Windows 10 – Azure Active Directory – Übersicht

Pirat,

in vielen Workshops zu Windows 10 oder MDM kommen wir immer wieder an den Punkt, dass wir darüber diskutieren, wie denn zukünftig Clients bzw. Devices angebunden werden. Natürlich thematisieren wir dabei immer wieder Azure AD. Grund genug, dass wir uns damit hier mal beschäftigen.

Generell ist es so, dass alle Microsoft Online Services die Authentifizierung via Azure AD (AAD) abwickeln. Also egal, ob du O365 (Exchange Online, SharePoint Online, etc.) oder Services aus Azure (OMS, Azure RemoteApps, etc.) verwendest – die Authentifizierung erfolgt immer über Azure AD.

Allem vorweg: Es gibt drei Modelle oder Editionen von Azure Active Directory:

  • Free
  • Basic
  • Premium

Einen detaillierten Überblick, welches Feature in welcher Edition verfügbar ist findest du hier: Azure Active Directory editions und hier: Azure Active Directory – Preise

Nun zum Szenario:

 

Der User des Windows 10 Clients möchte einen Azure Service nutzen (klassisches SaaS Szenario). Hierzu startet er seinen Browser und gibt die URL: https://login.microsoftonline.com an. Er gelangt zum Microsoft Azure Portal und hat nun 3 Möglichkeiten:

Die Anmeldung mit

  • einer Microsoft Live ID
  • einer Cloud Identity (@[Tenant].onmicrosoft.com)
  • einer Hybriden ID (@Domäne.de)

Das bedeutet also wir haben drei Accounttypen bzw. drei Anmeldeverfahren.

Die Anmeldung via Microsoft Live ID.

Wie du dir wahrscheinlich denken kannst, passiert hier alles bei Microsoft, das bedeutet es werden keinerlei Credentials mit der On Premise Umgebung ausgetauscht, sondern du authentifizierst dich über das Microsoft Account Verfahren.

 

Die Anmeldung mit einer Cloud Identität

Beim Modell der Cloud Identität werden Benutzer komplett über das O365 Admin Center erstellt und verwaltet.

Vorteile dieses Szenarios:

  • die Azure AD Domänendienste können verwendet werden um Zugriffe auf Ressourcen innerhalb der Azure Services zu verwalten
  • das komplette Update Management der AD Dienste wird hierbei von Microsoft verwendet
  • die Umgebung läuft unabhängig von der On-Premise Umgebung und bietet eine hohe Verfügbarkeit / Ausfallsicherheit
  • es wird keine zusätzliche Infrastruktur benötigt

Nachteile dieses Szenarios:

  • eigenständiges Passwort (kein Sync zur lokalen Domäne möglich)
  • die Autorisierung ist ebenfalls eigenständig (kein SSO möglich)

Nach erfolgreicher Anmeldung können die verfügbaren Service genutzt werden.

 

Die Anmeldung mit einer hybriden Identität

Das hybride Anmeldeverfahren wird unterteilt in zwei Modelle:

  • Synchronisierte Identität
  • Verbundidentität

Für beide Anmeldevarianten können Microsoft Tools genutzt werden wie beispielsweise (DirSync, Azure Active Directory Sync, Azure Active Directory Connect). In unserem Beispiel werden wir mit AAD Connect arbeiten.

Bei der Synchronisierten Identität (“Synchronized Identity“) wird die Benutzeridentität auf einem lokalen Active Directory Server erstellt und verwaltet. Azure AD Connect synchronisiert die definierten Benutzerattribute zwischen der lokalen Domäne und Azure AD. Je nach Konfiguration werden die Daten meist nur von lokalen AD in Richtung Azure AD synchronisiert (Ausnahme bspw. Azure User-Self-Service Password-Reset-Portal). Zusätzlich bietet AAD die Möglichkeit Passwörter zu synchronisieren. Hierbei werden allerdings nicht die Passwörter im Klartext übermittelt, sondern es wird ein Passwort Hash gebildet, der ebenfalls verschlüsselt wird.

Vorteile der synchronisierten Identität:

  • hohe Verfügbarkeit – selbst wenn die Verbindung zur On-Premise Umgebung nicht möglich ist, ist die Cloud Anmeldung möglich
  • im Vergleich zur Cloud Identität muss nur ein Benutzerobjekt gepflegt werden (weniger Overhead)
  • die Implementierung ist einfach

Nachteile der synchronisierten Identität

  • kein Single Sign On
  • Verzögerungen müssen mit eingerechnet werden

Bei der Verbundidentität (“Federated Identity”) wird die Benutzeridentität ebenfalls auf einem lokalen Active Directory Server erstellt und verwaltet. Wie bei der synchronisierten Identität werden die Benutzerattribute ins Azure Active Directory synchronisiert. Der Unterschied zwischen beiden Methoden liegt im Umgang mit Passwörtern, da in diesem Verfahren zusätzlich mit einem Active Directory Federation Server (ADFS) gearbeitet wird. Das bedeutet, in unserem Beispiel, dass die Authentifizierung gegenüber des Clouddienstes (bspw. Office 365) von Azure AD weitergeleitet wird an unserem lokalen Identitätsprovider (ADFS).

ADFS prüft die angegebenen Daten gegenüber dem lokalen Active Directory. Ist dieser Vorgang erfolgreich erstellt ADFS einen gültigen Token, der wiederum von Azure AD geprüft wird und dann die Authentifizierung akzeptiert.

 

Vorteile der Verbundidentität:

  • Single Sign On (kann ausschließlich mit federated identity” erreicht werden)
  • keine Übertragung von Passwörtern
  • keine Verzögerung durch vorhergehende Synchronisierung

Nachteile der Verbundidentität:

  • höhere Komplexität

Cheers,

*Cpt.

Sende eine Antwort zu „Windows 10 – Azure Active Directory – Übersicht“

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

© 2017 IT-Pirate