本系列博文還在更新中，收錄在專欄：「Azure探秘：構(gòu)建云計算世界」 專欄中。

本系列文章列表如下：

【Azure】微軟 Azure 基礎(chǔ)解析（三）云計算運營中的 CapEx 與 OpEx，如何區(qū)分 CapEx 與 OpEx
【Azure】微軟 Azure 基礎(chǔ)解析（四）Azure核心結(jié)構(gòu)組件之數(shù)據(jù)中心、區(qū)域與區(qū)域?qū)?、可用區(qū)和地理區(qū)域
【Azure】微軟 Azure 基礎(chǔ)解析（五）核心體系結(jié)構(gòu)之管理組、訂閱、資源和資源組以及層次關(guān)系
【Azure】微軟 Azure 基礎(chǔ)解析（六）計算服務(wù)中的虛擬機 VM、虛擬機規(guī)模集、Azure 函數(shù) 與 Azure 容器
【Azure】微軟 Azure 基礎(chǔ)解析（七）Azure 網(wǎng)絡(luò)服務(wù)中的虛擬網(wǎng)絡(luò) VNet、網(wǎng)關(guān)、負載均衡器 Load Balancer
【Azure】微軟 Azure 基礎(chǔ)解析（八）Azure 存儲服務(wù)：探索Blob存儲、隊列存儲、文件存儲特性與適用場景
【Azure】微軟 Azure 基礎(chǔ)解析（九）Azure 標識、身份管理、Azure AD 的功能與用途

一、前言

在當今數(shù)字化時代，身份和訪問管理成為了組織和企業(yè)中不可或缺的重要組成部分。隨著云計算和在線服務(wù)的普及，確保用戶身份的安全性、便捷性和授權(quán)的精確性變得尤為重要。在這個領(lǐng)域，Azure作為一種領(lǐng)先的云平臺，提供了豐富而強大的身份和訪問管理解決方案。

本文將帶領(lǐng)讀者深入了解Azure的身份和訪問管理相關(guān)的核心概念和服務(wù)，重點介紹Azure目錄服務(wù)（Azure Active Directory）以及與之相關(guān)的功能和特性。通過了解Azure AD的基本原理和工作機制，讀者將能夠更好地理解如何使用Azure來管理用戶身份、控制訪問權(quán)限，并實現(xiàn)集中化的身份驗證和授權(quán)管理。

二、前提知識：Identity（身份）、Authentication（身份驗證）與 Authentication（身份驗證）

這幾個詞或多或少你都會聽到過，但是會不會傻傻分不清，在本章前半部分，這里來講解一下這幾個基礎(chǔ)知識點

• Identity（身份）：身份是指在系統(tǒng)中標識和表示一個實體（如用戶、設(shè)備或應(yīng)用程序）。每個實體都有一個唯一的身份標識符，通常是一個用戶名、電子郵件地址或數(shù)字標識。身份提供了對實體的唯一標識，以便系統(tǒng)可以識別和跟蹤該實體的操作和權(quán)限。

比如我們的注冊的一個賬戶，被視為一個 Identity（身份），當我們登陸 Azure portal 門戶的時候，我們使用自己的身份，我們通常使用用戶名和密碼來標識自己；注意：Identity（身份）也可以意味著應(yīng)用程序或者服務(wù)器。

• Authentication（身份驗證）：身份驗證是確認一個實體的身份是否有效的過程。它通常涉及驗證實體提供的憑據(jù)（例如用戶名和密碼）與其事先注冊的身份信息是否匹配。身份驗證可確保只有經(jīng)過身份驗證的用戶或?qū)嶓w才能訪問系統(tǒng)或資源。常見的身份驗證方法包括用戶名/密碼、多因素身份驗證（如短信驗證碼、令牌或生物識別）等。

一句話簡單來說：在驗證身份的過程中使用秘鑰或者證書來標識自己，這就被稱為身份驗證。

關(guān)鍵點總結(jié)：

• 對希望訪問資源的人或服務(wù)的驗證
• 向一方詢問合法憑證，并為創(chuàng)建用于身份和訪問控制的安全主體提供基礎(chǔ)。
• 有時稱為 az AuthN

• Authorization（授權(quán)）：授權(quán)是指為經(jīng)過身份驗證的實體分配特定的權(quán)限和訪問權(quán)限。授權(quán)確定實體能夠執(zhí)行的操作和訪問的資源范圍。通過授權(quán)，系統(tǒng)可以確保只有經(jīng)過身份驗證且獲得授權(quán)的實體才能執(zhí)行特定的操作或訪問受保護的資源。授權(quán)可以基于角色、組織結(jié)構(gòu)、特定權(quán)限或其他策略進行管理。

授權(quán)可以理解為：確保只有經(jīng)過身份驗證的身份才能訪問已授予其訪問權(quán)限的資源

關(guān)鍵點總結(jié)：

• 確定經(jīng)過身份驗證的人員或服務(wù)具有的訪問級別。
• 指定允許訪問哪些數(shù)據(jù)，以及可以用這些數(shù)據(jù)做什么。
• 有時縮寫為AuthZ。

這里值得注意的是：在 Azure 中， Azure 通過 Azure Active Directory 來管理 Authentication（身份驗證）和 Authorization（授權(quán)）。

三、Azure 目錄服務(wù)（AD）

3.1 什么是 Azure AD

Azure Active Directory (Azure AD) 是一種目錄服務(wù)，可用于登錄并訪問開發(fā)的 Microsoft 云應(yīng)用程序和云應(yīng)用程序。 Azure AD 還可助你維護本地 Active Directory 部署。

簡單來說，Azure 目錄服務(wù)可以理解為組織的數(shù)字身份管理中心。它允許組織集中管理用戶帳戶、組織結(jié)構(gòu)和應(yīng)用程序訪問權(quán)限。通過 Azure 目錄服務(wù)，您可以創(chuàng)建和管理用戶帳戶、分配和撤銷訪問權(quán)限，并監(jiān)控和審計用戶的活動。

使用 Azure 目錄服務(wù)，您可以實現(xiàn)單點登錄（Single Sign-On），這意味著用戶只需要一次登錄憑據(jù)即可訪問多個應(yīng)用程序和服務(wù)，提高了用戶體驗和工作效率。它還提供多因素身份驗證，以加強安全性，例如使用短信驗證碼、令牌或生物識別。

Azure 目錄服務(wù)還與其他 Azure 服務(wù)和第三方應(yīng)用程序集成，可以作為身份驗證和授權(quán)的中心，使組織能夠輕松地擴展和管理其云資源。此外，Azure 目錄服務(wù)還支持混合環(huán)境，可以與本地 Active Directory 集成，使組織能夠在云和本地之間建立信任關(guān)系。

關(guān)鍵點總結(jié)：

• 常見一般被叫做 Azure AD
• 是基于云的 Identity（身份）服務(wù)
• 可以與現(xiàn)有的本地 Active Directory 同步，也可以獨立使用。 允許在云（例如 Microsoft 365）、移動本地應(yīng)用程序中共享身份。
• 免費套餐無 SLA，標準和高級套餐為 99.9%
• 可以常見的服務(wù)有：
  • Authentication（身份驗證）
    • 自助密碼重置
    • 多重驗證 Multi-factor authentication (MFA/2FA)
    • 自定義禁止密碼列表和智能鎖定服務(wù)。
  • 單點登錄（SSO）
  • 應(yīng)用程序管理。使用 Azure AD 應(yīng)用程序代理、SSO、我的應(yīng)用程序門戶（也稱為訪問面板）和 SaaS 應(yīng)用程序管理云和本地應(yīng)用程序。
  • 企業(yè)對企業(yè) (B2B) 身份服務(wù)：管理來賓用戶和外部合作伙伴。
  • 企業(yè)對客戶 (B2C) 身份服務(wù)：自定義和控制用戶在使用應(yīng)用程序和服務(wù)時如何注冊、登錄和管理他們的個人資料。
  • 進行設(shè)備管理
    • 管理您的云或本地設(shè)備訪問公司數(shù)據(jù)的方式。

3.2 Azure AD 的外部標識

外部標識是組織外部的人員、設(shè)備、服務(wù)等。 Azure AD 外部標識是指可以安全地與組織外部用戶交互的所有方式。

外部標識聽起來類似于單一登錄。 借助外部標識，外部用戶可以“自帶標識”。無論他們是具有公司或政府頒發(fā)的數(shù)字標識，還是具有 Google 或 Facebook 等非托管社交標識，他們都可以使用自己的憑據(jù)登錄。 外部用戶的標識提供者管理他們的標識，而你可以使用 Azure AD 或 Azure AD B2C 管理對應(yīng)用的訪問，以便保護資源。

3.2.1 企業(yè)對企業(yè) (B2B) 協(xié)作

通過讓外部用戶使用其首選標識登錄 Microsoft 應(yīng)用程序或其他企業(yè)應(yīng)用程序（SaaS 應(yīng)用、自定義開發(fā)的應(yīng)用等）來與之協(xié)作。 目錄中通常以來賓用戶形式展示 B2B 協(xié)作用戶。

3.2.2 B2B 直連

與其他 Azure AD 組織建立雙向信任以實現(xiàn)無縫協(xié)作。 B2B 直連目前支持 Teams 共享通道，讓外部用戶可以在其 Teams 本實例中訪問你的資源。 你的目錄中不顯示 B2B 直連用戶，但此類用戶在 Teams 共享通道中可見，且能在 Teams 管理中心報告中對其進行監(jiān)視。

3.2.3 Azure AD 企業(yè)對客戶 (B2C)

向使用者和客戶發(fā)布新式 SaaS 應(yīng)用或自定義開發(fā)的應(yīng)用（Microsoft 應(yīng)用除外），同時使用 Azure AD B2C 進行標識和訪問管理。

四、Azure 身份驗證方法

Azure 支持多種身份驗證方法，包括標準密碼、單一登錄 (SSO)、多重身份驗證 (MFA) 和無密碼身份驗證。

這里無論是 Azure 還是我們普通開發(fā)的時候，或多或少都有接觸到這幾種身份驗證方法，在很長一段時間里，安全性和便利性似乎相互矛盾。 值得慶幸的是，新的身份驗證解決方案既提供了安全性，又提供了便利性。

無密碼身份驗證安全性高、便利性高，密碼本身安全性低、便利性高。

4.1 單點登錄（SSO）

Azure單點登錄（SSO）是一種身份驗證和訪問管理機制，允許用戶通過一次登錄來訪問多個相關(guān)應(yīng)用程序和服務(wù)，而無需在每個應(yīng)用程序中單獨進行身份驗證。

具體而言，Azure SSO使用一組標準和協(xié)議（如SAML、OAuth和OpenID Connect），使用戶在通過一次身份驗證后，可以無縫地訪問多個與Azure AD集成的應(yīng)用程序和服務(wù)。

以下是Azure單點登錄的工作原理：

1. 用戶登錄：用戶通過身份驗證提供憑據(jù)（如用戶名和密碼）登錄到Azure AD（Azure Active Directory）。

2. 頒發(fā)令牌：一旦用戶通過身份驗證，Azure AD將頒發(fā)一個安全令牌，該令牌包含有關(guān)用戶身份驗證成功的信息。

3. 令牌傳遞：用戶嘗試訪問需要身份驗證的應(yīng)用程序時，他們的瀏覽器或應(yīng)用程序?qū)⒘钆苽鬟f給應(yīng)用程序。

4. 令牌驗證：應(yīng)用程序接收到令牌后，會將其發(fā)送到Azure AD進行驗證。Azure AD驗證令牌的簽名和有效性，并確認用戶的身份。

單點登錄：如果令牌驗證成功，用戶將被視為已經(jīng)通過身份驗證，并且可以無需再次登錄即可訪問應(yīng)用程序。這樣，用戶可以在不需要重新輸入憑據(jù)的情況下無縫切換和訪問其他與Azure AD集成的應(yīng)用程序。

單點登錄僅與初始驗證器一樣安全，因為后續(xù)連接都基于初始驗證器的安全性。

4.2 多重身份驗證

多重身份驗證是在登錄過程中提示用戶提供額外形式（或因素）的身份驗證的過程。 MFA 有助于防范密碼泄露（在密碼已泄露但第二個因素未被泄露的情況下）。

多重身份驗證通過限制憑據(jù)暴露（例如，用戶名和密碼被盜）的影響來提高標識安全性。 啟用多重身份驗證后，擁有用戶密碼的攻擊者還需擁有用戶手機或指紋才能進行完整驗證。

比較多重身份驗證和單因素身份驗證。 在單點身份驗證下，攻擊者只需用戶名和密碼即可進行驗證。 應(yīng)盡可能地啟用多重身份驗證，因為這樣可以極大地提高安全性。

4.3 無密碼身份驗證

MFA 等功能是保護組織的一種好方法，但用戶通常對必須記住密碼之外的其他安全保護感到沮喪。 當這樣做簡單方便時，用戶更有可能遵守這一點。 無密碼身份驗證方法更為方便，因為密碼會被刪除并替換為你指定的內(nèi)容，以及你自己的或你已知的內(nèi)容。

比較常見的例子是，你登陸windows的時候，除了使用密碼驗證登錄外，你還可以使用 PIN 或者指紋登陸。

當涉及身份驗證時，每個組織都有不同的需求。 Microsoft 全球 Azure 和 Azure 政府提供了下面 3 個與 Azure Active Directory (Azure AD) 集成的無密碼身份驗證選項：

• Windows Hello 企業(yè)版
• Microsoft Authenticator 應(yīng)用
• FIDO2 安全密鑰

五、文末總結(jié)

本文介紹了與Azure相關(guān)的身份和訪問管理的概念和服務(wù)。首先，我們了解了"Identity"、"Authentication"和"Authorization"的含義和區(qū)別。接著，我們深入探討了Azure目錄服務(wù)（Azure Active Directory）及其功能，包括Azure AD、Azure AD的外部標識、企業(yè)對企業(yè)（B2B）協(xié)作和Azure AD企業(yè)對客戶（B2C）等方面。

在身份驗證方面，我們了解了Azure提供的不同身份驗證方法，包括單點登錄（SSO），它允許用戶通過一次登錄來訪問多個與Azure AD集成的應(yīng)用程序和服務(wù)，以提高用戶體驗和工作效率。此外，還介紹了多重身份驗證和無密碼身份驗證等安全措施。

總的來說，Azure提供了強大而靈活的身份和訪問管理解決方案，幫助組織確保安全、高效地管理用戶和應(yīng)用程序的訪問。通過Azure目錄服務(wù)和不同的身份驗證方法，組織可以實現(xiàn)集中的身份管理、單點登錄和強化的安全性，從而提升用戶體驗和數(shù)據(jù)保護的水平。文章來源地址http://www.zghlxwxcb.cn/news/detail-493192.html

[ 本文作者 ]   bluetata
[ 原文鏈接 ]   https://bluetata.blog.csdn.net/article/details/131012518
[ 最后更新 ]   06/20/2023 2:42
[ 版權(quán)聲明 ]   如果您在非 CSDN 網(wǎng)站內(nèi)看到這一行，
說明網(wǎng)絡(luò)爬蟲可能在本人還沒有完整發(fā)布的時候就抓走了我的文章，
可能導(dǎo)致內(nèi)容不完整，請去上述的原文鏈接查看原文。

到了這里，關(guān)于【Azure】微軟 Azure 基礎(chǔ)解析（九）Azure 標識、身份管理、Azure AD 的功能與用途的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！