privilegier under en begränsad tid och återkallar sedan dessa privilegier automatiskt.
- Integrera lokal Active Directory domäner med Microsoft Entra-ID. Den här referensarkitekturen innehåller ett exempel på katalogsynkronisering mellan lokal Active Directory domäner och Microsoft Entra-ID.
- Utöka Active Directory Domain Services (AD DS) till Azure. Denna referensarkitektur innehåller ett exempel på distribution av AD DS-servrar för att utöka domäntjänster till molnbaserade resurser.
- Utöka Active Directory Federation Services (AD FS) till Azure. Den här referensarkitekturen konfigurerar Active Directory Federation Services (AD FS) (AD FS) för att utföra federerad autentisering och auktorisering med din Microsoft Entra-katalog.
Nästa steg
Identitet är bara en av huvudkomponenterna för infrastruktur som kräver arkitektoniska beslut under en process för att implementera moln. Gå till översikten över beslutsguider för arkitekturer om vill veta mer om alternativa mönster eller modeller som används vid utformningsbeslut för andra typer av infrastrukturer.