云中Active Directory是如何工作的?

【TechTarget中国原创】 微软公司1999年在Windows Server 2000中引入Active Directory功能。后期的Windows Server版本中陆续进行改善提升,Windows环境内的用户认证和身份管理都会有相关的目录服务。云计算环境中,微软公司还为企业提供了Active Directory,需要以服务应用程序的身份跨软件访问控制权限。 Active Directory(简称AD)为所有用户分配并强制执行一系列安全策略,限制用户执行任务的范围。例如,AD将会检查用户凭证,并判断此次登陆是否有正规用户或者管理员权限,如果是正规的,那么便会被授予服务、应用程序以及相关权限。 随着微软公司云服务的发布, Azure AD似乎为多用户云环境提供了相同的目录和身份管理基础套件。Azure AD可以为云应用提供单点登录服务(简称SSO),例如Salesforce、Dropbox、Office 365以及其他数不胜数的软件即服务(简称SaaS)应用程序。云开发人员甚至可以将Azure AD功能集成到软件中,实现云部署开发,让其他Windows AD组织可以更轻松地集成和使用这些应用程序。 但是,其实Azure AD真正的价值在于其一套的身份管理功能,例如用户账号及特权账号管理、设备注册管理、用户认证管理(其中包括多因素身份验证)、密码管理、群组管理、基于角色的访问控制(简称RBAC)、应用程序使用情况追踪、审计、报导等其他功能。汇聚起来,AD可以有助于保护使用Windows平台(如今是Azure平台)的企业安全,确保用户或者群组可以有权限访问所需服务。Azure AD同样也在本地数据中心中与Windows AD进行集成优化,可以使内部AD管理云资产。 当创建Azure订阅时,Azure AD数据库就会与之相连。IT员工负责云计算管理,然后,可以使用Azure AD授予订阅Azure的用户、群组以及应用程序访问资源的权限。 通过RBAC我们可以访问Azure资源。这就意味着我们最初需要创建许多AD角色来定义资产或资源中的每个角色在Azure订阅内的访问权限。Azure提供三个基础角色:所有者、贡献者和读者。所有者能够访问Azure内的所有资源并且控制其他管理人员的访问权限。贡献者可以创建和管理Azure资源,但是却不能改变其他人员的访问权限。读者只能浏览现有资源。除了基础角色外,Azure资源内还存在其他角色,创建或者制定这些角色的作用是满足企业需求。 现如今,用户账户已建立、群组已确定并得到认可、应用程序也已经部署完毕,那么我们就应该实施合适的AD角色。我们可以根据订阅资源、特定群组或者个人资源访问范围来实施各项角色,例如特定的虚拟机(VM)、网站、存储实例等等。 与Windows AD一样,Azure AD也是分层级进行操作的。这就意味着,某一级别(父级)的访问权限将会扩展到所有低层次(子级)。例如,通过创建群组并在订阅范围内分配好读者角色,那么所有群组成员都能够查看订阅资源内的资源。相比之下,如果管理人员将某一用户分配为资源群组内的贡献者,那么该用户能够管理本群组内的任何资源,例如创建新的VM,但是在其他群组内却没有任何作用。 这种管理角色非常灵活且强大,但是对于管理员来说,认真、合理地分配角色和范围来维持适当的安全态势是非常重要的。许多组织已经实施了如何分配用户及群组权限的政策,这些政策经常更新完善,从而能够及时反映Azure订阅的使用情况。

TechTarget中国原创内容,原文链接: http://www.searchsv.com.cn/showcontent_92228.htm
© TechTarget中国:http://www.techtarget.com.cn

posted @ 2016-03-16 09:41  lostARK  阅读(271)  评论(0编辑  收藏  举报