云中Active Directory是如何工作的?

日期: 2016-03-01 作者:Stephen J. Bigelow翻译:邹雅玲 来源:TechTarget中国 英文

微软公司1999年在Windows Server 2000中引入Active Directory功能。后期的Windows Server版本中陆续进行改善提升,Windows环境内的用户认证和身份管理都会有相关的目录服务。云计算环境中,微软公司还为企业提供了Active Directory,需要以服务应用程序的身份跨软件访问控制权限。 Active Directory(简称AD)为所有用户分配并强制执行一系列安全策略,限制用户执行任务的范围。

例如,AD将会检查用户凭证,并判断此次登陆是否有正规用户或者管理员权限,如果是正规的,那么便会被授予服务、应用程序以及相关权限。 随着微软公司云服务的发布……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

微软公司1999年在Windows Server 2000中引入Active Directory功能。后期的Windows Server版本中陆续进行改善提升,Windows环境内的用户认证和身份管理都会有相关的目录服务。云计算环境中,微软公司还为企业提供了Active Directory,需要以服务应用程序的身份跨软件访问控制权限。

Active Directory(简称AD)为所有用户分配并强制执行一系列安全策略,限制用户执行任务的范围。例如,AD将会检查用户凭证,并判断此次登陆是否有正规用户或者管理员权限,如果是正规的,那么便会被授予服务、应用程序以及相关权限。

随着微软公司云服务的发布, Azure AD似乎为多用户云环境提供了相同的目录和身份管理基础套件。Azure AD可以为云应用提供单点登录服务(简称SSO),例如Salesforce、Dropbox、Office 365以及其他数不胜数的软件即服务(简称SaaS)应用程序。云开发人员甚至可以将Azure AD功能集成到软件中,实现云部署开发,让其他Windows AD组织可以更轻松地集成和使用这些应用程序。

但是,其实Azure AD真正的价值在于其一套的身份管理功能,例如用户账号及特权账号管理、设备注册管理、用户认证管理(其中包括多因素身份验证)、密码管理、群组管理、基于角色的访问控制(简称RBAC)、应用程序使用情况追踪、审计、报导等其他功能。汇聚起来,AD可以有助于保护使用Windows平台(如今是Azure平台)的企业安全,确保用户或者群组可以有权限访问所需服务。Azure AD同样也在本地数据中心中与Windows AD进行集成优化,可以使内部AD管理云资产。

当创建Azure订阅时,Azure AD数据库就会与之相连。IT员工负责云计算管理,然后,可以使用Azure AD授予订阅Azure的用户、群组以及应用程序访问资源的权限。

通过RBAC我们可以访问Azure资源。这就意味着我们最初需要创建许多AD角色来定义资产或资源中的每个角色在Azure订阅内的访问权限。Azure提供三个基础角色:所有者、贡献者和读者。所有者能够访问Azure内的所有资源并且控制其他管理人员的访问权限。贡献者可以创建和管理Azure资源,但是却不能改变其他人员的访问权限。读者只能浏览现有资源。除了基础角色外,Azure资源内还存在其他角色,创建或者制定这些角色的作用是满足企业需求。

现如今,用户账户已建立、群组已确定并得到认可、应用程序也已经部署完毕,那么我们就应该实施合适的AD角色。我们可以根据订阅资源、特定群组或者个人资源访问范围来实施各项角色,例如特定的虚拟机(VM)、网站、存储实例等等。

与Windows AD一样,Azure AD也是分层级进行操作的。这就意味着,某一级别(父级)的访问权限将会扩展到所有低层次(子级)。例如,通过创建群组并在订阅范围内分配好读者角色,那么所有群组成员都能够查看订阅资源内的资源。相比之下,如果管理人员将某一用户分配为资源群组内的贡献者,那么该用户能够管理本群组内的任何资源,例如创建新的VM,但是在其他群组内却没有任何作用。

这种管理角色非常灵活且强大,但是对于管理员来说,认真、合理地分配角色和范围来维持适当的安全态势是非常重要的。许多组织已经实施了如何分配用户及群组权限的政策,这些政策经常更新完善,从而能够及时反映Azure订阅的使用情况。

作者

Stephen J. Bigelow
Stephen J. Bigelow

数据中心和虚拟化网站的高级技术编辑,拥有20年的PC和技术写作经验。

相关推荐

  • 微软Azure门户界面正在发生哪些转变?

    对初次使用微软Azure的人,当他们发现有两种在Azure公有云上工作的方式时,会感到非常困惑。具体来说,两种工作方式指得是Azure服务管理器和Azure资源管理器应用程序编程接口。

  • Hyper-V MVP讲堂:微软与开源

    微软如今正在接受开源,并且将基于Linux的特性将逐渐延伸到Windows生态环境中。管理员们如何做好准备迎接这些技术呢?

  • Microsoft Identity Manager 2016的特性和好处

    一些企业将一些工作流放在云端,将一些应用保留在本地,管理员对于用户名和密码的同步是很挣扎的。幸运的是,Microsoft Identity Manager 2016来解救他们了。

  • 活动目录备份和恢复的工具与技巧 TOP5

    活动目录允许管理员通过实施和执行安全策略对用户和计算机进行管理。这里的TOP5活动目录工具与技巧可以帮助企业简化活动目录的备份和恢复过程。