זהויות וגישה בענן עם Azure AD Domain Services (מאמר1)

Azure AD הינו שירות ענן המאפשר לנהל משתמשים, זהויות וגישה לשירותי הענן השונים, אפליקציות מבוססות ענן (IaaS) והסביבה המקומית.
כאשר אנו מתחילים לעבוד עם שירות Office365, Intune או CRM מאחורי הקלעים מוגדר באופן אוטומטי Directory מבוסס  Azure AD המשקף לנו את כל המשתמשים, הרשאות ואובייקטים שאיתם אנו עושים ניהול מול אותם שירותי הענן בין אם תצורת ענן או תצורה היברידית.

תצורת לניהול זהויות

כיום ישנם מספר תצורות לניהול זהויות וגישה בשירות Azure AD:

ענן בלבד (Cloud Identity)

תצורת ענן בלבד שייכת בד”כ לארגונים שנולדו אל הענן והמטרה של תצורה זאת היא לנהל את כל המשתמשים עם Directory מבוסס ענן בלבד.
בתצורת ענן אין שרתי Domain Controller’s ואין Directory מקומי כלשהוא לניהול זהויות של משתמשים, ולכן במצב כזה ארגונים שעובדים עם הענן יוצרים את המשתמשים בענן, עורכים את כל השינויים בענן ומנהלים את המשתמשים בענן. לרוב ניהול הזהויות נעשה מתוך ממשק Office 365 על סמך משאבי הענן שקיימים באותו ארגון.

תצורה זאת מתאימה לרוב לארגונים קטנים.

תצורה היברידית עם סביבה מקומית (Synchronized Identity)

תצורה שמתאימה לארגונים שעובדים עם Active Directory מקומי שכולל פריסה רחבה של Domain Controller's או לחלופין ארגונים שרוצים לנהל את זהויות הענן מתוך Directory מקומי בלבד.
בתצורה זאת שהיא גם הנפוצה ביותר מתבצע סנכרון של ADDS מקומי אל שירות Azure AD ולמעשה מתבצעת הרחבה של הDirectory אל הענן ולכן הניהול של המשתמשים נעשה ע”י ADDS מקומי בלבד.
בתצורה כזאת אנו יכולים בין היתר לאפשר לאפליקציות מסוימות לעבוד עם מול Azure AD או לחלופין לעבוד עם פרוטוקולים מבוססים כדגומת SAML או OAUTH.
בתצורת Synchronized אנו מבצעים סנכרון HASH Password מתוך הסביבה המקומית אל Azure AD.

Identity provisioning with synchronization

תצורה היברידית עם שירות Identity מקומי (Federated Identity)

תצורה המשלבת שרתי ADFS מקומיים מול Azure AD וע”י כך מתבצע SSO בין Directory מקומי לבין הDirectory בענן,  כלומר כל גישה של משתמש שנעשית אל הענן עוברת מול Directory מקומי. ההבדל מול תצורת Synchronized Identity היא שלא נעשה סנכרון HASH של הסיסמא.
תצורה זאת היא נפוצה בקרב ארגונים שאוכפים מדיניות ארגונית עם דגש מחמיר על אבטחת מידע ומעוניינים שכל הזדהות תעבור מול הDirectory המקומי ולכן מצריכה פריסה של מספר שרתי ADFS בכדי למנוע מצב של בעיות גישה מול הענן.

הערה: תצורת ניהול הזהויות נקבעת לפי תצורת העבודה של Active Directory מקומי וברוב הארגונים עובדים עם ניהול זהויות בתצורת Synchronized Identity.

Azure AD Domain Services

תצורה נוספת של Azure AD בענן היא Azure AD Domain Services מבצעת אינטגרציה מול שירות Azure AD בענן (ולא המקומי) ומספקת יכולות מסוימות בדומה לActive Directory מקומי. למעשה Azure AD הופך להיות שירות Managed Domain עם מענה הוליסטי לשירותי הענן.
בעבר וגם כיום בכדי לאפשר לאפליקציות מסוימות או מכונות בענן (IaaS) לעבוד מול ADDS מקומי אנו צריכים להקים תשתית של site-to-site VPN, להקים שרת AD בענן ולבצע רפליקציה בין הסביבה המקומית לבין סביבת הענן.
כיום עם שירות Azure AD Domain Services ניתן להרחיב את היכולות של שירות Azure AD ולתת לאפליקציות שונות ולמכונות בענן אפשרויות הזדהות מול שירות Azure AD Domain Services.
AzureAD Domain Services מספק Domain Service מנוהל בין היתר עם היכולות הבאות:

  • Domain Join
  • Group Policy
  • LDAP
  • Kerberos
  • NTLM
  • SID history
  • Virtual network peering

גם כאשר עושים שימוש עם שירות Azure AD Domain Services משתמשים יכולים לבצע הזדהות עם שם משתמש וסיסמא או לחלופין עם גורמי אוטנטיקציה נוספים כדוגמת MFA.
התצורות הנתמכות בAzure AD Domain Services הם תצורת ענן בלבד (Cloud) או תצורה היברידית מסוג Synchronized Identity וגם כאשר עושים שימוש בתצורת Federated חייבים לבצע סנכרון Password HASH בגלל שימוש בהזדהות עם NTLM או KERBEROS מול Azure AD Domain Services.
מספר דגשים לגבי Azure AD Domain Services:

  • Managed Domain הוא AD בפני עצמו ואינו הרחבה של AD מקומי
  • אין צורך בביצוע עדכונים ותתזוקה על Managed Domain
  • אין צורך בביצוע רפליקציות מול AD מקומי
  • אין לנו הרשאה מסוג Enterprise Administrator בManaged Domain
  • כל העדכונים נעשים מתוך Azure AD בלבד

Azure AD Domain Services for Litware Corporation

לAzure AD Domain Services ישנם מספר יתרונות:

  • אינטגרציה  – ישנה אינטגרציה של המידע הקיים בAzure AD מול Azure AD Domain Services ולכן ניתן לבצע זהדהות מול אפליקציות ענן ומכונות בענן.
  • עלויות – מכיוון שמדובר על שירות ענן אשר מחליף תשתית שלמה של S2S VPN העלויות נמוכות יותר
  • תחזוקה – אין צורך בביצוע תחזוקה לשרת DC בענן כי Azure AD Domain Services מנוהל ומתוחזק ע”י Microsoft.

הבדלים בין Azure AD לבין ADDS

Azure AD מאפשר לנו לעבוד מול Workload ספציפי בענן כדוגמת Exchange Online ולנהל את אותן זהויות בענן ואת הגישה אל השירות בין אם עובדים בתצורת היברידית או תצורת ענן בלבד.
היכולות של Azure AD יחד עם Azure AD Domain Services מספקים לנו יכולות ADDS מתקדמות שלא היו עד כה בענן ולכן נותן מענה הוליסטי לאפליקציות בענן ולמכונות בענן.
אין ספק שAzure AD Domain Services מביא עימו יכולות מתקדמות אך האם הוא יכול להחליף ADDS מקומי? יכול להיות שבמקרים מסוימים כן, אך עדיין ישנם הבדלים רבים מול ADDS מקומי.

מהם ההבדלים בין Azure AD כולל Azure AD Domain Services לבין ADDS מקומי?

Feature
Azure AD Domain Services
'Do-it-yourself' AD in Azure VMs

Managed service

Secure deployments

Administrator needs to secure the deployment.

DNS server
(managed service)

Domain or Enterprise administrator privileges

Domain join

Domain authentication using NTLM and Kerberos

Custom OU structure

Schema extensions

AD domain/forest trusts

LDAP read

Secure LDAP (LDAPS)

LDAP write

Group Policy
Simple
Full

Geo-distributed deployments

כמה דגשים לגבי ההבדלים בין Azure AD Domain Services לבין ADDS:

  • Managed Services – שירות Azure AD Domain Services מנוהל ע”י Microsoft וככזה הוא מקבל עדכונים, תחזוקה, גיבוי וניהול שוטף.
  • Secure by Design – שירות Azure AD Domain Services מוקשח לפי Best Practice של Microsoft.
  • ניהול DNS – מכיוון שAzure AD Domain Services מצריך DNS חברים בעלי הרשאות Azure AD Domain Services יכולים לנהל השייכים לאותו דומיין
  • תמיכה בLDAP – האפשרויות של LDAP בManaged Domain הם גישה וקריאה אך לא כתיבה
  • Schema extensions – משאבי רשת הצריכים הרחבה מול Schema יכולים להיעשות רק מול ADDS מקומי

לסיכום

שירות Azure AD Domain Services מביא עמו בשורה לענן אך עדיין אינו מספק יכולות מלאות של ADDS מקומי (אך בהחלט ההבדלים נסגרים בצעדי ענק).
היישום של Azure AD Domain Services הינו פשוט וכולל מספר צעדים מינימליים להפעלת השירות וככזה אנו יכולים לקבל יכולות DC מנוהלות בענן לאפליקציות ומכונות בענן.

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s