51CTO 博客地址:https://blog.51cto.com/14669127
博客園博客地址:https://www.cnblogs.com/Nancy1983
云計算技術一直以來都是比較熱門的科技技術之一,目前被很多企業所采用,因為使用云計算可以為企業帶來巨大的回報,它比傳統計算安全,實際上面臨的攻擊更少,但出于考慮其他因素,比如機密資料的安全保護,可能監管要求,禁止將資料存盤在異地等等,很多企業目前都采用本地應用程式和云應用程式混合使用的模式,確保企業的正常業務運作,這種情況下同時在本地和云中管理用戶面臨一些挑戰,
Microsoft 聯合身份驗證可以解決企業用戶所面臨的這個難題,通過創建一個通用用戶標識,這樣,無論資源位于什么位置,都可以針對所有資源進行身份驗證和授權,
聯合身份驗證相對于目錄和密碼同步的方案更加復雜,因為它引入了更多依賴項以便于用戶能夠訪問云服務,主要的實作方式:
- 通過Active Directory 聯合身份驗證服務(ADFS)或另一個聯合的身份提供程式,針對本地目錄執行Azure AD的所有身份驗證
- 使用非Microsoft 表示提供程式
- 密碼哈希同步會添加功能作為聯合登錄的登錄備份(如果聯合身份驗證身份方案失敗)
以下情況,使用聯合身份驗證:
- 已部署ADFS
- 使用第三方表示提供程式
- 有本地集成的智能卡或者其他MFA解決方案
- 需要登錄審核或禁用賬戶
- 遵守聯邦資訊處理標準(FIPS)
聯合身份驗證,需要在本地基礎架構上確保:
- 本地服務器必須可通過公司防火墻訪問Internet,微軟建議使用在外圍網路,外圍子網或DMZ中部署的聯合代理服務器
- 確保ADFS服務器,ADFS代理服務器或Web應用程式代理服務器,防火墻和負載均衡器處于運行狀態,
如果使用聯合身份驗證,確保創建在線管理賬戶,如果本地標識解決方案不可用的情況下,以便管理Azure AD,
更多資料:
- What is hybrid Identity with Azure Active Directory?
- Azure Active Directory Seamless Single Sign-on
- Azure AD Connect and Federation
- Deploying Active Directory Federation Services in Azure
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/184380.html
標籤:其他
上一篇:Azure 解決方案:將本地Windows Server AD 賬戶與Azure AD集成
下一篇:二叉樹的深度