Beslutsguide för identitetIdentity decision guide

I alla miljöer, såväl lokala som hybridbaserade eller molnexklusiva, behöver IT-avdelningen kontrollera vilka administratörer, användare och grupper som har åtkomst till resurser.In any environment, whether on-premises, hybrid, or cloud-only, IT needs to control which administrators, users, and groups have access to resources. Med IAM-tjänster (identitets- och åtkomsthantering) kan du hantera åtkomstkontroll i molnet.Identity and access management (IAM) services enable you to manage access control in the cloud.

Identitetsalternativ ordnade från minst till mest komplext, inriktat med direktlänkar nedan

Hoppa till: Fastställa krav för identitetsintegrering | Molnbaslinje | Katalogsynkronisering | Molnhanterade domäntjänster | Active Directory Federation Services | Läs merJump to: Determine identity integration requirements | Cloud baseline | Directory synchronization | Cloud-hosted domain services | Active Directory Federation Services | Learn more

Det finns flera alternativ för att hantera en identitet i en molnmiljö.Several options are available for managing identity in a cloud environment. Dessa alternativ varierar i både kostnad och komplexitet.These options vary in cost and complexity. En avgörande faktor för strukturering av dina molnbaserade identitetstjänster är den nivå av integrering som krävs med din befintliga lokala identitetsinfrastruktur.A key factor in structuring your cloud-based identity services is the level of integration required with your existing on-premises identity infrastructure.

Azure Active Directory (Azure AD) ger en grundnivå av åtkomstkontroll och identitetshantering för molnresurser.Azure Active Directory (Azure AD) provides a base level of access control and identity management for Azure resources. Om organisationens lokala Active Directory-infrastruktur har en komplex skogsstruktur eller anpassade organisationsenheter (OU) kan dina molnbaserade arbetsbelastningar kräva katalogsynkronisering med Azure AD för en konsekvent uppsättning identiteter, grupper och roller mellan dina lokala och molnbaserade miljöer.If your organization's on-premises Active Directory infrastructure has a complex forest structure or customized organizational units (OUs), your cloud-based workloads might require directory synchronization with Azure AD for a consistent set of identities, groups, and roles between your on-premises and cloud environments. Dessutom kan stöd för program som är beroende av äldre autentiseringsmekanismer kräva distribution av Active Directory Domain Services (AD DS) i molnet.Additionally, support for applications that depend on legacy authentication mechanisms might require the deployment of Active Directory Domain Services (AD DS) in the cloud.

Molnbaserad identitetshantering är en iterativ process.Cloud-based identity management is an iterative process. Du kan börja med en molnbaserad lösning med en liten uppsättning användare och motsvarande roller för en inledande distribution.You could start with a cloud-native solution with a small set of users and corresponding roles for an initial deployment. Allt eftersom migreringen mognar kan du behöva integrera din identitetslösning med hjälp av katalogsynkronisering eller lägga till domäntjänster som en del av dina molndistributioner.As your migration matures, you might need to integrate your identity solution using directory synchronization or add domains services as part of your cloud deployments. Utvärdera din identitetsstrategi på nytt i varje iteration av migreringsprocessen.Revisit your identity strategy in every iteration of your migration process.

Fastställa krav för identitetsintegreringDetermine identity integration requirements

FrågaQuestion MolnbaslinjeCloud baseline KatalogsynkroniseringDirectory synchronization Molnbaserade domäntjänsterCloud-hosted domain services Active Directory Federation ServicesActive Directory Federation Services
Saknar du för närvarande en lokal katalogtjänst?Do you currently lack an on-premises directory service? JaYes IngaNo IngaNo IngaNo
Behöver dina arbetsbelastningar använda en gemensam uppsättning användare och grupper mellan den molnbaserade miljön och den lokala miljön?Do your workloads need to use a common set of users and groups between the cloud and on-premises environment? IngaNo JaYes IngaNo IngaNo
Är dina arbetsbelastningar beroende av äldre autentiseringsmekanismer såsom Kerberos eller NTLM?Do your workloads depend on legacy authentication mechanisms, such as Kerberos or NTLM? IngaNo IngaNo JaYes JaYes
Kräver du enkel inloggning över flera identitetsprovidrar?Do you require single sign-on across multiple identity providers? IngaNo IngaNo IngaNo JaYes

Som en del i att planera din migrering till Azure behöver du bestämma det bästa sättet att integrerar dina befintliga tjänster för identitetshantering och molnidentitet.As part of planning your migration to Azure, you will need to determine how best to integrate your existing identity management and cloud identity services. Följande är vanliga integreringsscenerier.The following are common integration scenarios.

MolnbaslinjeCloud baseline

Azure AD är det inbyggda IAM-systemet (identitets- och åtkomsthantering) för att ge användare och grupper åtkomst till hanteringsfunktioner på Azure-plattformen.Azure AD is the native identity and access management (IAM) system for granting users and groups access to management features on the Azure platform. Om din organisation saknar en betydande lokal identitetslösning, och du planerar att migrera arbetsbelastningar för att vara kompatibel med molnbaserade autentiseringsmekanismer, bör du börja utveckla din identitetsinfrastruktur med hjälp av Azure AD som grund.If your organization lacks a significant on-premises identity solution, and you plan to migrate workloads to be compatible with cloud-based authentication mechanisms, you should begin developing your identity infrastructure using Azure AD as a base.

Antaganden gällande molnbaslinje: Användning av en helt molnbaserad identitetsinfrastruktur förutsätter följande:Cloud baseline assumptions: Using a purely cloud-native identity infrastructure assumes the following:

  • Dina molnbaserade resurser kommer inte att ha beroenden på lokala katalogtjänster eller Active Directory-servrar, eller så kan arbetsbelastningar ändras för att ta bort sådana beroenden.Your cloud-based resources will not have dependencies on on-premises directory services or Active Directory servers, or workloads can be modified to remove those dependencies.
  • De program- eller tjänstarbetsbelastningar som migreras stöder antingen autentiseringsmekanismer som är kompatibla med Azure AD eller kan enkelt modifieras så att de gör det.The application or service workloads being migrated either support authentication mechanisms compatible with Azure AD or can be modified easily to support them. Azure AD är beroende av Internetkompatibla autentiseringsmekanismer som SAML, OAuth och OpenID Connect.Azure AD relies on internet-ready authentication mechanisms such as SAML, OAuth, and OpenID Connect. Befintliga arbetsbelastningar som är beroende av äldre autentiseringsmetoder där protokoll såsom Kerberos eller NTLM används kan behöva refaktoriseras före migrering till molnet med hjälp av molnbaslinjemönstret.Existing workloads that depend on legacy authentication methods using protocols such as Kerberos or NTLM might need to be refactored before migrating to the cloud using the cloud baseline pattern.

Tips

Fullständig migrering av dina identitetstjänster till Azure AD eliminerar behovet av att upprätthålla din egen identitetsinfrastruktur, vilket avsevärt förenklar IT-hanteringen.Completely migrating your identity services to Azure AD eliminates the need to maintain your own identity infrastructure, significantly simplifying your IT management.

Azure AD ersätter inte helt och hållet en traditionell lokala Active Directory-infrastruktur.But Azure AD is not a full replacement for a traditional on-premises Active Directory infrastructure. Directory-funktioner såsom äldre autentiseringsmetoder, datorhantering eller grupprinciper är kanske inte tillgängliga utan distribution av ytterligare verktyg eller tjänster till molnet.Directory features such as legacy authentication methods, computer management, or group policy might not be available without deploying additional tools or services to the cloud.

För scenarier där du behöver integrera dina lokala identiteter eller domäntjänster med molndistributioner kan du läsa om de mönster för katalogsynkronisering och molnhanterade domäntjänster som beskrivs nedan.For scenarios where you need to integrate your on-premises identities or domain services with your cloud deployments, see the directory synchronization and cloud-hosted domain services patterns discussed below.

KatalogsynkroniseringDirectory synchronization

För organisationer med befintlig lokal Active Directory-infrastruktur är katalogsynkronisering ofta den bästa lösningen för att bevara befintlig användar- och åtkomsthantering och samtidigt få de IAM-funktioner som krävs för hantering av molnresurser.For organizations with existing on-premises Active Directory infrastructure, directory synchronization is often the best solution for preserving existing user and access management while providing the required IAM capabilities for managing cloud resources. Den här processen replikerar kontinuerligt kataloginformation mellan Azure AD och lokala katalogtjänster, vilket möjliggör gemensamma autentiseringsuppgifter för användare och ett konsekvent system för identiteter, roller och behörigheter i hela organisationen.This process continuously replicates directory information between Azure AD and on-premises directory services, allowing common credentials for users and a consistent identity, role, and permission system across your entire organization.

Anteckning

Organisationer som har implementerat Microsoft 365 kan redan ha implementerat katalogsynkronisering mellan sin lokala Active Directory-infrastruktur och Azure Active Directory.Organizations that have adopted Microsoft 365 might have already implemented directory synchronization between their on-premises Active Directory infrastructure and Azure Active Directory.

Antaganden gällande katalogsynkronisering: Användning av en lösning för synkroniserad identitet förutsätter följande:Directory synchronization assumptions: Using a synchronized identity solution assumes the following:

  • Du behöver underhålla en gemensam uppsättning användarkonton och grupper i din molnbaserade och din lokala IT-infrastruktur.You need to maintain a common set of user accounts and groups across your cloud and on-premises IT infrastructure.
  • Dina lokala identitetstjänster stöder replikering med Azure AD.Your on-premises identity services support replication with Azure AD.

Tips

Alla molnbaserade arbetsbelastningar som är beroende av äldre autentiseringsmekanismer som tillhandahålls av lokala Active Directory-servrar och som inte stöds av Azure AD kommer fortfarande att kräva antingen anslutning till lokala domäntjänster eller virtuella servrar i molnmiljön som tillhandahåller dessa tjänster.Any cloud-based workloads that depend on legacy authentication mechanisms provided by on-premises Active Directory servers and that are not supported by Azure AD will still require either connectivity to on-premises domain services or virtual servers in the cloud environment providing these services. Användning av lokala identitetstjänster introducerar även beroenden av anslutning mellan molnet och lokala nätverk.Using on-premises identity services also introduces dependencies on connectivity between the cloud and on-premises networks.

Molnbaserade domäntjänsterCloud-hosted domain services

Om du har arbetsbelastningar som är beroende av anspråksbaserad autentisering som använder äldre protokoll såsom Kerberos eller NTLM, och sådana arbetsbelastning inte kan refaktoriseras för att acceptera moderna autentiseringsprotokoll som SAML eller OAuth och OpenID Connect, kan du behöva migrera några av dina domäntjänster till molnet som en del av molndistributionen.If you have workloads that depend on claims-based authentication using legacy protocols such as Kerberos or NTLM, and those workloads cannot be refactored to accept modern authentication protocols such as SAML or OAuth and OpenID Connect, you might need to migrate some of your domain services to the cloud as part of your cloud deployment.

Det här mönstret omfattar distribution av virtuella datorer som kör Active Directory till dina molnbaserade virtuella nätverk för att tillhandahålla Active Directory Domain Services (AD DS) till resurser i molnet.This pattern involves deploying virtual machines running Active Directory to your cloud-based virtual networks to provide Active Directory Domain Services (AD DS) for resources in the cloud. Alla befintliga program och tjänster som migreras till ditt molnnätverk bör kunna använda dessa molnhanterade katalogservrar med smärre ändringar.Any existing applications and services migrating to your cloud network should be able to use these cloud-hosted directory servers with minor modifications.

Det är troligt att dina befintliga kataloger och domäntjänster fortsätter att användas i din lokala miljö.It's likely that your existing directories and domain services will continue to be used in your on-premises environment. I det här scenariot bör du även använder katalogsynkronisering för att tillhandahålla en gemensam uppsättning användare och roller i både den molnbaserade och den lokala miljön.In this scenario, you should also use directory synchronization to provide a common set of users and roles in both the cloud and on-premises environments.

Antaganden gällande molnhanterade domäntjänster: Genomförande av en katalogmigrering förutsätter följande:Cloud-hosted domain services assumptions: Performing a directory migration assumes the following:

  • Dina arbetsbelastningar är beroende av anspråksbaserad autentisering där protokoll som Kerberos eller NTLM används.Your workloads depend on claims-based authentication using protocols like Kerberos or NTLM.
  • Dina virtuella arbetsbelastningsdatorer måste vara domänkopplade för hantering eller tillämpning av Active Directory-grupprinciper.Your workload virtual machines need to be domain-joined for management or application of Active Directory group policy purposes.

Tips

En katalogmigrering tillsammans med molnhanterade domäntjänster ger stor flexibilitet vid migrering av befintliga arbetsbelastningar, men värdhantering av virtuella datorer i ditt virtuella molnnätverk för att tillhandahålla dessa tjänster ökar komplexiteten för IT-hanteringsuppgifterna.While a directory migration coupled with cloud-hosted domain services provides great flexibility when migrating existing workloads, hosting virtual machines within your cloud virtual network to provide these services does increase the complexity of your IT management tasks. Allt eftersom din molnmigreringsfunktion mognad bör du undersöka de långsiktiga underhållskraven för hantering av dessa servrar.As your cloud migration experience matures, examine the long-term maintenance requirements of hosting these servers. Överväg huruvida refaktorisering av befintliga arbetsbelastningar för kompatibilitet med molnidentitetsprovidrar såsom Azure Active Directory kan minska behovet av dessa molnhanterade servrar.Consider whether refactoring existing workloads for compatibility with cloud identity providers such as Azure Active Directory can reduce the need for these cloud-hosted servers.

Active Directory Federation ServicesActive Directory Federation Services

Identitetsfederation upprättar förtroenderelationer mellan flera identitetshanteringssystem för att möjliggöra gemensamma funktioner för autentisering och auktorisering.Identity federation establishes trust relationships across multiple identity management systems to allow common authentication and authorization capabilities. Sedan kan du stödja funktioner för enkel inloggning över flera domäner i din organisation eller identitetssystem som hanteras av dina kunder eller affärspartner.You can then support single sign-on capabilities across multiple domains within your organization or identity systems managed by your customers or business partners.

Azure AD stöder federation av lokala Active Directory-domäner med hjälp av Active Directory Federation Services (AD FS).Azure AD supports federation of on-premises Active Directory domains using Active Directory Federation Services (AD FS). Mer information om hur du kan implementera detta i Azure finns i Utöka AD FS till Azure.For more information about how this can be implemented in Azure, see Extend AD FS to Azure.

Läs merLearn more

Mer information om identitetstjänster i Azure finns här:For more information about identity services in Azure, see:

  • Azure AD.Azure AD. Azure AD tillhandahåller molnbaserade identitetstjänster.Azure AD provides cloud-based identity services. Det gör att du kan hantera åtkomst till dina Azure-resurser och kontrollera identitetshantering, enhetsregistrering, användaretablering, åtkomstkontroll för program samt dataskydd.It allows you to manage access to your Azure resources and control identity management, device registration, user provisioning, application access control, and data protection.
  • Azure AD Connect.Azure AD Connect. Med verktyget Azure AD Connect kan du ansluta Azure AD-instanser till dina befintliga lösningar för identitetshantering så att din befintliga katalog i molnet kan synkroniseras.The Azure AD Connect tool allows you to connect Azure AD instances with your existing identity management solutions, allowing synchronization of your existing directory in the cloud.
  • Rollbaserad Azure-åtkomstkontroll (Azure RBAC).Azure role-based access control (Azure RBAC). Azure RBAC hanterar effektivt och säkert åtkomst till resurser i hanteringsplanet.Azure RBAC efficiently and securely manages access to resources in the management plane. Jobb och ansvarsområden organiseras i roller, och användare tilldelas de rollerna.Jobs and responsibilities are organized into roles, and users are assigned to these roles. Med Azure RBAC kan du kontrollera vem som har åtkomst till en resurs samt vilka åtgärder användare kan utföra på den resursen.Azure RBAC allows you to control who has access to a resource along with which actions a user can perform on that resource.
  • Azure AD Privileged Identity Management (PIM).Azure AD Privileged Identity Management (PIM). PIM sänker exponeringstiden för behörigheter för resursåtkomst och ökar din insyn i användningen av dem via rapporter och aviseringar.PIM lowers the exposure time of resource access privileges and increases your visibility into their use through reports and alerts. Det begränsar användarna till att få behörigheter ”just-in-time” (JIT) eller genom att tilldela behörigheter under en kortare tidsperiod, varefter behörigheterna automatiskt återkallas.It limits users to taking on their privileges "just in time" (JIT), or by assigning privileges for a shorter duration, after which privileges are revoked automatically.
  • Integrera lokala Active Directory-domäner med Azure Active Directory.Integrate on-premises Active Directory domains with Azure Active Directory. Denna referensarkitektur innehåller ett exempel på katalogsynkronisering mellan lokala Active Directory-domäner och Azure AD.This reference architecture provides an example of directory synchronization between on-premises Active Directory domains and Azure AD.
  • Utöka Active Directory Domain Services (AD DS) till Azure.Extend Active Directory Domain Services (AD DS) to Azure. Denna referensarkitektur innehåller ett exempel på distribution av AD DS-servrar för att utöka domäntjänster till molnbaserade resurser.This reference architecture provides an example of deploying AD DS servers to extend domain services to cloud-based resources.
  • Utöka Active Directory Federation Services (AD FS) till Azure.Extend Active Directory Federation Services (AD FS) to Azure. Denna referensarkitektur konfigurerar Active Directory Federation Services (AD FS) till att utföra sammansluten autentisering och auktorisering med din Azure AD-katalog.This reference architecture configures Active Directory Federation Services (AD FS) to perform federated authentication and authorization with your Azure AD directory.

Nästa stegNext steps

Identitet är bara en av huvudkomponenterna för infrastruktur som kräver arkitektoniska beslut under en process för att implementera moln.Identity is just one of the core infrastructure components requiring architectural decisions during a cloud adoption process. Gå till översikten över beslutsguider för arkitekturer om vill veta mer om alternativa mönster eller modeller som används vid utformningsbeslut för andra typer av infrastrukturer.To learn about alternative patterns or models used when making design decisions for other types of infrastructure, see the architectural decision guides overview.