Azure Active Directory im Überblick: SSO, Sync, Management, Versionen

    Azure Active DirectoryDas Azure Active Directory (AAD) dient wie Windows Server Active Directory der Authenti­fizierung und der Verwal­tung von IT-Ressourcen. Es verein­facht das Management von Hybrid Clouds, wenn sich Benutzer für SaaS am AAD anmelden können. Vorhandene Objekte aus dem On-Premises-Verzeich­nis lassen sich mit der Cloud-Variante synchro­nisieren.

    Zahlreiche SaaS (Software as a Service) Applikationen, wie beispiels­weise Office 365, Intune oder Dynamics, benötigen das Azure AD für die Identitäts- und Zugangs­kontrolle. Wer bereits Office 365 im Unternehmen einsetzt, hat vermutlich bemerkt, dass sich die Nutzerver­waltung im Office Admin Center auf eine Basisvariante von Azure AD stützt. Benutzer lassen sich daher direkt im Azure Portal oder über das Office 365 Admin Center anlegen.

    Office 365 und Azure AD stehen in enger Verbindung.

    Wenn Unternehmen eigene Anwendungen auf Azure einsetzen, dann könnten sie dafür die Benutzer auch über ein internes AD authenti­fizieren. Zu diesem Zweck müsste allerdings ein Site-to-Site-VPN Tunnel eingerichtet werden. Alternativ ist es möglich eine Azure-VM mit Windows Server zu buchen (IaaS) und dort einen DC zu promoten, welcher sich mit dem internen AD gegebenenfalls repliziert.

    Der dafür nötige Aufwand, wiederkehrende Wartungsarbeiten und wichtige Redundanzen können entfallen, wenn man statt­dessen auf die hochverfügbaren Azure AD Domänendienste inkl. Kerberos- und NTLM Authentifizierung setzt. Azure AD generell bietet zudem weitere Vorteile, wie etwa die Unter­stützung für eine mehrstufige Authenti­fizierung (Multifaktor-Authentifizierung). Damit lässt sich die unsichere Anmeldung über Benutzername und Passwort optimieren.

    Ein weiterer Pluspunkt für diesen Verzeichnisdienst besteht in der einfachen Bericht­erstellung, die unteranderem unbekannte Zugriffe protokolliert und zusätzlich Aufschluss über geografische Anmeldeversuche ausgibt.

    Single Sign-On mit Azure AD

    Nutzen Unternehmen eine große Zahl von Applikationen, dann sollten diese nach Möglichkeit eine Authenti­fizierung gegen das AD erlauben. Während die meisten herkömm­lichen Business-Anwendungen diese Anfor­derungen heutzutage erfüllen, basieren immer noch viele Cloud-  und On-Prem-Dienste auf einer separaten Benutzer­verwaltung.

    Ein Single Sign-On über AAD ist für viele Anwender und Microsoft selbst wünschenwert. Um den Kunden die Auswahl anhand dieses Kriteriums zu erleichtern, nimmt der Hersteller Applikationen in den Active Directory Marketplace auf, wenn sie SSO unterstützen.

    Single-Sign-on mit Azure AD und Windows Server Active Directory.

    Azure AD bietet darüber hinaus Mechanismen, um Anwendungen für ein SSO zu befähigen, auch wenn deren Entwickler dies nicht vorgesehen haben. Sobald sie SAML 2.0 unterstützen, können diese als Custom App konfiguriert werden.

    Aber selbst solche Cloud-Dienste, die nur die Anmeldung über ein HTML-Formular bieten, lassen sich für SSO aktivieren. In diesem Fall kann Azure AD die Zugangs­daten verschlüsselt in einem Secure Vault speichern und auf diese Weise eine Vertrauens­beziehung aufbauen.

    Der SSO-Account macht das Leben für Benutzer und Admini­stratoren zweifellos leichter und sicherer, für Letztere auch dann, wenn Mitarbeiter das Unter­nehmen verlassen und sie keinen Zugriff auf die IT-Ressourcen mehr haben sollen. Auf der anderen Seite birgt ein solches Konto aufgrund seiner Applikations­erreichbarkeit auch Risiken.

    Azure AD Connect Synchronisation

    Die meisten Unternehmen haben, bevor sie den Schritt in die Cloud gehen, bereits ein Active Directory im Einsatz. Doch wie kommt Azure AD nun an diese Identitäten aus dem On-Premise-Umfeld, wenn eine hybride Infrastruktur angestrebt wird?

    Es gibt zwei bevorzugte Möglichkeiten für eine derartige Synchro­nisation. Zum einen durch die Active Directory Federation Services (AD FS) und zum anderen mit der einfachen Methode mittels Azure AD Connect. Beim AAD Connect sorgt eine Software für die nötige Kommunikation zwischen den Welten.

    Ausgangspunkt für die Synchronisation ist ein Windows Server Active Directory, welches die Benutzerattribute inklusive des Passwort-Hash zur Verfügung stellt. Eine Authenti­fizierung erfolgt anschließend gegen das Azure AD.

    Management: Classic vs. neues Azure-Portal

    Azure AD wird über das klassische Portal administriert und derzeit Schritt für Schritt in das neue Portal überführt. Die erste Phase ist abgeschlossen und die Kernfunktionen sind in der Preview bereits verfügbar.

    Azure AD im neuen Portal verwalten

    Microsoft verspricht in den nächsten Monaten alle Features in das neue Portal zu überführen und darüber hinaus neue zu integrieren. Schon jetzt macht sich die übersicht­liche Struktur positiv bemerkbar. Klickt man beispielsweise einen User über Benutzer und Gruppen an, erreicht man dessen Übersicht und einen Graph mit den letzten Anmeldedaten.

    Durch die Kachel­struktur erhält der Administrator eine Dashboard-Ansicht, da sich diese Kacheln bekanntlich auf der Oberfläche anheften lassen. Gerade Enterprise-ADs profitieren von dieser Übersichtlichkeit.

    Versionen von Azure Active Directory

    Derzeit gibt es drei verschiedene Versionen von Azure Active Directory: die kostenlose Edition, Basic und Premium. Sie bieten folgende Features:

    • Free: Benutzer- und Gruppenverwaltung, Geräteregistrierung, Single Sign-On für 10 Apps pro User, Self-Service für das Ändern von Passwörtern, Synchronisation mit dem On-Premise Active Directory, Beitritt von Windows 10.
    • Basic: Diese Edition beinhaltet alle Features der Free Variante und darüber hinaus keine Limitierung der Verzeichnis-Objekte, Passwort-Reset als Self-Service, Applikations-Proxy, SLA von 99,9 Prozent, Company Branding.
    • Premium: Diese Edition beinhaltet alle Features der Basic Variante plus Gruppenverwaltung als Self-Service, Multifaktor-Authenti­fizierung für die Cloud und On-Premise, eine erweiterte Reportfunktion, Lizenzen für Identity Manager, kein Limit für Single Sign-On.

    Keine Kommentare