定义标识管理
标识管理是在标识存在的生存期内管理标识对象的方式。 此管理可以手动完成或自动执行。 但是需要完成它。 下面是一个简单的示例,说明在没有管理标识的情况下会发生什么情况。
故事 - 标识的一生
你有个用户叫 Juan。 Juan 在你的公司中有个用了几年的帐户。 在此期间,用户获得了管理员访问权限来部署应用程序。 后来 Juan 受尊重地离开了公司:但是,该帐户未从系统中删除。 经理忘记提交文件来关闭该帐户。 没有治理系统来留意到帐户未使用,而 Juan 也不再列在 HR 系统中。 一年后,Juan 成为钓鱼电子邮件的受害者,并且他的个人用户名和密码遭到盗用。 和许多人一样,Juan 为他的个人生活帐户和工作帐户使用了类似的密码。 猜怎么着,现在系统可能遭到入侵。 攻击来自看似有效的帐户!
标识管理提供
- 围绕业务流程高度可配置的系统
- 根据需求缩放资源的敏捷性
- 通过分发和管理自动化节省成本
- 同步、扩散和更改控制方面的灵活性
常见标识管理任务
在标识管理期间执行许多常见任务。
标识扩散 - 处理环境中的标识对象的存储。 通常,组织拥有 Active Directory、其他目录服务和应用程序特定标识存储等标识。
预配和取消预配 - 实际上是两个单独的功能。 预配说明如何在系统中创建标识对象。 取消预配专注于移除标识的权限(删除、禁用安全原则或删除访问权限)。
标识更新 - 围绕在整个环境中更新标识信息的方式。 想法是从手动转为更自动化和简化的方法。
同步 - 确保环境中的标识系统与最新的标识信息同步。 此信息对于确定访问权限通常至关重要。 影响此功能的关键是同步是手动的、基于时间的还是事件驱动的。
密码管理 - 专注于在整个标识基础结构中设置密码的位置和方式。 在大多数组织中,服务台仍是处理忘记密码的中心。
组管理 - 侧重于组织在其环境中管理组(例如 Active Directory 和/或 LDAP)的方式。 组是用于确定对资源的访问权限的一种最常见形式,并且管理和运营成本很高。
应用程序权利管理 - 定义如何向标识授予对应用程序的访问权限。 它侧重于提供粗粒度的应用程序权利,这些权利作为“授权”部分中包含的功能强制执行。 另一方面,细粒度权利作为与标识相关的属性进行管理。
用户界面 - 最终用户请求、生成标识信息或对其进行更新的方式。 在许多环境中,用户继续联系服务台以获取其标识信息的任意更新。
更改控制 - 该功能侧重于环境的更改流是否由服务台专业人员手动完成。 可以使用或不使用工作流来实现自动化,从而推动更改过程。 某些组织仍发送电子邮件以完成请求,而另一些组织则具有丰富且成熟的流程来执行更改。
标识管理自动化
| PowerShell | CLI(命令行接口) |
|---|---|
| 跨平台 PowerShell 在 Windows、macOS 和 Linux 上运行 | 跨平台命令行接口,可安装在 Windows、macOS、Linux 上 |
| 需要 Windows PowerShell 或 PowerShell | 在 Windows PowerShell、命令提示符、Bash 和其他 Unix shell 中运行 |
| 脚本语言 | 操作 | 命令 |
|---|---|---|
| Azure CLI | 创建用户 | az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com |
| Microsoft Graph | 创建用户 | New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“ |
在选择合适的工具时,请考虑你过去的经验和当前的工作环境。 Azure CLI 语法类似于 Bash 脚本的语法。 如果你主要使用 Linux 系统,Azure CLI 感觉更自然。 PowerShell 是 Microsoft 脚本引擎。 如果你主要使用 Windows 系统,那么 PowerShell 就很适合。 命令遵循“动词-名词”的命名模式,数据作为对象返回。
Microsoft Graph
Microsoft Graph 公开 REST API 和客户端库,以访问以下 Microsoft 云服务(例如 Microsoft Entra ID、Microsoft 365、设备和许多其他服务)的数据。
Microsoft Graph API 提供单个终结点
https://graph.microsoft.com,用于提供对 Microsoft 云中以人为中心的丰富数据和见解的访问权限,包括 Microsoft 365、Windows 10 和企业移动性 + 安全性。 可以使用 REST API 或 SDK 来访问终结点,并构建支持 Microsoft 365 场景的应用。 访问范围涵盖生产力、协作和教育。 Microsoft Graph 还包括一组功能强大的服务,用于管理用户和设备标识。 可以确定和配置访问权限、符合性和安全性,并帮助保护组织免遭数据泄露或丢失。Microsoft Graph 连接器在传入方向工作,将 Microsoft 云外部的数据传递到 Microsoft Graph 服务和应用程序中,以增强 Microsoft 365 体验,如 Microsoft 搜索。 许多常用数据源(例如 Box、Google Drive、Jira 和 Salesforce)都有连接器。
Microsoft Graph 数据连接提供了一组工具,用于简化从 Microsoft Graph 数据到常用 Azure 数据存储的安全且可缩放的传递。 缓存数据用作 Azure 开发工具的数据源,你可以用它来生成智能应用程序。
Microsoft 图形 API、连接器和数据连接一起为 Microsoft 云服务平台提供支持。 通过访问 Microsoft Graph 数据和其他数据集的功能,可以构建独特的智能应用程序来获取见解和分析、扩展 Azure 和 Microsoft 365。