在談?wù)摌?biāo)識和訪問時，你需要了解兩個基本概念： 身份驗證 (AuthN) 和 授權(quán) (AuthZ)。
身份驗證和授權(quán)支持出現(xiàn)的其他一切情況。 它們在標(biāo)識和訪問過程中按順序發(fā)生。
讓我們簡單了解一下身份驗證和授權(quán)。

什么是身份驗證？

身份驗證是確定要訪問資源的個人或服務(wù)的標(biāo)識的過程。 這涉及向一方提出合法憑證質(zhì)詢的行為，并為創(chuàng)建用于標(biāo)識和訪問控制的安全主體提供基礎(chǔ)。 身份驗證可確定用戶身份是否正確。

什么是授權(quán)？

身份驗證確定用戶的身份標(biāo)識，而授權(quán)是確定經(jīng)過身份驗證的人員或服務(wù)具有的訪問級別的過程。 它指定了允許其訪問哪些數(shù)據(jù)及其可以使用這些數(shù)據(jù)做些什么。

身份驗證和授權(quán)是什么關(guān)系？

下圖顯示了身份驗證和授權(quán)之間的關(guān)系：

標(biāo)識卡代表用戶用來證明其身份的憑據(jù)（你將在本模塊后面的部分詳細(xì)了解憑據(jù)類型。） 通過身份驗證后，授權(quán)會定義用戶可訪問的應(yīng)用程序、資源和數(shù)據(jù)的類型。

Azure AD 與 Active Directory 區(qū)別？

Active Directory 與 Azure AD 相關(guān)，但它們之間存在一些關(guān)鍵區(qū)別。

• Microsoft 在 Windows 2000 中引入了 Active Directory，使組織能夠通過為每個用戶使用一個標(biāo)識來管理多個本地基礎(chǔ)結(jié)構(gòu)組件和系統(tǒng)。
• 對于本地環(huán)境，Windows Server 上運行的 Active Directory 提供由你自己的組織托管的標(biāo)識和訪問管理服務(wù)。 Azure AD 是 Microsoft 基于云的標(biāo)識和訪問管理服務(wù)。 使用 Azure AD，你可以控制標(biāo)識帳戶，但 Microsoft 確保該服務(wù)在全球范圍內(nèi)可用。 如果你使用過 Active Directory，你會非常熟悉 Azure AD。
• 使用 Active Directory 保護(hù)本地標(biāo)識時，Microsoft 不會監(jiān)視登錄操作。 將 Active Directory 與 Azure AD 連接時，Microsoft 可以通過檢測可疑登錄操作來幫助保護(hù)你，且無需額外費用。 例如，Azure AD 可以檢測來自意外位置或未知設(shè)備的登錄嘗試。

誰在使用 Azure AD？

Azure AD 適用于：

• IT 管理員

管理員可以根據(jù)其業(yè)務(wù)需求，使用 Azure AD 來控制對應(yīng)用程序和資源的訪問。

• 應(yīng)用開發(fā)人員

開發(fā)人員可以使用 Azure AD 提供基于標(biāo)準(zhǔn)的方法，以向其構(gòu)建的應(yīng)用程序添加功能，例如向應(yīng)用添加 SSO 功能或使應(yīng)用能夠使用用戶的現(xiàn)有憑據(jù)。

• 用戶

用戶可以管理自己的標(biāo)識。 例如，自助式密碼重置使用戶無需 IT 管理員或支持人員的幫助即可更改或重置密碼。

• 聯(lián)機(jī)服務(wù)訂閱者

Microsoft 365、Microsoft Office 365、Azure 和 Microsoft Dynamics CRM Online 訂閱者已在使用 Azure AD。

• 租戶是組織的一種表示形式。 租戶間通常彼此獨立，各自具有自己的標(biāo)識。
• 每個 Microsoft 365、Office 365、Azure 和 Dynamics CRM Online 租戶都會自動成為 Azure AD 租戶。

Azure AD 提供哪些服務(wù)？

Azure AD 提供的服務(wù)包括：

• 身份驗證

這包括驗證用于訪問應(yīng)用程序和資源的標(biāo)識。 它還提供自助式密碼重置、多重身份驗證、禁用密碼自定義列表和智能鎖定服務(wù)等功能。

• 單一登錄

借助 SSO，你只需記住一個用戶名和一個密碼即可訪問多個應(yīng)用程序。 單個標(biāo)識與用戶關(guān)聯(lián)，這簡化了安全模型。 當(dāng)用戶更改角色或離開組織時，訪問權(quán)限修改僅與該標(biāo)識關(guān)聯(lián)，這大大減少了更改或禁用帳戶所需的工作量。

• 應(yīng)用程序管理

可以使用 Azure AD 管理云和本地應(yīng)用。 應(yīng)用程序代理、SaaS 應(yīng)用程序、“我的應(yīng)用”門戶（也稱為“訪問面板”）和單一登錄等功能可提供更好的用戶體驗。

• 設(shè)備管理

除了個人帳戶外，Azure AD 還支持設(shè)備注冊。 注冊使得設(shè)備可通過 Microsoft Intune 等工具進(jìn)行管理。 它還允許基于設(shè)備的條件訪問策略將訪問嘗試限制為僅來自已知設(shè)備，而不考慮發(fā)出請求的用戶帳戶。

Azure AD 可以幫助保護(hù)哪些資源？

• Azure AD 可幫助用戶同時訪問外部和內(nèi)部資源。
• 外部資源可能包括 Microsoft Office 365、Azure 門戶以及成千上萬個其他軟件即服務(wù) (SaaS) 應(yīng)用程序。
• 內(nèi)部資源可能包括公司網(wǎng)絡(luò)和 Intranet 上的應(yīng)用，以及組織內(nèi)部開發(fā)的任何云應(yīng)用程序。

什么是單一登錄？

使用單一登錄，用戶可以一次登錄并使用相應(yīng)憑據(jù)訪問各種提供商提供的多個資源和應(yīng)用程序。

更多的標(biāo)識意味著需要記住和更改更多的密碼。 密碼策略可能因應(yīng)用程序而異。 隨著復(fù)雜性要求增加，用戶記住這些密碼的難度也不斷加大。 用戶需要管理的密碼越多，與憑證相關(guān)的安全事故風(fēng)險就越大。

考慮一個用于管理所有這些標(biāo)識的過程。 支持人員處理帳戶鎖定和密碼重置請求時，將會承受更多的壓力。 如果用戶離開組織，追蹤所有這些標(biāo)識并確保它們已被禁用會非常困難。 如果忽略了某一標(biāo)識，則可能允許本應(yīng)刪除的訪問。

使用 SSO，你只需記住一個 ID 和一個密碼。 將跨應(yīng)用程序的訪問權(quán)限授予給與用戶關(guān)聯(lián)的單個標(biāo)識，這簡化了安全模型。 當(dāng)用戶更改角色或離開組織時，訪問將綁定到單個標(biāo)識。 這一更改大大減少了更改或禁用帳戶所需的工作量。 為帳戶使用 SSO，用戶可以更輕松地管理其標(biāo)識并增強(qiáng)安全功能。

如何將 Active Directory 與 Azure AD 連接？

通過將 Active Directory 與 Azure AD 連接起來，可以為用戶提供一致的標(biāo)識體驗。

可以通過幾種方法將現(xiàn)有 Active Directory 安裝內(nèi)容與 Azure AD 連接。 最常用的方法可能是 Azure AD Connect。

Azure AD Connect 在本地 Active Directory 和 Azure AD 之間同步用戶標(biāo)識。 Azure AD Connect 在兩個標(biāo)識系統(tǒng)之間同步更改，這使你可以在兩個系統(tǒng)下使用 SSO、多重身份驗證和自助式密碼重置等功能。 自助式密碼重置可防止用戶使用已泄露的已知密碼。

下圖顯示 Azure AD Connect 如何在本地 Active Directory 和 Azure AD 之間發(fā)揮作用：

當(dāng)公司將其現(xiàn)有的 Active Directory 實例與 Azure AD 集成時，它將在整個組織中創(chuàng)建一致的訪問模型。 這樣做極大地簡化了其登錄不同應(yīng)用程序、管理對用戶標(biāo)識和控制所做的更改以及監(jiān)視和阻止異常訪問嘗試的過程。文章來源地址http://www.zghlxwxcb.cn/news/detail-450175.html

到了這里，關(guān)于Azure基礎(chǔ)：什么是Azure AD ?(23)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！