Integracja lokalnej usługi AD z platformą Azure

Azure Active Directory

W tym artykule opisano możliwości integracji środowiska lokalnego usługi Active Directory (AD) z siecią platformy Azure.This article compares options for integrating your on-premises Active Directory (AD) environment with an Azure network. Dla każdej opcji jest dostępna bardziej szczegółowa architektura referencyjna.For each option, a more detailed reference architecture is available.

Wiele organizacji używa usług Active Directory Domain Services (AD DS) do uwierzytelniania tożsamości skojarzonych z użytkownikami, komputerami, aplikacjami lub innymi zasobami, które znajdują się w granicach zabezpieczeń.Many organizations use Active Directory Domain Services (AD DS) to authenticate identities associated with users, computers, applications, or other resources that are included in a security boundary. Usługi zarządzania katalogami i tożsamościami są zwykle hostowane lokalnie, ale jeśli aplikacja jest hostowana częściowo lokalnie i częściowo na platformie Azure, może wystąpić opóźnienie wysyłania żądań uwierzytelniania z platformy Azure z powrotem do środowiska lokalnego.Directory and identity services are typically hosted on-premises, but if your application is hosted partly on-premises and partly in Azure, there may be latency sending authentication requests from Azure back to on-premises. Zaimplementowanie usług zarządzania katalogami i tożsamościami na platformie Azure może zmniejszyć to opóźnienie.Implementing directory and identity services in Azure can reduce this latency.

Platforma Azure oferuje dwa rozwiązania do implementowania usług zarządzania katalogami i tożsamościami na platformie Azure:Azure provides two solutions for implementing directory and identity services in Azure:

  • Usługa Azure AD służy do tworzenia domeny usługi Active Directory w chmurze i łączenia jej z lokalną domeną usługi Active Directory.Use Azure AD to create an Active Directory domain in the cloud and connect it to your on-premises Active Directory domain. Program Azure AD Connect umożliwia integrowanie katalogów lokalnych z usługą Azure AD.Azure AD Connect integrates your on-premises directories with Azure AD.

  • Aby rozszerzyć istniejącą lokalną infrastrukturę usługi Active Directory o platformę Azure, wdróż na platformie Azure maszynę wirtualną, która uruchamia usługi AD DS jako kontrolera domeny.Extend your existing on-premises Active Directory infrastructure to Azure, by deploying a VM in Azure that runs AD DS as a Domain Controller. Ta architektura jest częściej używana, gdy sieć lokalna i sieć wirtualna platformy Azure (VNet) są połączone za pomocą połączenia sieci VPN lub usługi ExpressRoute.This architecture is more common when the on-premises network and the Azure virtual network (VNet) are connected by a VPN or ExpressRoute connection. Istnieje kilka odmian tej architektury:Several variations of this architecture are possible:

    • Utwórz domenę na platformie Azure i przyłącz ją do lokalnego lasu usługi AD.Create a domain in Azure and join it to your on-premises AD forest.
    • Utwórz osobny las na platformie Azure, która jest zaufana dla domen w Twoim lesie lokalnym.Create a separate forest in Azure that is trusted by domains in your on-premises forest.
    • Replikuj wdrożenie usług Active Directory Federation Services (AD FS) na platformie Azure.Replicate an Active Directory Federation Services (AD FS) deployment to Azure.

W kolejnych sekcjach opisano każdą z tych opcji bardziej szczegółowo.The next sections describe each of these options in more detail.

Integrowanie domen lokalnych z usługą Azure ADIntegrate your on-premises domains with Azure AD

Usługa Azure Active Directory (Azure AD) umożliwia utworzenie domeny na platformie Azure i połączenie jej z lokalną domeną usługi AD.Use Azure Active Directory (Azure AD) to create a domain in Azure and link it to an on-premises AD domain.

Katalog usługi Azure AD nie jest rozszerzeniem katalogu lokalnego.The Azure AD directory is not an extension of an on-premises directory. Jest to raczej kopia, która zawiera te same obiekty i tożsamości.Rather, it's a copy that contains the same objects and identities. Zmiany tych elementów wprowadzone w środowisku lokalnym są kopiowane do usługi Azure AD, ale zmiany wprowadzone w usłudze Azure AD nie są replikowane z powrotem do domeny lokalnej.Changes made to these items on-premises are copied to Azure AD, but changes made in Azure AD are not replicated back to the on-premises domain.

Możesz również używać usługi Azure AD, nie korzystając z katalogu lokalnego.You can also use Azure AD without using an on-premises directory. W takim przypadku usługa Azure AD działa jako podstawowe źródło wszystkich informacji o tożsamości, zamiast obsługiwać dane replikowane z katalogu lokalnego.In this case, Azure AD acts as the primary source of all identity information, rather than containing data replicated from an on-premises directory.

KorzyściBenefits

  • Nie trzeba zarządzać infrastrukturą usługi AD w chmurze.You don't need to maintain an AD infrastructure in the cloud. Usługa Azure AD jest całkowicie zarządzana i obsługiwana przez firmę Microsoft.Azure AD is entirely managed and maintained by Microsoft.
  • Usługa Azure AD oferuje te same informacje o tożsamościach, które są dostępne lokalnie.Azure AD provides the same identity information that is available on-premises.
  • Uwierzytelnianie może zostać wykonane na platformie Azure, co zmniejszy potrzebę kontaktowania się z domeną lokalną przez zewnętrzne i użytkowników.Authentication can happen in Azure, reducing the need for external applications and users to contact the on-premises domain.

WyzwaniaChallenges

  • Musisz skonfigurować łączność z domeną lokalną w celu zachowania synchronizacji katalogu usługi Azure AD.You must configure connectivity with your on-premises domain to keep the Azure AD directory synchronized.
  • W celu włączenia uwierzytelniania za pomocą usługi Azure AD konieczne może być ponowne napisanie aplikacji.Applications may need to be rewritten to enable authentication through Azure AD.
  • Aby uwierzytelnić konto usługi i komputera, musisz również wdrożyć usługi Azure Active Directory Domain Services.If you wish to authenticate service and computer accounts, you will have to also deploy Azure Active Directory Domain Services.

Architektura referencyjnaReference architecture

Usługi AD DS na platformie Azure przyłączone do lasu lokalnegoAD DS in Azure joined to an on-premises forest

Wdróż serwery usług AD Domain Services (AD DS) na platformie Azure.Deploy AD Domain Services (AD DS) servers to Azure. Utwórz domenę na platformie Azure i przyłącz ją do lokalnego lasu usługi AD.Create a domain in Azure and join it to your on-premises AD forest.

Rozważ użycie tej opcji, jeśli chcesz korzystać z funkcji usług AD DS, które nie są obecnie implementowane przez usługę Azure AD.Consider this option if you need to use AD DS features that are not currently implemented by Azure AD.

KorzyściBenefits

  • Udostępnia te same informacje o tożsamościach, które są dostępne lokalnie.Provides access to the same identity information that is available on-premises.
  • Można uwierzytelniać konta użytkowników, usług i komputerów w środowisku lokalnym i na platformie Azure.You can authenticate user, service, and computer accounts on-premises and in Azure.
  • Nie trzeba zarządzać oddzielnym lasem usługi AD.You don't need to manage a separate AD forest. Domena na platformie Azure może należeć do lasu lokalnego.The domain in Azure can belong to the on-premises forest.
  • Możesz zastosować zasady grupy zdefiniowane przez lokalne obiekty zasad grupy do domeny na platformie Azure.You can apply group policy defined by on-premises Group Policy Objects to the domain in Azure.

WyzwaniaChallenges

  • Trzeba wdrożyć własną domenę i serwery usługi AD DS w chmurze.You must deploy and manage your own AD DS servers and domain in the cloud.
  • Może wystąpić opóźnienie synchronizacji między serwerami domeny w chmurze i serwerami działającymi lokalnie.There may be some synchronization latency between the domain servers in the cloud and the servers running on-premises.

Architektura referencyjnaReference architecture

Usługi AD DS w platformie Azure z oddzielnym lasemAD DS in Azure with a separate forest

Wdróż usługi AD Domain Services (AD DS) na platformie Azure, ale utwórz osobny las usługi Azure Directory, który jest oddzielony od lasu lokalnego.Deploy AD Domain Services (AD DS) servers to Azure, but create a separate Active Directory forest that is separate from the on-premises forest. Ten las ma relację zaufania z domenami w lesie lokalnym.This forest is trusted by domains in your on-premises forest.

Typowe zastosowania tej architektury obejmują ochronną separację obiektów i tożsamości przechowywanych w chmurze oraz migrowanie pojedynczych danych ze środowiska lokalnego do chmury.Typical uses for this architecture include maintaining security separation for objects and identities held in the cloud, and migrating individual domains from on-premises to the cloud.

KorzyściBenefits

  • Można zaimplementować tożsamości lokalne i oddzielić tożsamości powiązane tylko z platformą Azure.You can implement on-premises identities and separate Azure-only identities.
  • Nie trzeba replikować z lokalnego lasu usługi AD na platformie Azure.You don't need to replicate from the on-premises AD forest to Azure.

WyzwaniaChallenges

  • Uwierzytelnianie w obrębie platformy Azure dla tożsamości lokalnych wymaga dodatkowych przeskoków sieciowych do lokalnych serwerów usługi AD.Authentication within Azure for on-premises identities requires extra network hops to the on-premises AD servers.
  • Trzeba wdrożyć własny las i serwery usług AD DS w chmurze i ustanowić odpowiednią relację zaufania między lasami.You must deploy your own AD DS servers and forest in the cloud, and establish the appropriate trust relationships between forests.

Architektura referencyjnaReference architecture

Rozszerzanie usług AD FS na platformę AzureExtend AD FS to Azure

Replikuj wdrożenie usług Active Directory Federation Services (AD FS) na platformie Azure, aby przeprowadzić uwierzytelnianie federacyjne i autoryzację dla składników działających na platformie Azure.Replicate an Active Directory Federation Services (AD FS) deployment to Azure, to perform federated authentication and authorization for components running in Azure.

Typowe zastosowania tej architektury:Typical uses for this architecture:

  • Uwierzytelnianie i autoryzowanie użytkowników z organizacji partnerskich.Authenticate and authorize users from partner organizations.
  • Zezwalanie użytkownikom na uwierzytelnianie z poziomu przeglądarek internetowych działających poza zaporą używaną w organizacji.Allow users to authenticate from web browsers running outside of the organizational firewall.
  • Zezwalanie użytkownikom na łączenie z autoryzowanych urządzeń zewnętrznych, takich jak urządzenia przenośne.Allow users to connect from authorized external devices such as mobile devices.

KorzyściBenefits

  • Można korzystać z aplikacji obsługujących oświadczenia.You can leverage claims-aware applications.
  • Oferuje możliwość zaufania partnerom zewnętrznym na potrzeby uwierzytelniania.Provides the ability to trust external partners for authentication.
  • Zgodność z dużym zestawem protokołów uwierzytelniania.Compatibility with large set of authentication protocols.

WyzwaniaChallenges

  • Należy wdrożyć własne serwery usług AD DS, AD FS i aplikacji internetowych usług AD FS na platformie Azure.You must deploy your own AD DS, AD FS, and AD FS Web Application Proxy servers in Azure.
  • Skonfigurowanie takiej architektury może być skomplikowane.This architecture can be complex to configure.

Architektura referencyjnaReference architecture