Guida alle decisioni relative alla gestione delle identitàIdentity decision guide

In qualsiasi ambiente, che sia locale, ibrido o cloud, l'IT deve avere il controllo su quali amministratori, utenti e gruppi hanno accesso alle risorse.In any environment, whether on-premises, hybrid, or cloud-only, IT needs to control which administrators, users, and groups have access to resources. I servizi di gestione delle identità e degli accessi (IAM) consentono di gestire il controllo di accesso nel cloud.Identity and access management (IAM) services enable you to manage access control in the cloud.

Grafico delle opzioni relative alla gestione delle identità, dalla meno complessa alla più complessa, allineato con i collegamenti sotto

Passare a: Determinare i requisiti di integrazione della soluzione di gestione delle identità | Baseline del cloud | Sincronizzazione della directory | Servizi di dominio ospitati nel cloud | Active Directory Federation Services | Altre informazioniJump to: Determine identity integration requirements | Cloud baseline | Directory synchronization | Cloud-hosted domain services | Active Directory Federation Services | Learn more

Sono disponibili diverse opzioni per la gestione delle identità in un ambiente cloud.Several options are available for managing identity in a cloud environment. Queste opzioni variano in termini di costi e complessità.These options vary in cost and complexity. Un fattore chiave nella strutturazione dei servizi di gestione delle identità basati sul cloud è il livello di integrazione necessario con l'infrastruttura di gestione delle identità locale esistente.A key factor in structuring your cloud-based identity services is the level of integration required with your existing on-premises identity infrastructure.

Azure Active Directory (Azure AD) fornisce un livello di base per il controllo di accesso e la gestione delle identità per le risorse di Azure.Azure Active Directory (Azure AD) provides a base level of access control and identity management for Azure resources. Se l'infrastruttura di Active Directory locale dell'organizzazione ha una struttura di foresta complessa o unità organizzative personalizzate, i carichi di lavoro basati sul cloud potrebbero richiedere la sincronizzazione della directory con Azure AD per ottenere un set coerente di identità, gruppi e ruoli tra l'ambiente locale e l'ambiente cloud.If your organization's on-premises Active Directory infrastructure has a complex forest structure or customized organizational units (OUs), your cloud-based workloads might require directory synchronization with Azure AD for a consistent set of identities, groups, and roles between your on-premises and cloud environments. Inoltre, per supportare le applicazioni che dipendono da meccanismi di autenticazione legacy potrebbe essere necessario distribuire Active Directory Domain Services (AD DS) nel cloud.Additionally, support for applications that depend on legacy authentication mechanisms might require the deployment of Active Directory Domain Services (AD DS) in the cloud.

La gestione delle identità basata sul cloud è un processo iterativo.Cloud-based identity management is an iterative process. È possibile iniziare con una soluzione nativa del cloud con un piccolo gruppo di utenti e di ruoli corrispondenti per una distribuzione iniziale.You could start with a cloud-native solution with a small set of users and corresponding roles for an initial deployment. Con il progressivo perfezionamento della migrazione, potrebbe diventare necessario integrare la soluzione di gestione delle identità con la sincronizzazione della directory o aggiungere servizi di dominio come parte delle distribuzioni del cloud.As your migration matures, you might need to integrate your identity solution using directory synchronization or add domains services as part of your cloud deployments. Rivedere la propria strategia di gestione delle identità in ogni iterazione del processo di migrazione.Revisit your identity strategy in every iteration of your migration process.

Determinare i requisiti di integrazione della soluzione di gestione delle identitàDetermine identity integration requirements

DomandaQuestion Infrastruttura nativa del cloudCloud baseline Sincronizzazione delle directoryDirectory synchronization Servizi di dominio ospitati nel cloudCloud-hosted domain services Active Directory Federation ServicesActive Directory Federation Services
Attualmente manca un servizio directory locale?Do you currently lack an on-premises directory service? Yes NoNo NoNo NoNo
I carichi di lavoro devono usare un set comune di utenti e gruppi nell'ambiente cloud e in quello locale?Do your workloads need to use a common set of users and groups between the cloud and on-premises environment? NoNo Yes NoNo NoNo
I carichi di lavoro dipendono da meccanismi di autenticazione legacy, come Kerberos o NTLM?Do your workloads depend on legacy authentication mechanisms, such as Kerberos or NTLM? NoNo NoNo Yes Yes
È necessario il Single Sign-On tra più provider di identità?Do you require single sign-on across multiple identity providers? NoNo NoNo NoNo Yes

Nell'ambito della pianificazione della migrazione ad Azure, è necessario determinare il modo migliore per integrare i servizi di gestione delle identità esistenti con i servizi cloud.As part of planning your migration to Azure, you will need to determine how best to integrate your existing identity management and cloud identity services. Di seguito sono descritti alcuni scenari di integrazione comuni.The following are common integration scenarios.

Infrastruttura nativa del cloudCloud baseline

Azure AD è il sistema di gestione delle identità e degli accessi nativo per la concessione a utenti e gruppi dell'accesso alle funzionalità di gestione nella piattaforma Azure.Azure AD is the native identity and access management (IAM) system for granting users and groups access to management features on the Azure platform. Se l'organizzazione non ha una soluzione di gestione delle identità locale rilevante e si prevede di eseguire la migrazione dei carichi di lavoro in modo che siano compatibili con i meccanismi di autenticazione basati sul cloud, è consigliabile iniziare a sviluppare l'infrastruttura di gestione delle identità usando Azure AD come base.If your organization lacks a significant on-premises identity solution, and you plan to migrate workloads to be compatible with cloud-based authentication mechanisms, you should begin developing your identity infrastructure using Azure AD as a base.

Presupposti relativi alla baseline del cloud: L'uso di un'infrastruttura di gestione delle identità completamente nativa del cloud presuppone le condizioni seguenti:Cloud baseline assumptions: Using a purely cloud-native identity infrastructure assumes the following:

  • Le risorse basate sul cloud non hanno dipendenze dai servizi directory locali o da server Active Directory oppure è possibile modificare i carichi di lavoro per rimuovere queste dipendenze.Your cloud-based resources will not have dependencies on on-premises directory services or Active Directory servers, or workloads can be modified to remove those dependencies.
  • I carichi di lavoro di applicazioni o servizi di cui eseguire la migrazione supportano meccanismi di autenticazione compatibili con Azure AD o possono essere facilmente modificati per supportarli.The application or service workloads being migrated either support authentication mechanisms compatible with Azure AD or can be modified easily to support them. Azure AD si affida a meccanismi di autenticazione basati su Internet come SAML, OAuth e OpenID Connect.Azure AD relies on internet-ready authentication mechanisms such as SAML, OAuth, and OpenID Connect. I carichi di lavoro esistenti che dipendono da metodi di autenticazione legacy con protocolli come Kerberos o NTLM potrebbero dover essere sottoposti a refactoring prima della migrazione al cloud usando il modello di baseline del cloud.Existing workloads that depend on legacy authentication methods using protocols such as Kerberos or NTLM might need to be refactored before migrating to the cloud using the cloud baseline pattern.

Suggerimento

La migrazione completa dei servizi di gestione delle identità in Azure AD elimina la necessità di mantenere l'infrastruttura di gestione delle identità locale, semplificando notevolmente la gestione IT.Completely migrating your identity services to Azure AD eliminates the need to maintain your own identity infrastructure, significantly simplifying your IT management.

Azure AD non rappresenta però un sostituto completo per un'infrastruttura di Active Directory locale tradizionale.But Azure AD is not a full replacement for a traditional on-premises Active Directory infrastructure. Le funzionalità di directory, come i metodi di autenticazione legacy, la gestione dei computer o i criteri di gruppo potrebbero non essere disponibili se non si distribuiscono strumenti o servizi aggiuntivi nel cloud.Directory features such as legacy authentication methods, computer management, or group policy might not be available without deploying additional tools or services to the cloud.

Per gli scenari in cui è necessaria l'integrazione delle identità o dei servizi di dominio locali con le distribuzioni nel cloud, vedere i modelli con sincronizzazione della directory e servizi di dominio ospitati nel cloud presentati in precedenza.For scenarios where you need to integrate your on-premises identities or domain services with your cloud deployments, see the directory synchronization and cloud-hosted domain services patterns discussed below.

Sincronizzazione delle directoryDirectory synchronization

Per le organizzazioni che hanno già un'infrastruttura di Active Directory locale, la sincronizzazione della directory è spesso la soluzione migliore per mantenere la gestione esistente di utenti e accessi e fornire al contempo le funzionalità IAM necessarie per gestire le risorse cloud.For organizations with existing on-premises Active Directory infrastructure, directory synchronization is often the best solution for preserving existing user and access management while providing the required IAM capabilities for managing cloud resources. Questo processo replica continuamente le informazioni della directory tra Azure AD e i servizi directory locali, supportando credenziali comuni per gli utenti e un sistema di gestione di identità, ruoli e autorizzazioni coerente nell'intera organizzazione.This process continuously replicates directory information between Azure AD and on-premises directory services, allowing common credentials for users and a consistent identity, role, and permission system across your entire organization.

Nota

Le organizzazioni che hanno adottato Microsoft 365 potrebbero avere già implementato la sincronizzazione della directory tra la propria infrastruttura Active Directory locale e Azure Active Directory.Organizations that have adopted Microsoft 365 might have already implemented directory synchronization between their on-premises Active Directory infrastructure and Azure Active Directory.

Presupposti relativi alla sincronizzazione della directory: L'uso di una soluzione di gestione delle identità sincronizzata presuppone le condizioni seguenti:Directory synchronization assumptions: Using a synchronized identity solution assumes the following:

  • È necessario mantenere un set comune di account utente e di gruppi nell'infrastruttura cloud e in quella locale.You need to maintain a common set of user accounts and groups across your cloud and on-premises IT infrastructure.
  • I servizi di gestione delle identità locali supportano la replica con Azure AD.Your on-premises identity services support replication with Azure AD.

Suggerimento

Qualsiasi carico di lavoro basato sul cloud che dipende da meccanismi di autenticazione legacy forniti da server Active Directory locali e non supportati da Azure AD avrà ancora bisogno di connettività ai servizi di dominio locali o ai server virtuali nell'ambiente cloud che forniscono questi servizi.Any cloud-based workloads that depend on legacy authentication mechanisms provided by on-premises Active Directory servers and that are not supported by Azure AD will still require either connectivity to on-premises domain services or virtual servers in the cloud environment providing these services. L'uso di servizi di gestione delle identità locali introduce anche dipendenze a livello di connettività tra la rete cloud e la rete locale.Using on-premises identity services also introduces dependencies on connectivity between the cloud and on-premises networks.

Servizi di dominio ospitati nel cloudCloud-hosted domain services

In presenza di carichi di lavoro che dipendono da un meccanismo di autenticazione basata sulle attestazioni con protocolli legacy come Kerberos o NTLM, e che non possono essere sottoposti a refactoring per accettare protocolli di autenticazione moderni come SAML o OAuth e OpenID Connect, potrebbe essere necessario eseguire la migrazione di alcuni servizi di dominio al cloud nell'ambito della distribuzione cloud.If you have workloads that depend on claims-based authentication using legacy protocols such as Kerberos or NTLM, and those workloads cannot be refactored to accept modern authentication protocols such as SAML or OAuth and OpenID Connect, you might need to migrate some of your domain services to the cloud as part of your cloud deployment.

Questo modello implica la distribuzione di macchine virtuali che eseguono Active Directory nelle reti virtuali aziendali basate sul cloud al fine di rendere disponibile Active Directory Domain Services (AD DS) per le risorse nel cloud.This pattern involves deploying virtual machines running Active Directory to your cloud-based virtual networks to provide Active Directory Domain Services (AD DS) for resources in the cloud. Le applicazioni e i servizi esistenti trasferiti nella rete cloud dovrebbero poter usare questi server di directory ospitati nel cloud con modifiche minime.Any existing applications and services migrating to your cloud network should be able to use these cloud-hosted directory servers with minor modifications.

Probabilmente le directory e i servizi di dominio esistenti continueranno a essere usati nell'ambiente locale.It's likely that your existing directories and domain services will continue to be used in your on-premises environment. In questo scenario è consigliabile usare anche la sincronizzazione della directory per fornire un set comune di utenti e ruoli sia nell'ambiente cloud che in quello locale.In this scenario, you should also use directory synchronization to provide a common set of users and roles in both the cloud and on-premises environments.

Presupposti relativi ai servizi di dominio ospitati nel cloud: L'esecuzione di una migrazione di directory presuppone le condizioni seguenti:Cloud-hosted domain services assumptions: Performing a directory migration assumes the following:

  • I carichi di lavoro dipendono da un meccanismo di autenticazione basata sulle attestazioni che usa protocolli come Kerberos o NTLM.Your workloads depend on claims-based authentication using protocols like Kerberos or NTLM.
  • Le macchine virtuali dei carichi di lavoro devono essere aggiunte a un dominio ai fini della gestione o dell'applicazione di criteri di gruppo di Active Directory.Your workload virtual machines need to be domain-joined for management or application of Active Directory group policy purposes.

Suggerimento

Benché la migrazione della directory associata a servizi di dominio ospitati nel cloud assicuri un'ottima flessibilità per la migrazione dei carichi di lavoro esistenti, l'hosting di macchine virtuali nella rete virtuale cloud per fornire questi servizi aumenta la complessità delle attività di gestione IT.While a directory migration coupled with cloud-hosted domain services provides great flexibility when migrating existing workloads, hosting virtual machines within your cloud virtual network to provide these services does increase the complexity of your IT management tasks. Man mano che la propria esperienza di migrazione nel cloud matura, esaminare i requisiti di manutenzione a lungo termine per l'hosting di questi server.As your cloud migration experience matures, examine the long-term maintenance requirements of hosting these servers. Stabilire se il refactoring dei carichi di lavoro esistenti per la compatibilità con provider di identità cloud come Azure Active Directory può ridurre la necessità di questi server ospitati nel cloud.Consider whether refactoring existing workloads for compatibility with cloud identity providers such as Azure Active Directory can reduce the need for these cloud-hosted servers.

Active Directory Federation ServicesActive Directory Federation Services

La federazione delle identità stabilisce relazioni di trust fra più sistemi di gestione delle identità per abilitare funzionalità comuni di autenticazione e autorizzazione.Identity federation establishes trust relationships across multiple identity management systems to allow common authentication and authorization capabilities. È quindi possibile supportare funzionalità di Single Sign-On in più domini all'interno dell'organizzazione oppure sistemi di gestione delle identità gestiti da clienti o partner commerciali.You can then support single sign-on capabilities across multiple domains within your organization or identity systems managed by your customers or business partners.

Azure AD supporta la federazione di domini Active Directory locali tramite Active Directory Federation Services (AD FS).Azure AD supports federation of on-premises Active Directory domains using Active Directory Federation Services (AD FS). Per altre informazioni su come implementare questo servizio in Azure, vedere Estendere AD FS ad Azure.For more information about how this can be implemented in Azure, see Extend AD FS to Azure.

Altre informazioniLearn more

Per altre informazioni sui servizi di gestione delle identità in Azure, vedere:For more information about identity services in Azure, see:

  • Azure AD.Azure AD. Azure AD fornisce servizi di gestione delle identità basati sul cloud.Azure AD provides cloud-based identity services. Consente di gestire l'accesso alle risorse di Azure e di controllare la gestione delle identità, la registrazione dei dispositivi, il provisioning degli utenti, il controllo di accesso alle applicazioni e la protezione dei dati.It allows you to manage access to your Azure resources and control identity management, device registration, user provisioning, application access control, and data protection.
  • Azure AD Connect.Azure AD Connect. Lo strumento Azure AD Connect consente di connettere istanze di Azure AD alle soluzioni di gestione delle identità esistenti, permettendo la sincronizzazione della directory esistente nel cloud.The Azure AD Connect tool allows you to connect Azure AD instances with your existing identity management solutions, allowing synchronization of your existing directory in the cloud.
  • Controllo degli accessi in base al ruolo.Role-based access control (RBAC). Azure AD offre funzionalità di controllo degli accessi in base al ruolo che consentono di gestire in modo efficiente e sicuro l'accesso alle risorse nel piano di gestione.Azure AD provides RBAC to efficiently and securely manage access to resources in the management plane. I processi e le responsabilità sono organizzati in ruoli e gli utenti sono assegnati a questi ruoli.Jobs and responsibilities are organized into roles, and users are assigned to these roles. Il controllo degli accessi in base al ruolo consente di controllare chi ha accesso a una risorsa e quali azioni possono essere eseguite dall'utente su quella risorsa.RBAC allows you to control who has access to a resource along with which actions a user can perform on that resource.
  • Azure AD Privileged Identity Management (PIM).Azure AD Privileged Identity Management (PIM). PIM riduce il tempo di esposizione dei privilegi di accesso alle risorse e aumenta la visibilità sul loro utilizzo tramite report e avvisi.PIM lowers the exposure time of resource access privileges and increases your visibility into their use through reports and alerts. Consente agli utenti di assumere i loro privilegi soltanto "just in time" (JIT) oppure li assegna loro per una durata più breve, dopo la quale i privilegi vengono revocati automaticamente.It limits users to taking on their privileges "just in time" (JIT), or by assigning privileges for a shorter duration, after which privileges are revoked automatically.
  • Integrare i domini di Active Directory locali con Azure Active Directory.Integrate on-premises Active Directory domains with Azure Active Directory. Questa architettura di riferimento fornisce un esempio di sincronizzazione della directory tra domini Active Directory locali e Azure AD.This reference architecture provides an example of directory synchronization between on-premises Active Directory domains and Azure AD.
  • Estendere Active Directory Domain Services (AD DS) in Azure.Extend Active Directory Domain Services (AD DS) to Azure. Questa architettura di riferimento fornisce un esempio di distribuzione di server AD DS per estendere i servizi di dominio alle risorse basate sul cloud.This reference architecture provides an example of deploying AD DS servers to extend domain services to cloud-based resources.
  • Estendere Active Directory Federation Services (AD FS) in Azure.Extend Active Directory Federation Services (AD FS) to Azure. Questa architettura di riferimento configura Active Directory Federation Services (AD FS) per l'esecuzione dell'autenticazione federata e dell'autorizzazione con la directory Azure AD.This reference architecture configures Active Directory Federation Services (AD FS) to perform federated authentication and authorization with your Azure AD directory.

Passaggi successiviNext steps

L'identità è solo uno dei componenti principali dell'infrastruttura che richiedono decisioni a livello di architettura durante un processo di adozione del cloud.Identity is just one of the core infrastructure components requiring architectural decisions during a cloud adoption process. Per informazioni su schemi o modelli alternativi usati per prendere decisioni di progettazione per altri tipi di infrastruttura, vedere la panoramica delle guide alle decisioni per l'architettura.To learn about alternative patterns or models used when making design decisions for other types of infrastructure, see the architectural decision guides overview.