Escolher uma solução de integração do Active Directory no local com o AzureChoose a solution for integrating on-premises Active Directory with Azure

Este artigo compara opções para integrar o ambiente do Active Directory (AD) no local com uma rede do Azure.This article compares options for integrating your on-premises Active Directory (AD) environment with an Azure network. Para cada opção, está disponível uma arquitetura de referência mais detalhada.For each option, a more detailed reference architecture is available.

Muitas organizações utilizam o Active Directory Domain Services (AD DS) para autenticar identidades associadas a utilizadores, computadores, aplicações ou a outros recursos incluídos num limite de segurança.Many organizations use Active Directory Domain Services (AD DS) to authenticate identities associated with users, computers, applications, or other resources that are included in a security boundary. Os serviços de diretório e de identidade estão, normalmente, alojados no local. Porém, se a sua aplicação estiver alojada parcialmente no local e parcialmente no Azure, poderá verificar alguma latência no envio de pedidos de autenticação do Azure para o local.Directory and identity services are typically hosted on-premises, but if your application is hosted partly on-premises and partly in Azure, there may be latency sending authentication requests from Azure back to on-premises. A implementação dos serviços de diretório e de identidade no Azure pode reduzir essa latência.Implementing directory and identity services in Azure can reduce this latency.

O Azure fornece duas soluções para implementar os serviços de diretório e de identidade no Azure:Azure provides two solutions for implementing directory and identity services in Azure:

  • Utilize o Azure AD para criar um domínio do Active Directory na cloud e ligá-lo ao domínio do Active Directory no local.Use Azure AD to create an Active Directory domain in the cloud and connect it to your on-premises Active Directory domain. O Azure AD Connect integra os diretórios no local ao Azure AD.Azure AD Connect integrates your on-premises directories with Azure AD.

  • Expanda a infraestrutura atual do Active Directory no local para o Azure ao implementar uma VM no Azure com o AD DS como um controlador de domínio.Extend your existing on-premises Active Directory infrastructure to Azure, by deploying a VM in Azure that runs AD DS as a domain controller. Esta arquitetura é mais comum quando a rede no local e a rede virtual (VNet) do Azure estão ligadas através de uma ligação VPN ou ExpressRoute.This architecture is more common when the on-premises network and the Azure virtual network (VNet) are connected by a VPN or ExpressRoute connection. Estão disponíveis algumas variações desta arquitetura:Several variations of this architecture are possible:

    • Crie um domínio no Azure e associe-o à sua floresta do AD no local.Create a domain in Azure and join it to your on-premises AD forest.
    • Crie uma floresta separada no Azure que seja considerada fidedigna pelos domínios na sua floresta no local.Create a separate forest in Azure that is trusted by domains in your on-premises forest.
    • Replique uma implementação dos Serviços de Federação do Active Directory (AD FS) para o Azure.Replicate an Active Directory Federation Services (AD FS) deployment to Azure.

As secções seguintes descrevem cada uma destas opções mais detalhadamente.The next sections describe each of these options in more detail.

Integrar os domínios no local com o Azure ADIntegrate your on-premises domains with Azure AD

Utilize o Azure Active Directory (Azure AD) para criar um domínio no Azure e ligá-lo a um domínio AD no local.Use Azure Active Directory (Azure AD) to create a domain in Azure and link it to an on-premises AD domain.

O diretório do Azure AD não é uma extensão de um diretório no local.The Azure AD directory is not an extension of an on-premises directory. Em vez disso, é uma cópia com os mesmos objetos e identidades.Rather, it's a copy that contains the same objects and identities. As alterações feitas a estes itens no local são copiadas para o Azure AD, mas as alterações feitas no Azure AD não são replicadas para o domínio no local.Changes made to these items on-premises are copied to Azure AD, but changes made in Azure AD are not replicated back to the on-premises domain.

Também pode utilizar o Azure AD sem utilizar um diretório no local.You can also use Azure AD without using an on-premises directory. Neste caso, o Azure AD funciona como a principal fonte de todas as informações de identidade, em vez de conter os dados replicados de um diretório no local.In this case, Azure AD acts as the primary source of all identity information, rather than containing data replicated from an on-premises directory.

BenefíciosBenefits

  • Não precisa de manter uma infraestrutura do AD na cloud.You don't need to maintain an AD infrastructure in the cloud. O Azure AD é totalmente gerido e mantido pela Microsoft.Azure AD is entirely managed and maintained by Microsoft.
  • O Azure AD fornece as mesmas informações de identidade que estão disponíveis no local.Azure AD provides the same identity information that is available on-premises.
  • Pode ocorrer a autenticação no Azure, o que reduz a necessidade de as aplicações externas e os utilizadores contactarem o domínio no local.Authentication can happen in Azure, reducing the need for external applications and users to contact the on-premises domain.

DesafiosChallenges

  • Os serviços de identidade estão limitados a utilizadores e grupos.Identity services are limited to users and groups. Não está disponível nenhuma capacidade que permita autenticar contas de serviço e de computador.There is no ability to authenticate service and computer accounts.
  • Tem de configurar a conectividade com o domínio no local para manter o diretório do Azure AD sincronizado.You must configure connectivity with your on-premises domain to keep the Azure AD directory synchronized.
  • As aplicações podem ter de ser reescritas para ativar a autenticação através do Azure AD.Applications may need to be rewritten to enable authentication through Azure AD.

Arquitetura de referênciaReference architecture

AD DS no Azure associado a uma floresta no localAD DS in Azure joined to an on-premises forest

Implemente servidores dos Serviços de Domínio do AD (AD DS) no Azure.Deploy AD Domain Services (AD DS) servers to Azure. Crie um domínio no Azure e associe-o à sua floresta do AD no local.Create a domain in Azure and join it to your on-premises AD forest.

Considere esta opção se precisar de utilizar as funcionalidades do AD DS que não são atualmente implementadas pelo Azure AD.Consider this option if you need to use AD DS features that are not currently implemented by Azure AD.

BenefíciosBenefits

  • Fornece acesso às mesmas informações de identidade que estão disponíveis no local.Provides access to the same identity information that is available on-premises.
  • Pode autenticar as contas de utilizador, de serviço e de computador no local e no Azure.You can authenticate user, service, and computer accounts on-premises and in Azure.
  • Não precisa de gerir uma floresta do AD separada.You don't need to manage a separate AD forest. O domínio no Azure pode pertencer à floresta no local.The domain in Azure can belong to the on-premises forest.
  • Pode aplicar a política de grupo definida pelos Objetos de Política de Grupo no local ao domínio no Azure.You can apply group policy defined by on-premises Group Policy Objects to the domain in Azure.

DesafiosChallenges

  • Tem de implementar e gerir os seus próprios servidores do AD DS e o domínio na cloud.You must deploy and manage your own AD DS servers and domain in the cloud.
  • Pode ocorrer alguma latência de sincronização entre os servidores do domínio na cloud e os servidores em execução no local.There may be some synchronization latency between the domain servers in the cloud and the servers running on-premises.

Arquitetura de referênciaReference architecture

AD DS no Azure com uma floresta separadaAD DS in Azure with a separate forest

Implemente servidores dos Serviços de Domínio do AD (AD DS) no Azure, mas crie uma floresta do Active Directory diferente que esteja separada da floresta no local.Deploy AD Domain Services (AD DS) servers to Azure, but create a separate Active Directory forest that is separate from the on-premises forest. Esta floresta é considerada fidedigna pelos domínios na floresta no local.This forest is trusted by domains in your on-premises forest.

Utilizações típicas desta arquitetura incluem manter a separação de segurança de objetos e identidades contidos na cloud e migrar domínios individuais do local para a cloud.Typical uses for this architecture include maintaining security separation for objects and identities held in the cloud, and migrating individual domains from on-premises to the cloud.

BenefíciosBenefits

  • Pode implementar identidades no local e separar identidades apenas do Azure.You can implement on-premises identities and separate Azure-only identities.
  • Não precisa de replicar da floresta do AD no local para o Azure.You don't need to replicate from the on-premises AD forest to Azure.

DesafiosChallenges

  • No Azure, a autenticação de identidades no local requer saltos de rede adicionais para os servidores do AD no local.Authentication within Azure for on-premises identities requires extra network hops to the on-premises AD servers.
  • Tem de implementar os seus próprios servidores do AD DS e a floresta na cloud e estabelecer as relações de confiança adequadas entre as florestas.You must deploy your own AD DS servers and forest in the cloud, and establish the appropriate trust relationships between forests.

Arquitetura de referênciaReference architecture

Expandir o AD FS para o AzureExtend AD FS to Azure

Replique uma implementação dos Serviços de Federação do Active Directory (AD FS) para o Azure, para obter uma autenticação federada e uma autorização para os componentes em execução no Azure.Replicate an Active Directory Federation Services (AD FS) deployment to Azure, to perform federated authentication and authorization for components running in Azure.

Utilizações típicas desta arquitetura:Typical uses for this architecture:

  • Autenticar e autorizar utilizadores de organizações parceiras.Authenticate and authorize users from partner organizations.
  • Permitir que os utilizadores sejam autenticados a partir de browsers em execução fora da firewall organizacional.Allow users to authenticate from web browsers running outside of the organizational firewall.
  • Permitir aos utilizadores estabelecer uma ligação a partir de dispositivos externos autorizados, tal como dispositivos móveis.Allow users to connect from authorized external devices such as mobile devices.

BenefíciosBenefits

  • Pode tirar partido das aplicações com suporte para afirmações.You can leverage claims-aware applications.
  • Permite confiar em parceiros externos para a autenticação.Provides the ability to trust external partners for authentication.
  • Compatibilidade com um grande conjunto de protocolos de autenticação.Compatibility with large set of authentication protocols.

DesafiosChallenges

  • Tem de implementar os seus próprios servidores do AD DS, AD FS e Proxy de Aplicações Web do AD FS no Azure.You must deploy your own AD DS, AD FS, and AD FS Web Application Proxy servers in Azure.
  • A configuração desta arquitetura pode ser complexa.This architecture can be complex to configure.

Arquitetura de referênciaReference architecture