比較 Microsoft 身分識別提供者
識別提供者 (IdP) 是建立、管理和儲存數位身分識別的系統。 Microsoft Entra ID 是一個範例。 識別提供者的功能和特徵可能會有所不同。 最常見的三個元件為:
- 使用者身分識別的存放庫
- 驗證系統
- 防禦入侵的安全性通訊協定
識別提供者會使用一或多個驗證因素 (例如密碼或指紋掃描) 來驗證使用者身分識別。 識別提供者通常是受信任的提供者,可與單一登入 (SSO) 搭配使用來存取其他資源。 SSO 可藉由減少密碼疲勞來增強可用性。 其也透過減少潛在的受攻擊面,來提供更好的安全性。 識別提供者可協助雲端運算資源和使用者之間的連線,進而減少使用者在使用行動裝置和漫遊應用程式時重新驗證的需求。
常見的身分識別通訊協定
OpenID 提供者 - OpenID Connect (OIDC) 是一種驗證通訊協定,以用於驗證的 OAuth2 通訊協定為基礎。 OIDC 會使用來自 OAuth2 的標準化訊息流程來提供識別服務。 具體而言,系統實體 (稱為 OpenID 提供者) 會透過 RESTful HTTP API 向 OIDC 信賴方發出 JSON 格式識別權杖。
SAML 識別提供者 - 安全性聲明標記語言 (SAML) 是在識別提供者與服務提供者之間交換驗證和授權資料的開放標準。 SAML 是用於安全性判斷提示的 XML 型標記語言,也就是服務提供者用來進行存取控制決策的陳述式。
比較 Microsoft Azure 中的識別提供者
Microsoft 根據您的業務需求和目標,提供用於身分識別的數種不同工具。 Microsoft Entra ID 應該是您前往雲端式身分識別的起點。 從內部部署轉換至雲端時,其他服務可以提供支援功能。
| Microsoft Entra 網域服務 | Microsoft Entra ID | Active Directory Domain Services |
|---|---|---|
| 提供受控網域服務,其中有一小部分能與傳統 AD DS 功能完全相容,例如,網域加入、群組原則、LDAP 和 Kerberos/NTLM 驗證等功能。 | 以雲端為基礎的身分識別和行動裝置管理,可為 Microsoft 365、Azure 入口網站或 SaaS 應用程式等資源提供使用者帳戶和驗證服務。 | 符合企業需求的輕量型目錄存取通訊協定 (LDAP) 伺服器,提供身分識別及驗證、電腦物件管理、群組原則和信任等主要功能。 |
Active Directory Domain Services (AD DS)
符合企業需求的輕量型目錄存取通訊協定 (LDAP) 伺服器,提供身分識別及驗證、電腦物件管理、群組原則和信任等主要功能。
- AD DS 是具有內部部署 IT 環境的許多組織的中央元件,並提供核心使用者帳戶驗證和電腦管理功能。
Microsoft Entra ID
以雲端為基礎的身分識別和行動裝置管理,可為 Microsoft 365、Azure 入口網站或 SaaS 應用程式等資源提供使用者帳戶和驗證服務。
- Microsoft Entra ID 可以與內部部署 AD DS 環境同步,以提供單一身分識別原生在雲端中作業的使用者。
Microsoft Entra 網域服務
提供受控網域服務,其中有一小部分能與傳統 AD DS 功能完全相容,例如,網域加入、群組原則、LDAP 和 Kerberos/NTLM 驗證等功能。
- Microsoft Entra DS 會與 Microsoft Entra ID 整合,而 Microsoft Entra ID 本身可以與內部部署 AD DS 環境同步。 此能力會將中央身分識別使用案例延伸至在 Azure 中隨著隨即轉移策略執行的傳統 Web 應用程式。