Průvodce rozhodováním ohledně identityIdentity decision guide

IT pracovníci v jakémkoli prostředí, ať už se jedná o místní, hybridní nebo výhradně cloudové prostředí, potřebují řídit, kteří správci, uživatelé a skupiny mají přístup k prostředkům.In any environment, whether on-premises, hybrid, or cloud-only, IT needs to control which administrators, users, and groups have access to resources. Služby pro správu identit a přístupu (IAM) umožňují spravovat řízení přístupu v cloudu.Identity and access management (IAM) services enable you to manage access control in the cloud.

Diagram možností identity od nejjednodušších po nejsložitější, které odpovídají rychlým odkazům níže

Přejít na: Určení požadavků na integraci identit | Směrný plán cloudu | Synchronizace adresářů | Doménové služby hostované v cloudu | Active Directory Federation Services | Další informaceJump to: Determine identity integration requirements | Cloud baseline | Directory synchronization | Cloud-hosted domain services | Active Directory Federation Services | Learn more

Pro správu identit v cloudovém prostředí je k dispozici několik možností.Several options are available for managing identity in a cloud environment. Tyto možnosti se liší náklady a složitostí.These options vary in cost and complexity. Klíčovým faktorem při strukturování cloudových služeb identit je požadovaná úroveň integrace se stávající místní infrastrukturou identit.A key factor in structuring your cloud-based identity services is the level of integration required with your existing on-premises identity infrastructure.

Základní úroveň řízení přístupu a správy identit pro prostředky Azure zajišťuje služba Azure Active Directory (Azure AD).Azure Active Directory (Azure AD) provides a base level of access control and identity management for Azure resources. Pokud místní infrastruktura Active Directory vaší organizace obsahuje složitou doménovou strukturu nebo přizpůsobené organizační jednotky, vaše cloudové úlohy mohou vyžadovat synchronizaci se službou Azure AD, která zajistí konzistenci identit, skupin a rolí mezi vaším místním a cloudovým prostředím.If your organization's on-premises Active Directory infrastructure has a complex forest structure or customized organizational units (OUs), your cloud-based workloads might require directory synchronization with Azure AD for a consistent set of identities, groups, and roles between your on-premises and cloud environments. Pro zajištění podpory aplikací, které závisí na starších mechanismech ověřování, se může vyžadovat nasazení služby Active Directory Domain Services (AD DS) v cloudu.Additionally, support for applications that depend on legacy authentication mechanisms might require the deployment of Active Directory Domain Services (AD DS) in the cloud.

Správa cloudových identit je iterativní proces.Cloud-based identity management is an iterative process. Při počátečním nasazení můžete začít s řešeními nativními pro cloud a malou skupinou uživatelů a odpovídajících rolí.You could start with a cloud-native solution with a small set of users and corresponding roles for an initial deployment. S tím, jak se bude vaše migrace vyvíjet, možná budete potřebovat pomocí synchronizace adresářů integrovat řešení identit nebo do svých cloudových nasazení přidat doménové služby.As your migration matures, you might need to integrate your identity solution using directory synchronization or add domains services as part of your cloud deployments. V každé iteraci procesu migrace si znovu projděte svou strategii pro identity.Revisit your identity strategy in every iteration of your migration process.

Určení požadavků na integraci identitDetermine identity integration requirements

OtázkaQuestion Směrný plán clouduCloud baseline Synchronizace adresářůDirectory synchronization Doménové služby hostované v clouduCloud-hosted domain services Active Directory Federation ServicesActive Directory Federation Services
Chybí vám v současnosti místní adresářová služba?Do you currently lack an on-premises directory service? AnoYes NeNo NeNo NeNo
Potřebují vaše úlohy pracovat se sadou uživatelů a skupin společnou pro cloudové i místní prostředí?Do your workloads need to use a common set of users and groups between the cloud and on-premises environment? NeNo AnoYes NeNo NeNo
Závisí vaše úlohy na starších mechanismech ověřování, jako jsou protokoly Kerberos nebo NTLM?Do your workloads depend on legacy authentication mechanisms, such as Kerberos or NTLM? NeNo NeNo AnoYes AnoYes
Vyžadujete jednotné přihlašování napříč různými zprostředkovateli identit?Do you require single sign-on across multiple identity providers? NeNo NeNo NeNo AnoYes

V rámci plánování migrace do Azure budete muset určit nejlepší způsob integrace vaší stávající správy identit a cloudových služeb identit.As part of planning your migration to Azure, you will need to determine how best to integrate your existing identity management and cloud identity services. Následují běžné scénáře integrace.The following are common integration scenarios.

Směrný plán clouduCloud baseline

Azure AD je nativní systém správy identit a přístupu (IAM) umožňující udělovat uživatelům a skupinám přístup k funkcím správy na platformě Azure.Azure AD is the native identity and access management (IAM) system for granting users and groups access to management features on the Azure platform. Pokud vaší organizaci chybí důležité místní řešení identit a plánujete migrací úloh zajistit jejich kompatibilitu s mechanismy ověřování v cloudu, měli byste začít s vývojem infrastruktury identit a jako základ použít Azure AD.If your organization lacks a significant on-premises identity solution, and you plan to migrate workloads to be compatible with cloud-based authentication mechanisms, you should begin developing your identity infrastructure using Azure AD as a base.

Předpoklady směrného plánu cloudu: Při použití infrastruktury identit nativní čistě pro cloud se předpokládá následující:Cloud baseline assumptions: Using a purely cloud-native identity infrastructure assumes the following:

  • Vaše cloudové prostředky nebudou mít závislosti na místních adresářových službách ani serverech Active Directory, případně je možné úlohy upravit a tyto závislosti odebrat.Your cloud-based resources will not have dependencies on on-premises directory services or Active Directory servers, or workloads can be modified to remove those dependencies.
  • Migrované úlohy aplikací nebo služeb buď podporují mechanismy ověřování kompatibilní se službou Azure AD, nebo je možné je snadno upravit tak, aby je podporovaly.The application or service workloads being migrated either support authentication mechanisms compatible with Azure AD or can be modified easily to support them. Azure AD se spoléhá na mechanismy ověřování připravené pro internet, jako je SAML, OAuth nebo OpenID Connect.Azure AD relies on internet-ready authentication mechanisms such as SAML, OAuth, and OpenID Connect. Stávající úlohy, které závisí na starších metodách ověřování s využitím protokolů, jako je Kerberos nebo NTLM, možná bude potřeba před migrací do cloudu refaktorovat podle vzoru směrného plánu cloudu.Existing workloads that depend on legacy authentication methods using protocols such as Kerberos or NTLM might need to be refactored before migrating to the cloud using the cloud baseline pattern.

Tip

Kompletní migrací služeb identit do Azure AD se eliminuje potřeba udržovat vlastní infrastrukturu identit a tím se výrazně zjednoduší správa IT.Completely migrating your identity services to Azure AD eliminates the need to maintain your own identity infrastructure, significantly simplifying your IT management.

Azure AD není úplnou náhradou za tradiční místní infrastrukturu Active Directory.But Azure AD is not a full replacement for a traditional on-premises Active Directory infrastructure. Funkce adresáře, jako jsou starší metody ověřování, správa počítačů nebo zásady skupin, nemusí být dostupné, dokud do cloudu nenasadíte další nástroje nebo služby.Directory features such as legacy authentication methods, computer management, or group policy might not be available without deploying additional tools or services to the cloud.

V případě scénářů, kdy s cloudovými nasazeními potřebujete integrovat místní identity nebo doménové služby, si níže můžete přečíst o modelech synchronizace adresářů a doménových služeb hostovaných v cloudu.For scenarios where you need to integrate your on-premises identities or domain services with your cloud deployments, see the directory synchronization and cloud-hosted domain services patterns discussed below.

Synchronizace adresářůDirectory synchronization

Synchronizace adresářů je často nejlepším řešením pro organizace se stávající místní infrastrukturou Active Directory, kterým umožňuje zachovat stávající správu uživatelů a přístupu a zároveň poskytuje požadované funkce IAM pro správu cloudových prostředků.For organizations with existing on-premises Active Directory infrastructure, directory synchronization is often the best solution for preserving existing user and access management while providing the required IAM capabilities for managing cloud resources. Tento proces průběžně replikuje informace o adresářích mezi Azure AD a místními adresářovými službami a díky tomu umožňuje uživatelům používat společné přihlašovací údaje a zajišťuje konzistentní systém identit, rolí a oprávnění v celé organizaci.This process continuously replicates directory information between Azure AD and on-premises directory services, allowing common credentials for users and a consistent identity, role, and permission system across your entire organization.

Poznámka

Je možné, že organizace, které přešly na Microsoft 365, už mají implementovanou synchronizaci adresářů mezi místní infrastrukturou Active Directory a službou Azure Active Directory.Organizations that have adopted Microsoft 365 might have already implemented directory synchronization between their on-premises Active Directory infrastructure and Azure Active Directory.

Předpoklady synchronizace adresářů: Při použití řešení synchronizovaných identit se předpokládá následující:Directory synchronization assumptions: Using a synchronized identity solution assumes the following:

  • V cloudové i místní IT infrastruktuře musíte udržovat společnou sadu uživatelských účtů a skupin.You need to maintain a common set of user accounts and groups across your cloud and on-premises IT infrastructure.
  • Vaše místní služby identit podporují replikaci pomocí služby Azure AD.Your on-premises identity services support replication with Azure AD.

Tip

Všechny cloudové úlohy, které závisí na starších mechanismech ověřování zajišťovaných místními servery Active Directory a které Azure AD nepodporuje, budou stále vyžadovat připojení k místním doménovým službám nebo virtuálním serverům v cloudovém prostředí, které tyto služby zajišťují.Any cloud-based workloads that depend on legacy authentication mechanisms provided by on-premises Active Directory servers and that are not supported by Azure AD will still require either connectivity to on-premises domain services or virtual servers in the cloud environment providing these services. Používáním místních služeb identit také vznikají závislosti na možnostech připojení mezi cloudem a místními sítěmi.Using on-premises identity services also introduces dependencies on connectivity between the cloud and on-premises networks.

Doménové služby hostované v clouduCloud-hosted domain services

Pokud máte úlohy, které závisí na ověřování na základě deklarace identity s využitím starších protokolů, jako je Kerberos nebo NTLM a které není možné refaktorovat tak, aby přijímaly moderní ověřovací protokoly, jako je SAML, OAuth nebo OpenID Connect, možná v rámci cloudového nasazení budete muset do cloudu migrovat i některé vaše doménové služby.If you have workloads that depend on claims-based authentication using legacy protocols such as Kerberos or NTLM, and those workloads cannot be refactored to accept modern authentication protocols such as SAML or OAuth and OpenID Connect, you might need to migrate some of your domain services to the cloud as part of your cloud deployment.

Tento model zahrnuje nasazení virtuálních počítačů se službou Active Directory do cloudových virtuálních sítí za účelem zajištění služby Active Directory Domain Services (AD DS) pro prostředky v cloudu.This pattern involves deploying virtual machines running Active Directory to your cloud-based virtual networks to provide Active Directory Domain Services (AD DS) for resources in the cloud. Všechny stávající aplikace a služby, které se migrují do vaší cloudové sítě, by s menšími úpravami měly být schopné používat tyto adresářové servery hostované v cloudu.Any existing applications and services migrating to your cloud network should be able to use these cloud-hosted directory servers with minor modifications.

V místním prostředí se pravděpodobně budou i nadále používat stávající adresáře a doménové služby.It's likely that your existing directories and domain services will continue to be used in your on-premises environment. V tomto scénáři byste měli využít také synchronizaci adresářů, která v cloudovém i místním prostředí zajistí společnou sadu uživatelů a rolí.In this scenario, you should also use directory synchronization to provide a common set of users and roles in both the cloud and on-premises environments.

Předpoklady pro doménové služby hostované v cloudu: Při provádění migrace adresářů se předpokládá následující:Cloud-hosted domain services assumptions: Performing a directory migration assumes the following:

  • Vaše úlohy závisí na ověřování na základě deklarace identity s využitím protokolů, jako je Kerberos nebo NTLM.Your workloads depend on claims-based authentication using protocols like Kerberos or NTLM.
  • Pro účely správy nebo uplatňování zásad skupin Active Directory musí být vaše virtuální počítače úloh připojené k doméně.Your workload virtual machines need to be domain-joined for management or application of Active Directory group policy purposes.

Tip

Přestože kombinace migrace adresářů a doménových služeb hostovaných v cloudu poskytuje velkou flexibilitu při migraci stávajících úloh, hostováním virtuálních počítačů zajišťujících tyto služby ve vlastní cloudové virtuální síti se zvyšuje složitost úloh správy IT.While a directory migration coupled with cloud-hosted domain services provides great flexibility when migrating existing workloads, hosting virtual machines within your cloud virtual network to provide these services does increase the complexity of your IT management tasks. S tím, jak se bude vaše migrace do cloudu vyvíjet, prozkoumejte požadavky na dlouhodobou údržbu spojenou s hostováním těchto serverů.As your cloud migration experience matures, examine the long-term maintenance requirements of hosting these servers. Zvažte, jestli by potřebu těchto serverů hostovaných v cloudu nemohlo snížit refaktorování stávajících úloh a zajištění jejich kompatibility se zprostředkovateli cloudových identit, jako je Azure Active Directory.Consider whether refactoring existing workloads for compatibility with cloud identity providers such as Azure Active Directory can reduce the need for these cloud-hosted servers.

Active Directory Federation ServicesActive Directory Federation Services

Federace identit vytváří vztahy důvěryhodnosti mezi různými systémy správy identit a umožňuje využívat společné možnosti ověřování a autorizace.Identity federation establishes trust relationships across multiple identity management systems to allow common authentication and authorization capabilities. V rámci vaší organizace nebo vašich systémů identit spravovaných vašimi zákazníky nebo obchodními partnery pak můžete zajistit podporu možností jednotného přihlašování napříč různými doménami.You can then support single sign-on capabilities across multiple domains within your organization or identity systems managed by your customers or business partners.

Azure AD podporuje federaci místních domén Active Directory pomocí služby Active Directory Federation Services (AD FS).Azure AD supports federation of on-premises Active Directory domains using Active Directory Federation Services (AD FS). Další informace o možnostech implementace v Azure najdete v tématu Rozšíření služby AD FS do Azure.For more information about how this can be implemented in Azure, see Extend AD FS to Azure.

Další informaceLearn more

Další informace o službách identit v Azure najdete tady:For more information about identity services in Azure, see:

  • Azure AD .Azure AD. Azure AD zajišťuje cloudové služby identit.Azure AD provides cloud-based identity services. Umožňuje spravovat přístup k prostředkům Azure a řídit správu identit, registrace zařízení, zřizování uživatelů, přístup k aplikacím a ochranu dat.It allows you to manage access to your Azure resources and control identity management, device registration, user provisioning, application access control, and data protection.
  • Azure AD Connect .Azure AD Connect. Nástroj Azure AD Connect umožňuje propojit instance služby Azure AD se stávajícími řešeními pro správu identit, a tím umožnit synchronizaci stávajícího adresáře v cloudu.The Azure AD Connect tool allows you to connect Azure AD instances with your existing identity management solutions, allowing synchronization of your existing directory in the cloud.
  • Řízení přístupu na základě role Azure (Azure RBAC).Azure role-based access control (Azure RBAC). Azure RBAC zajišťuje řízení přístupu na základě role pro efektivní a bezpečnou správu přístupu k prostředkům v rovině řízení.Azure RBAC efficiently and securely manages access to resources in the management plane. Úlohy a povinnosti jsou uspořádané do rolí, které se přiřazují uživatelům.Jobs and responsibilities are organized into roles, and users are assigned to these roles. Azure RBAC umožňuje řídit, kdo má přístup k jednotlivým prostředkům a jaké akce s nimi může provádět.Azure RBAC allows you to control who has access to a resource along with which actions a user can perform on that resource.
  • Azure AD Privileged Identity Management (PIM) .Azure AD Privileged Identity Management (PIM). PIM zkracuje dobu expozice přístupových oprávnění k prostředkům a zlepšuje přehled o jejich využití prostřednictvím sestav a upozornění.PIM lowers the exposure time of resource access privileges and increases your visibility into their use through reports and alerts. Omezuje uživatele tím, že svá oprávnění můžou využívat podle potřeby, nebo přiřazováním oprávnění po kratší dobu, po které se automaticky odvolají.It limits users to taking on their privileges "just in time" (JIT), or by assigning privileges for a shorter duration, after which privileges are revoked automatically.
  • Integrace místních domén Active Directory se službou Azure Active Directory .Integrate on-premises Active Directory domains with Azure Active Directory. Tato referenční architektura obsahuje příklad synchronizace adresářů mezi místními doménami Active Directory a službou Azure AD.This reference architecture provides an example of directory synchronization between on-premises Active Directory domains and Azure AD.
  • Rozšíření služby Active Directory Domain Services (AD DS) do Azure .Extend Active Directory Domain Services (AD DS) to Azure. Tato referenční architektura obsahuje příklad nasazení serverů AD DS kvůli rozšíření doménových služeb na cloudové prostředky.This reference architecture provides an example of deploying AD DS servers to extend domain services to cloud-based resources.
  • Rozšíření služby Active Directory Federation Services (AD FS) do Azure .Extend Active Directory Federation Services (AD FS) to Azure. V této referenční architektuře se služba Active Directory Federation Services (AD FS) nakonfiguruje tak, aby prováděla federované ověřování a autorizaci pro adresář Azure AD.This reference architecture configures Active Directory Federation Services (AD FS) to perform federated authentication and authorization with your Azure AD directory.

Další krokyNext steps

Identita je pouze jednou ze základních komponent infrastruktury, která během procesu přechodu na cloud vyžaduje rozhodnutí na úrovni architektury.Identity is just one of the core infrastructure components requiring architectural decisions during a cloud adoption process. Informace o alternativních modelech nebo modelech určených pro rozhodování o návrzích pro jiné typy architektur najdete v přehledu průvodců rozhodováním ohledně architektury.To learn about alternative patterns or models used when making design decisions for other types of infrastructure, see the architectural decision guides overview.