比较 Microsoft 标识提供者
标识提供者 (IdP) 是一个系统,用于创建、管理和存储数字标识。 Microsoft Entra ID 是一个示例。 标识提供者的功能和特性可能会有所不同。 最常见的三个组件包括:
- 用户标识存储库
- 身份验证系统
- 防范入侵的安全协议
标识提供者使用一个或多个身份验证因素(例如密码或指纹扫描)来验证用户标识。 标识提供者通常是受信任的提供者,用于单一登录 (SSO) 以访问其他资源。 SSO 通过减少密码疲劳来增强可用性。 它还通过减少潜在的受攻击面来提供更好的安全性。 标识提供者可以促进云计算资源和用户之间的连接,从而减少用户在使用移动和漫游应用程序时重新进行身份验证的需要。
常见标识协议
OpenID 提供程序 - OpenID Connect (OIDC) 是基于 OAuth2 协议(用于授权)的身份验证协议。 OIDC 使用来自 OAuth2 的标准化消息流来提供标识服务。 具体来说,系统实体(称为 OpenID 提供程序)通过 RESTful HTTP API 向 OIDC 依赖方颁发 JSON 格式的标识令牌。
SAML 标识提供者 - 安全断言标记语言 (SAML) 是在标识提供者和服务提供商之间交换身份验证和授权数据的开放标准。 SAML 是一种基于 XML 的标记语言,用于安全断言,也就是服务提供程序用来做出访问控制决策的声明。
比较 Microsoft Azure 中的标识提供者
Microsoft 根据你的业务需求和目标提供多种不同的标识工具。 Microsoft Entra ID 应是基于云的标识的起点。 从本地过渡到云时,其他服务可以提供支持功能。
| Microsoft Entra 域服务 | Microsoft Entra ID | Active Directory 域服务 |
|---|---|---|
| 为托管域服务提供完全兼容的传统 AD DS 功能的子集,例如域加入、组策略、LDAP 和 Kerberos/NTLM 身份验证。 | 基于云的标识和移动设备管理,为 Microsoft 365、Azure 门户或 SaaS 应用程序等资源提供用户帐户和身份验证服务。 | 随时可在企业中部署的轻型目录访问协议 (LDAP) 服务器,提供标识和身份验证、计算机对象管理、组策略和信任等关键功能。 |
Active Directory 域服务 (AD DS)
随时可在企业中部署的轻型目录访问协议 (LDAP) 服务器,提供标识和身份验证、计算机对象管理、组策略和信任等关键功能。
- AD DS 是使用本地 IT 环境的众多组织中的一个中心组件,提供核心用户帐户身份验证和计算机管理功能。
Microsoft Entra ID
基于云的标识和移动设备管理,为 Microsoft 365、Azure 门户或 SaaS 应用程序等资源提供用户帐户和身份验证服务。
- Microsoft Entra ID 可与本地 AD DS 环境同步,以便为原本就在云中工作的用户提供单个标识。
Microsoft Entra 域服务
为托管域服务提供完全兼容的传统 AD DS 功能的子集,例如域加入、组策略、LDAP 和 Kerberos/NTLM 身份验证。
- Microsoft Entra DS 与 Microsoft Entra ID 集成,后者本身可与本地 AD DS 环境同步。 此功能通过直接迁移策略将中心标识用例扩展到在 Azure 中运行的传统 Web 应用程序。