A hibrid identitásmegoldáshoz megfelelő hitelesítési Azure Active Directory kiválasztása

A megfelelő hitelesítési módszer kiválasztása az első szempont a szervezetek számára, amelyek a felhőbe szeretnék áthelyezni az alkalmazásokat. Ezt a döntést ne csak a következő okokból kell meghozni:

  1. Ez az első döntés a felhőbe költözni kívánó szervezetek számára.

  2. A hitelesítési módszer a szervezet felhőbeli jelenlétének kritikus összetevője. Ez szabályozza az összes felhőbeli adathoz és erőforráshoz való hozzáférést.

  3. Ez az Azure AD összes többi fejlett biztonsági és felhasználói felületi funkciónak az alapja.

Az identitás az it-biztonság új vezérlősíkja, így a hitelesítés a szervezet hozzáférési védője az új felhő világában. A szervezeteknek olyan identitásvezérlő síkra van szükségük, amely megerősíti a biztonságukat, és biztonságban tartja a felhőalkalmazásokat a támadóktól.

Megjegyzés

A hitelesítési módszer módosításához tervezésre, tesztelésre és esetleges állásidőre van szükség. A szakaszos bevezetéssel tesztelni lehet a felhasználók összevonásból felhőalapú hitelesítésre való migrálását.

Hatókör kívül

Azok a szervezetek, amelyek nem létezik helyszíni címtárlábnyommal, nem erre a cikkre koncentrálnak. Ezek a vállalatok általában csak a felhőben hoznak létre identitásokat, amihez nincs szükség hibrid identitásmegoldásra. A csak felhőbeli identitások kizárólag a felhőben léteznek, és nincsenek társítva a megfelelő helyszíni identitásokkal.

Hitelesítési módszerek

Ha az Azure AD hibrid identitásmegoldás az új vezérlősík, a hitelesítés a felhőalapú hozzáférés alapja. A megfelelő hitelesítési módszer kiválasztása kulcsfontosságú első döntés egy hibrid Azure AD-identitásmegoldás beállításakor. Implementálja az Azure AD-fiókkal konfigurált hitelesítési módszert Csatlakozás, amely a felhasználókat is kiállítja a felhőben.

A hitelesítési módszer kiválasztásakor figyelembe kell vennie a választott megoldáshoz szükséges időt, meglévő infrastruktúrát, összetettséget és költségeket. Ezek a tényezők minden szervezetben eltérőek lehetnek, és idővel változhatnak.

Az Azure AD a következő hitelesítési módszereket támogatja a hibrid identitásmegoldások esetében.

Felhőalapú hitelesítés

Ha ezt a hitelesítési módszert választja, az Azure AD kezeli a felhasználók bejelentkezési folyamatát. A közvetlen egyszeri bejelentkezéssel (SSO) együtt a felhasználók anélkül jelentkeznek be a felhőalkalmazásba, hogy újra be kell írniuk a hitelesítő adataikat. A felhőalapú hitelesítéssel két lehetőség közül választhat:

Azure AD-jelszókivonat szinkronizálása. A legegyszerűbb módszer a helyszíni címtárobjektumok hitelesítésének engedélyezésére az Azure AD-ban. A felhasználók ugyanazt a felhasználónevet és jelszót használhatják, mint a helyszínen, anélkül, hogy további infrastruktúrát kell üzembe helyezniük. Az Azure AD egyes prémium funkciói, például az Identity Protection és a Azure AD Domain Services,jelszó kivonatszinkronizálást igényelnek, a választott hitelesítési módszertől függetlenül.

Megjegyzés

A jelszavak soha nem titkosíthatók tiszta szövegben, és nem titkosíthatók visszatitkosítani az Azure AD-ben. A jelszó kivonatszinkronizálásának tényleges folyamatával kapcsolatos további információkért lásd: Jelszó kivonatszinkronizálásának megvalósítása az Azure AD Csatlakozás szinkronizálásával.

Azure AD átmenő hitelesítés. Egyszerű jelszóérvényesítést biztosít az Azure AD hitelesítési szolgáltatásaihoz egy vagy több helyszíni kiszolgálón futó szoftverügynök használatával. A kiszolgálók közvetlenül a saját helyi Active Directory ellenőrzik a felhasználókat, ami biztosítja, hogy a jelszóérvényesítés ne a felhőben történjen.

Ezt a hitelesítési módszert olyan vállalatok használják, amelyeknél biztonsági követelmény a helyszíni felhasználói fiókok azonnali kényszerítése, a jelszó-szabályzatok és a bejelentkezési órák. A tényleges átmenő hitelesítési folyamattal kapcsolatos további információkért lásd: Felhasználói bejelentkezés Azure AD átmenő hitelesítéssel.

Összevont hitelesítés

Ha ezt a hitelesítési módszert választja, az Azure AD egy különálló megbízható hitelesítési rendszernek adja át a hitelesítési folyamatot, például az helyi Active Directory Federation Services (AD FS) számára a felhasználó jelszavának érvényesítéséhez.

A hitelesítési rendszer további speciális hitelesítési követelményeket is nyújthat. Ilyen például az intelligenskártya-alapú hitelesítés vagy a külső többtényezős hitelesítés. További információ: Deploying Active Directory összevonási szolgáltatások (AD FS).

A következő szakasz egy döntési fával segít eldönteni, melyik hitelesítési módszer a megfelelő az Ön számára. Segít eldönteni, hogy felhőalapú vagy összevont hitelesítést kell-e üzembe helyeznie az Azure AD hibrid identitásmegoldásához.

Döntési fa

Az Azure AD hitelesítési döntési fája

A döntési kérdések részletei:

  1. Az Azure AD anélkül képes kezelni a felhasználók bejelentkezését, hogy helyszíni összetevőkre támaszkodik a jelszavak ellenőrzéséhez.
  2. Az Azure AD képes a felhasználói bejelentkezést egy megbízható hitelesítésszolgáltatónak, például a Microsoft AD FS.
  3. Ha felhasználói szintű biztonsági szabályzatokat kell alkalmaznia Active Directory ( például a fiók lejárt, letiltott fiók, lejárt a jelszó, a fiók zárolva van, és bejelentkezési órákat kell használnia minden egyes felhasználói bejelentkezéshez) az Azure AD-nek szüksége van néhány helyszíni összetevőre.
  4. Az Azure AD nem támogatja natívan a bejelentkezési funkciókat:
    • Bejelentkezés intelligens kártyák vagy tanúsítványok használatával.
    • Bejelentkezés helyszíni MFA-kiszolgálóval.
    • Bejelentkezés külső hitelesítési megoldással.
    • Több telephelyes helyszíni hitelesítési megoldás.
  5. Azure AD Identity Protection jelszó-kivonat szinkronizálása a választott bejelentkezési módszertől függetlenül szükséges a Kiszivárgott hitelesítő adatokkal felhasználók jelentésének megadásához. A szervezetek feladatátvételt kaphatnak a jelszó-kivonat szinkronizálására, ha az elsődleges bejelentkezési módszerük sikertelen, és a hibaesemény előtt lett konfigurálva.

Megjegyzés

Azure AD Identity Protection licencre Prémium P2 szintű Azure AD van szükség.

Részletes szempontok

Felhőalapú hitelesítés: Jelszó kivonatszinkronizálása

  • Erőfeszítés. A jelszó kivonatszinkronizálása a telepítéssel, a karbantartással és az infrastruktúrával kapcsolatos legkisebb erőfeszítést igényli. Ez a munkamennyiség általában azokra a szervezetekre vonatkozik, amelyek csak a felhasználóiknak kell bejelentkezniük az Microsoft 365- vagy SaaS-alkalmazásokba és más Azure AD-alapú erőforrásokba. Ha be van kapcsolva, a jelszó kivonatszinkronizálása az Azure AD Csatlakozás részét képezi, és két percenként fut.

  • Felhasználói élmény. A felhasználók bejelentkezési élményének javítása érdekében zökkenőmentes egyszeri bejelentkezést telepítsen jelszó-kivonatszinkronizálással. A közvetlen egyszeri bejelentkezés kiküszöböli a szükségtelen kéréseket, amikor a felhasználók bejelentkeznek.

  • Speciális forgatókönyvek. Ha a szervezetek úgy döntenek, az identitások elemzéseit is felhasználhatja Azure AD Identity Protection jelentésekkel és Prémium P2 szintű Azure AD. Ilyen például a kiszivárgott hitelesítő adatokról szóló jelentés. Windows Hello vállalati verzió egyedi követelményekkel rendelkezik a jelszó kivonatszinkronizálásának használata során. Azure AD Domain Services jelszó kivonatszinkronizálása szükséges ahhoz, hogy a felhasználók vállalati hitelesítő adataikat a felügyelt tartományban használva kiépíthetheket használják.

    A jelszó-kivonatszinkronizálással többtényezős hitelesítést igénylő szervezeteknek Az Azure AD Multi-Factor Authentication vagy a feltételes hozzáférés egyéni vezérlőit kell használniuk. Ezek a szervezetek nem használhatnak összevonásra támaszkodó külső vagy helyszíni többtényezős hitelesítési módszereket.

Megjegyzés

Az Azure AD feltételes hozzáféréshez Prémium P1 szintű Azure AD licenc szükséges.

  • Üzletmenet-folytonosság. A jelszó kivonatszinkronizálása felhőalapú hitelesítéssel magas rendelkezésre áll olyan felhőszolgáltatásként, amely az összes Microsoft-adatközpontra skálázható. Annak érdekében, hogy a jelszó kivonatszinkronizálása ne álljon le hosszabb ideig, telepítsen egy második Azure AD Csatlakozás-kiszolgálót átmeneti módban készenléti konfigurációban.

  • Megfontolandó szempontok. A jelszó kivonatszinkronizálása jelenleg nem kényszeríti ki azonnal a módosításokat a helyszíni fiókban. Ebben az esetben a felhasználó hozzáfér a felhőalkalmazáshoz, amíg a felhasználói fiók állapota nincs szinkronizálva az Azure AD-be. Előfordulhat, hogy a szervezetek egy új szinkronizálási ciklus futtatásával szeretnék áthidalni ezt a korlátozást, miután a rendszergazdák tömegesen frissítik a helyszíni felhasználói fiókok állapotát. Ilyen például a fiókok letiltása.

Megjegyzés

A jelszó lejárt, és a fiók zárolt államok jelenleg nincsenek szinkronizálva az Azure AD-val az Azure AD Csatlakozás. Amikor módosítja egy felhasználó jelszavát, és a következő bejelentkezéskor meg kell változtatnia a jelszót, a jelszó kivonata nem lesz szinkronizálva az Azure AD-val az Azure AD Csatlakozás amíg a felhasználó meg nem változtatja a jelszavát.

Az üzembe helyezés lépéseit a jelszó-kivonatszinkronizálás megvalósításáról szóló cikkből sajáthatja el.

Felhőalapú hitelesítés: Átmenő hitelesítés

  • Erőfeszítés. Az átmenő hitelesítéshez egy vagy több (ajánlott három) egyszerűsített ügynöknek kell telepítve a meglévő kiszolgálókon. Ezeknek az ügynököknek hozzáféréssel kell helyi Active Directory tartományi szolgáltatásokhoz, beleértve a helyszíni AD-tartományvezérlőket is. Kimenő internet-hozzáférésre és a tartományvezérlőkhöz való hozzáférésre van szükségük. Emiatt az ügynökök szegélyhálózaton való üzembe helyezése nem támogatott.

    Az átmenő hitelesítéshez nem korlátozott hálózati hozzáférés szükséges a tartományvezérlőkhöz. Minden hálózati forgalom titkosítva van, és a hitelesítési kérelmekre van korlátozva. A folyamattal kapcsolatos további információkért tekintse meg az átmenő hitelesítés biztonsági részletes használatát.

  • Felhasználói élmény. A felhasználók bejelentkezési élményének javítása érdekében zökkenőmentes egyszeri bejelentkezést telepíthet átmenő hitelesítéssel. A közvetlen egyszeri bejelentkezés kiküszöböli a szükségtelen kéréseket a felhasználók bejelentkezése után.

  • Speciális forgatókönyvek. Az átmenő hitelesítés a bejelentkezéskor kényszeríti a helyszíni fiók szabályzatát. A hozzáférés például megtagadva lesz, ha egy helyszíni felhasználó fiókállapota le van tiltva, zárolva van, vagy a jelszava lejár, vagy a bejelentkezési kísérlet a felhasználó bejelentkezésének engedélyezett időszakán kívülre esik.

    Az átmenő hitelesítéssel többtényezős hitelesítést igénylő szervezeteknek az Azure AD Multi-Factor Authentication (MFA) vagy a feltételes hozzáférés egyéni vezérlőit kell használniuk. Ezek a szervezetek nem használhatnak összevonásra támaszkodó külső vagy helyszíni többtényezős hitelesítési módszert. A speciális funkciók megkövetelik a jelszó kivonatszinkronizálásának központi telepítését, függetlenül attól, hogy átmenő hitelesítést választ-e. Ilyen például az Identity Protection kiszivárgott hitelesítőadat-jelentése.

  • Üzletmenet-folytonosság. Javasoljuk, hogy két további átmenő hitelesítési ügynököt telepítsen. Ezek a kiegészítő funkciók az Azure AD-kiszolgáló első ügynökének Csatlakozás kiegészítésként szolgálnak. Ez a további üzembe helyezés biztosítja a hitelesítési kérelmek magas rendelkezésre állását. Ha három ügynök van telepítve, az egyik ügynök akkor is meghiúsulhat, ha egy másik ügynök karbantartás miatt leáll.

    Az átmenő hitelesítés mellett a jelszó kivonatszinkronizálásának is van egy másik előnye. Biztonsági mentési hitelesítési módszerként működik, ha az elsődleges hitelesítési módszer már nem érhető el.

  • Megfontolandó szempontok. A jelszó kivonatszinkronizálás használható biztonsági mentési hitelesítési módszerként az átmenő hitelesítéshez, ha az ügynökök egy jelentős helyszíni hiba miatt nem tudnak érvényesíteni egy felhasználó hitelesítő adatait. A jelszó kivonatának feladatátvétele nem történik meg automatikusan, és az Azure AD Csatlakozás kell használnia a bejelentkezési módszer manuális átváltához.

    Az átmenő hitelesítéssel kapcsolatos egyéb szempontokért, beleértve a másodlagos azonosítók támogatását, tekintse meg a gyakori kérdéseket.

Az üzembe helyezés lépéseiért tekintse meg az átmenő hitelesítés megvalósításáról szóló útmutatót.

Összevont hitelesítés

  • Erőfeszítés. Az összevont hitelesítési rendszerek egy külső megbízható rendszerre támaszkodnak a felhasználók hitelesítéséhez. Egyes vállalatok szeretnék újra felhasználni a meglévő összevont rendszerbefektetésüket az Azure AD hibrid identitásmegoldással. Az összevont rendszer karbantartása és kezelése az Azure AD-n kívülre esik. A vállalatnak kell az összevont rendszert használnia annak biztosítása érdekében, hogy biztonságosan üzembe legyen használhatja, és kezelni tudja a hitelesítési terhelést.

  • Felhasználói élmény. Az összevont hitelesítés felhasználói élménye az összevonási farm szolgáltatásainak, topológiájának és konfigurációjának megvalósításától függ. Egyes szervezeteknek szüksége van erre a rugalmasságra az összevonási farmhoz való hozzáférésnek a biztonsági követelményeknek megfelelően való alkalmazkodáshoz és konfiguráláshoz. Konfigurálhat például belsőleg csatlakoztatott felhasználókat és eszközöket a felhasználók automatikus bejelentkezéséhez anélkül, hogy a rendszer hitelesítő adatokat kér. Ez a konfiguráció azért működik, mert már bejelentkezett az eszközeikre. Szükség esetén egyes speciális biztonsági funkciók megnehezítik a felhasználók bejelentkezési folyamatát.

  • Speciális forgatókönyvek. Összevont hitelesítési megoldásra akkor van szükség, ha az ügyfelek olyan hitelesítési követelményekkel kell, amelyek az Azure AD natív támogatását nem támogatják. A megfelelő bejelentkezési lehetőség kiválasztása részletes információkkal szolgál. Vegye figyelembe a következő gyakori követelményeket:

    • Intelligens kártyákat vagy tanúsítványokat igénylő hitelesítés.
    • Összevont identitásszolgáltatót igénylő helyszíni MFA-kiszolgálók vagy külső többtényezős szolgáltatók.
    • Hitelesítés külső hitelesítési megoldásokkal. Lásd az Azure AD összevonás kompatibilitási listáját.
    • Jelentkezzen be, amelyhez sAMAccountName (például TARTOMÁNY\felhasználónév) szükséges az egyszerű felhasználónév (UPN) helyett, user@domain.com például: .
  • Üzletmenet-folytonosság. Az összevont rendszerekhez általában kiszolgálók elosztott terhelésű tömbje, az úgynevezett farm szükséges. Ez a farm egy belső hálózatban és szegélyhálózati topológiában van konfigurálva, hogy magas rendelkezésre állást biztosítson a hitelesítési kérések számára.

    Ha az elsődleges hitelesítési módszer már nem érhető el, telepítse a jelszó-kivonat szinkronizálását és az összevont hitelesítést biztonsági mentési hitelesítési módszerként. Ilyen például, ha a helyszíni kiszolgálók nem érhetők el. Egyes nagyvállalatok összevonási megoldásra van szükségük több, geo DNS-sel konfigurált internetes bejövő pont támogatásához a kis késleltetésű hitelesítési kérések érdekében.

  • Megfontolandó szempontok. Az összevont rendszerek általában nagyobb mértékű befektetést igényelnek a helyszíni infrastruktúrába. A legtöbb szervezet ezt a lehetőséget választja, ha már rendelkezik helyszíni összevonási befektetéssel. Ha pedig erős üzleti követelmény az egyidentitásos szolgáltató használata. Az összevonás a felhőalapú hitelesítési megoldásokhoz képest összetettebb a működés és a hibaelhárítás során.

Az Azure AD-ben nem ellenőrizhető nem átirányítható tartományok esetén további konfigurációra van szükség a felhasználói azonosítóval való bejelentkezés megvalósításához. Ezt a követelményt alternatív bejelentkezési azonosító támogatásnak nevezik. A korlátozásokat és követelményeket lásd: Másodlagos bejelentkezési azonosító konfigurálása. Ha külső többtényezős hitelesítésszolgáltatót használ összevonással, győződjön meg arról, hogy a szolgáltató támogatja a WS-Trust, hogy az eszközök csatlakoznak az Azure AD-hez.

Az üzembe helyezés lépéseit az összevonási kiszolgálók üzembe helyezési lépéseit lásd: Összevonási kiszolgálók központi telepítése.

Megjegyzés

Az Azure AD hibrid identitásmegoldás üzembe helyezésekor az Azure AD-szolgáltatás egyik támogatott topológiáját kell Csatlakozás. További információ a támogatott és nem támogatott konfigurációkról: Topologies for Azure AD Csatlakozás.

Architektúradiagramok

Az alábbi diagramok az Azure AD hibrid identitásmegoldással használható hitelesítési módszerekhez szükséges magas szintű architektúra-összetevőket vázolják fel. Áttekintést biztosítanak a megoldások közötti különbségek összehasonlításában.

  • A jelszó kivonatszinkronizálási megoldás egyszerűsége:

    Hibrid Azure AD-identitás jelszó kivonatszinkronizálással

  • Az átmenő hitelesítés ügynökre vonatkozó követelményei, két ügynök használatával a redundancia érdekében:

    Azure AD hibrid identitás átmenő hitelesítéssel

  • A szervezet szegélyhálózatának és belső hálózatának összevonásához szükséges összetevők:

    Azure AD hibrid identitás összevont hitelesítéssel

A metódusok összehasonlítása

Megfontolandó Jelszó kivonatszinkronizálás + közvetlen egyszeri bejelentkezés Átmenő hitelesítés + közvetlen egyszeri bejelentkezés Összevonás az AD FS rendszerrel
Hol történik a hitelesítés? A felhőben A felhőben a helyszíni hitelesítési ügynökkel való biztonságos jelszó-ellenőrzési csere után Helyszíni
Milyen követelmények vonatkoznak a helyszíni kiszolgálóra a kiépítési rendszeren kívül: Az Azure AD Csatlakozás? None Egy kiszolgáló minden további hitelesítési ügynökhöz Kettő vagy több AD FS kiszolgáló

Két vagy több WAP-kiszolgáló a szegélyhálózaton/DMZ-hálózaton
Milyen követelmények vonatkoznak a helyszíni internetre és a kiépítési rendszeren túli hálózatra? None Kimenő internet-hozzáférés a hitelesítési ügynököket futtató kiszolgálókról Bejövő internet-hozzáférés a szegélyhálózaton található WAP-kiszolgálókhoz

Bejövő hálózati hozzáférés AD FS a szegélyhálózaton található WAP-kiszolgálókról

Hálózati terheléselosztás
Követelmény a TLS/SSL-tanúsítvány használata? Nem Nem Igen
Van állapotfigyelési megoldás? Nem szükséges A felügyeleti központ által Azure Active Directory ügynök állapota Azure AD Connect Health
A felhasználók egyszeri bejelentkezést kapnak a felhőbeli erőforrásokhoz a vállalati hálózaton belüli tartományhoz csatlakozott eszközökről? Igen, közvetlen egyszeri bejelentkezéssel Igen, közvetlen egyszeri bejelentkezéssel Yes
Milyen bejelentkezési típusok támogatottak? UserPrincipalName + jelszó

Windows-Integrated közvetlen egyszeri bejelentkezéssel való hitelesítés engedélyezése

Másodlagos bejelentkezési azonosító
UserPrincipalName + jelszó

Windows-Integrated közvetlen egyszeri bejelentkezéssel való hitelesítés engedélyezése

Másodlagos bejelentkezési azonosító
UserPrincipalName + jelszó

sAMAccountName + jelszó

Windows-Integrated hitelesítés

Tanúsítvány- és intelligenskártya-hitelesítés

Másodlagos bejelentkezési azonosító
Az Windows Hello for Business támogatott? Kulcs megbízhatósági modell Kulcs megbízhatósági modell
A Windows Server 2016 működési szintjét igényli
Kulcs megbízhatósági modell

Megbízható tanúsítványmodell
Mik a többtényezős hitelesítési lehetőségek? Azure AD MFA

Egyéni vezérlők feltételes hozzáféréssel*
Azure AD MFA

Egyéni vezérlők feltételes hozzáféréssel*
Azure AD MFA

Azure MFA-kiszolgáló

Külső MFA

Egyéni vezérlők feltételes hozzáféréssel*
Milyen felhasználóifiók-államok támogatottak? Letiltott fiókok
(legfeljebb 30 perces késleltetés)
Letiltott fiókok

Fiók zárolva

A fiók lejárt

A jelszó lejárt

Bejelentkezési órák
Letiltott fiókok

Fiók zárolva

A fiók lejárt

A jelszó lejárt

Bejelentkezési órák
Mik a feltételes hozzáférési lehetőségek? Azure AD feltételes hozzáférés prémium szintű Azure AD Azure AD feltételes hozzáférés prémium szintű Azure AD Azure AD feltételes hozzáférés prémium szintű Azure AD

AD FS jogcímszabályok
Támogatott az örökölt protokollok blokkolása? Igen Igen Igen
Testre szabható az embléma, a kép és a leírás a bejelentkezési oldalakon? Igen, prémium szintű Azure AD Igen, prémium szintű Azure AD Igen
Milyen speciális forgatókönyvek támogatottak? Intelligens jelszózárolás

kiszivárgott hitelesítő adatok jelentések és Prémium P2 szintű Azure AD
Intelligens jelszózárolás Többhelyi, kis késésű hitelesítési rendszer

AD FS extranet zárolása

Integráció külső identitásrendszerekkel

Megjegyzés

Az Azure AD feltételes hozzáférés egyéni vezérlői jelenleg nem támogatják az eszközregisztrációt.

Javaslatok

Az identitásrendszer biztosítja, hogy a felhasználók hozzáférnek a felhőalapú alkalmazásokhoz és az Ön által átemelt és a felhőben elérhetővé tenni használt üzletági alkalmazásokhoz. Annak érdekében, hogy a jogosult felhasználók ne legyenek hatékonyak és rosszak a szervezet bizalmas adataiból, a hitelesítés szabályozza az alkalmazásokhoz való hozzáférést.

Használja vagy engedélyezze a jelszó kivonatszinkronizálását a választott hitelesítési módszerhez a következő okokból:

  1. Magas rendelkezésre állás és vészhelyreállítás. Az átmenő hitelesítés és összevonás a helyszíni infrastruktúrára támaszkodik. Az átmenő hitelesítéshez a helyszíni helyigény magában foglalja a kiszolgálói hardvert és az átmenő hitelesítési ügynökök által megkövetelt hálózatépítést. Összevonásnál a helyszíni helyigény ennél is nagyobb. Ehhez a peremhálózaton található kiszolgálókra van szükség a hitelesítési kérelmek és a belső összevonási kiszolgálók proxybeállításához.

    A hibapontok elkerülése érdekében telepítsen redundáns kiszolgálókat. Ezután a hitelesítési kérések mindig ki lesznek szervizeltek, ha valamelyik összetevő meghibásodik. Az átmenő hitelesítés és az összevonás is tartományvezérlőkre támaszkodik a hitelesítési kérelmekre való válaszadáshoz, ami szintén meghiúsulhat. Ezen összetevők nagy része karbantartást igényel a kifogástalan állapotú maradás érdekében. A kimaradások nagyobb valószínűséggel vannak megtervezve és megfelelően megvalósítva a karbantartások során. Kerülje a jelszó kivonatszinkronizálással való kimaradásokat, mert a Microsoft Azure AD felhőalapú hitelesítési szolgáltatás globálisan skálázható és mindig elérhető.

  2. Helyszíni kimaradások túlélése. A helyszíni kibertámadások vagy katasztrófák következményei jelentősek lehetnek, a jó hírnevű márka kártól a paralyedt szervezetekig, amelyek nem tudják kezelni a támadást. Az utóbbi időben számos szervezet volt áldozata a kártevők elleni támadásoknak, beleértve a célzott zsarolóprogramokat is, amelyek miatt a helyszíni kiszolgálók leálltak. Amikor a Microsoft segít az ügyfeleknek az ilyen típusú támadásokban, két szervezetkategóriát lát:

    • Azok a szervezetek, amelyek korábban összevont vagy átmenő hitelesítésen bekapcsolták a jelszó kivonatszinkronizálást, megváltoztatták az elsődleges hitelesítési módszerüket, és ezt követően jelszó-kivonat szinkronizálását használják. Néhány óra múlva újra online állapotban voltak. Az e-mailek e-mailhez való Microsoft 365 problémák megoldásán és más felhőalapú számítási feladatok elérésén dolgoztak.

    • Azok a szervezetek, amelyek korábban nem engedélyezték a jelszó kivonatszinkronizálását, nem megbízható külső fogyasztói e-mail-rendszerekhez kellett folyamodni a kommunikációhoz a problémák megoldása érdekében. Ilyen esetekben hetekbe telt a helyszíni identitás-infrastruktúra helyreállítása, mielőtt a felhasználók újra bejelentkeztek volna a felhőalapú alkalmazásokba.

  3. Identitásvédelem. A felhőbeli felhasználók védelmére az egyik legjobb módszer a Azure AD Identity Protection Prémium P2 szintű Azure AD. A Microsoft folyamatosan keres az interneten olyan felhasználó- és jelszólistákat, amelyek rossz szereplői értékesítik és teszik elérhetővé a sötét weben. Az Azure AD ezzel az információval ellenőrizheti, hogy a szervezetben található felhasználónevek és jelszavak biztonsága sérült-e. Ezért rendkívül fontos a jelszó kivonatszinkronizálásának engedélyezése, függetlenül attól, hogy melyik hitelesítési módszert használja, akár összevont, akár átmenő hitelesítésről van szó. kiszivárgott hitelesítő adatok jelentésként jelennek meg. Ezzel az információval letilthatja vagy kényszeríteni a felhasználókat a jelszavuk módosításakor, amikor kiszivárgott jelszavakkal próbálnak bejelentkezni.

Összegzés

Ez a cikk különböző hitelesítési lehetőségeket ismertet, amelyek konfigurálhatóak és telepíthetők a felhőalkalmazások elérésének támogatásához. A különböző üzleti, biztonsági és technikai követelményekhez a szervezetek választhatnak a jelszó kivonatszinkronizálása, az átmenő hitelesítés és az összevonás között.

Vegye figyelembe az egyes hitelesítési módokat. A megoldás üzembe helyezésére tett erőfeszítés és a bejelentkezési folyamat felhasználói élménye megfelel az üzleti követelményeinek? Annak kiértékelése, hogy a szervezetnek szüksége van-e az egyes hitelesítési módszerek speciális forgatókönyveire és üzletmenet-folytonossági funkcióira. Végül értékelje ki az egyes hitelesítési módszerek szempontjait. Valamelyikük meggátolja a választás megvalósításában?

Következő lépések

Napjainkban a fenyegetések napi 24 órában jelen vannak, és mindenhol jelen vannak. Implementálja a megfelelő hitelesítési módszert, amely csökkenti a biztonsági kockázatokat, és védi az identitásokat.

Az Azure AD használatának első lépésekhez és a szervezet számára megfelelő hitelesítési megoldás üzembe helyezéséhez.

Ha összevont hitelesítésről felhőalapú hitelesítésre szeretne áttűnni, további információ a bejelentkezési módszer módosításáról. A migrálás tervezéséhez és megvalósításához használja ezeket a projekttelepítési terveket, vagy fontolja meg az új, szakaszos bevezetési funkció használatát az összevont felhasználók felhőalapú hitelesítéssel való, szakaszos megközelítéssel való migrál helyezéséhez.