Hoy vamos a seguir con la segunda parte de la nota publicada Comprendiendo las soluciones de identidad Azure {Parte1}. Espero les sea de interés y utilidad. Saludos, Roberto Di Lello.
—-
Conceptos para entender
Ahora que conoce los términos básicos de identidad de Azure, debe obtener más información sobre estos conceptos de identidad de Azure que lo ayudarán a tomar una decisión informada sobre el servicio de identidad de Azure.
How Azure subscriptions are associated with Azure Active Directory -Cómo las suscripciones de Azure están asociadas con Azure Active Directory-
Cada suscripción de Azure tiene una relación de confianza con un directorio de Azure AD para autenticar usuarios, servicios y dispositivos. Las suscripciones múltiples pueden confiar en el mismo directorio de Azure AD, pero una suscripción solo confiará en un solo directorio de Azure AD . Esta relación de confianza no se parece a la relación que tiene una suscripción con otros recursos de Azure (sitios web, bases de datos, etc.), que se parecen más a los recursos secundarios de una suscripción. Si caduca una suscripción, también se detiene el acceso a los recursos asociados con la suscripción que no sea Azure AD. Sin embargo, el directorio de Azure AD permanece en Azure, por lo que puede asociar otra suscripción con ese directorio y continuar administrando los recursos de los inquilinos.
How Azure AD licensing works -Cómo funciona la licencia de Azure AD-
Cuando compra o activa Enterprise Mobility Suite, Azure AD Premium o Azure AD Basic, su directorio se actualiza con la suscripción, incluido su período de validez y las licencias prepagas. Una vez que la suscripción está activa, los administradores globales de Azure AD pueden administrar el servicio y ser utilizado por usuarios con licencia. Su información de suscripción, incluida la cantidad de licencias asignadas o disponibles, está disponible en el portal de Azure desde Azure Active Directory > Hoja de licencias . Este es también el mejor lugar para administrar sus asignaciones de licencia.
Role-Based Access Control in the Azure portal -Control de acceso basado en roles en el portal de Azure-
El Control de acceso basado en roles Azure (RBAC) ayuda a proporcionar una gestión de acceso detallada para los recursos de Azure. Demasiados permisos pueden exponer y dar cuenta a los atacantes. Demasiados permisos significa que los empleados no pueden realizar su trabajo de manera eficiente. Con RBAC, puede otorgar a los empleados los permisos exactos que necesitan en función de tres funciones básicas que se aplican a todos los grupos de recursos: propietario, colaborador, lector. También puede crear hasta 2,000 de sus propios roles de RBAC personalizados para satisfacer sus necesidades específicas.
Hybrid identity -Identidad híbrida-
La identidad híbrida se logra al integrar su Windows Server Active Directory local (AD DS) con Azure AD mediante Azure AD Connect . Esto le permite proporcionar una identidad común para sus usuarios de Office 365, Azure y aplicaciones locales o aplicaciones SaaS integradas con Azure AD. Con la identidad híbrida, extiende efectivamente su entorno local a la nube en busca de identidad y acceso.
La diferencia entre Windows Server AD DS y Azure AD
Tanto Azure Active Directory (Azure AD) como Active Directory local (Active Directory Domain Services o AD DS) son sistemas que almacenan datos de directorio y administran la comunicación entre usuarios y recursos, incluidos los procesos de inicio de sesión de usuarios, autenticación y búsquedas en directorios.
Si ya está familiarizado con los Servicios de dominio de Active Directory (AD DS) de Windows Server local, que se presentaron por primera vez con Windows 2000 Server, entonces probablemente comprenda el concepto básico de un servicio de identidad. Sin embargo, también es importante entender que Azure AD no es solo un controlador de dominio en la nube. Es una forma completamente nueva de proporcionar identidad como servicio (IDaaS) en Azure que requiere una forma de pensar completamente nueva para abarcar completamente las capacidades basadas en la nube y proteger a su organización de las amenazas modernas.
AD DS es una función de servidor en Windows Server, lo que significa que se puede implementar en máquinas físicas o virtuales. Tiene una estructura jerárquica basada en X.500. Utiliza DNS para localizar objetos, se puede interactuar con LDAP y principalmente utiliza Kerberos para la autenticación. Active Directory habilita unidades organizativas (OU) y objetos de directiva de grupo (GPO) además de unir máquinas al dominio y se crean trusts entre dominios.
TI ha protegido su perímetro de seguridad durante años usando AD DS, pero las empresas modernas sin perímetro que soportan necesidades de identidad para empleados, clientes y socios requieren un nuevo plano de control. Azure AD es ese plano de control de identidad. La seguridad ha pasado del firewall corporativo a la nube, donde Azure AD protege los recursos y el acceso de la compañía al proporcionar una identidad común para los usuarios (ya sea en las instalaciones o en la nube). Esto brinda a los usuarios la flexibilidad de acceder de forma segura a las aplicaciones que necesitan para realizar su trabajo desde casi cualquier dispositivo. También se proporcionan controles de protección de datos basados en riesgos sin problemas, respaldados por capacidades de aprendizaje automático e informes en profundidad, que TI necesita mantener seguros los datos de la empresa.
Azure AD es un servicio de directorio público de múltiples clientes, lo que significa que dentro de Azure AD puede crear un inquilino para sus servidores en la nube y aplicaciones como Office 365. Los usuarios y grupos se crean en una estructura plana sin OU ni GPO. La autenticación se realiza a través de protocolos como SAML, WS-Federation y OAuth. Es posible consultar Azure AD, pero en lugar de usar LDAP debe usar una API REST llamada AD Graph API. Todo esto funciona a través de HTTP y HTTPS.
Amplíe las capacidades de administración y seguridad de Office 365
¿Ya estás usando Office 365? Puede acelerar su transformación digital al ampliar las capacidades integradas de Office 365 con Azure AD para asegurar todos sus recursos, lo que permite una productividad segura para toda su fuerza de trabajo. Cuando usa Azure AD, además de las capacidades de Office 365, puede proteger todo su portafolio de aplicaciones con una sola identidad que permite el inicio de sesión único para todas las aplicaciones. Puede ampliar sus capacidades de acceso condicional basadas no solo en el estado del dispositivo, sino también en el usuario, la ubicación, la aplicación y el riesgo. Las capacidades de autenticación de múltiples factores (MFA) brindan aún más protección cuando la necesita. Obtendrá una supervisión adicional de los privilegios del usuario y proporcionará acceso administrativo a petición y justo a tiempo. Sus usuarios serán más productivos y crearán menos tickets de asistencia técnica, gracias a las capacidades de autoservicio que ofrece Azure AD, como restablecer contraseñas olvidadas, solicitudes de acceso a aplicaciones y crear y administrar grupos.
Soluciones de identidad de Microsoft Azure
Microsoft Azure ofrece varias formas de administrar las identidades de sus usuarios, ya sea que se mantengan completamente en las instalaciones, solo en la nube, o incluso en algún punto intermedio. Estas opciones incluyen: AD DS de bricolaje (DIY) en Azure, Azure Active Directory (Azure AD), Hybrid Identity y Azure AD Domain Services.
Hágalo usted mismo (DIY) AD DS
Para las empresas que solo necesitan una pequeña huella en la nube, se puede utilizar AD DS de bricolaje (DIY) en Azure. Esta opción admite muchos escenarios de Windows Server AD DS que son adecuados para la implementación como máquinas virtuales (VM) en Azure. Por ejemplo, puede crear una VM Azure como un controlador de dominio que se ejecuta en un centro de datos lejano que está conectado a la red remota. A partir de ahí, la VM podría admitir solicitudes de autenticación de usuarios remotos y mejorar el rendimiento de la autenticación. Esta opción también es adecuada como un sustituto de bajo costo para los sitios de recuperación de desastres que, de otro modo, serían costosos al hospedar una pequeña cantidad de controladores de dominio y una única red virtual en Azure. Por último, es posible que necesite implementar una aplicación en Azure, como SharePoint, que requiere Windows Server AD DS, pero no tiene dependencia de la red local ni del Active Directory corporativo de Windows Server. En este caso, podría implementar un bosque aislado en Azure para cumplir con los requisitos de la granja de servidores de SharePoint. También es compatible para implementar aplicaciones de red que requieren conectividad a la red local y al Active Directory local.
Azure Active Directory (Azure AD)
Azure AD standalone es una solución basada en la nube de Identity and access management as a Service (IDaaS). Azure AD le brinda un sólido conjunto de capacidades para administrar usuarios y grupos. Ayuda a asegurar el acceso a aplicaciones locales y en la nube, incluidos los servicios web de Microsoft como Office 365, y muchas aplicaciones de software como servicio (SaaS) que no son de Microsoft. Azure AD viene en tres ediciones: gratuita, básica y premium. Azure AD aumenta la eficacia de la organización y extiende la seguridad más allá del firewall perimetral a un nuevo plano de control protegido por aprendizaje automático de Azure y otras características de seguridad avanzadas.
Identidad híbrida
En lugar de elegir entre soluciones de identidad basadas en la nube o locales, muchos CIO y empresas con visión de futuro, que han comenzado a anticipar la dirección a largo plazo de su empresa, están extendiendo sus directorios locales a la nube a través de soluciones de identidad híbrida . Con la identidad híbrida, obtienes una solución de gestión de acceso e identidad verdaderamente global que proporciona acceso seguro y productivo a las aplicaciones que los usuarios necesitan para realizar su trabajo.
Servicios de dominio de Azure AD
Azure AD Domain Services proporciona una opción basada en la nube para usar AD DS para el ligero control de configuración de Azure VM y una forma de cumplir con los requisitos de identidad locales para el desarrollo y la prueba de aplicaciones de red. Los Servicios de dominio de Azure AD no están diseñados para elevar y cambiar su infraestructura local de AD DS a las máquinas virtuales de Azure administradas por los servicios de dominio de Azure AD. En su lugar, las máquinas virtuales Azure en dominios administrados se deben usar para admitir el desarrollo, las pruebas y el movimiento de las aplicaciones locales que requieren métodos de autenticación AD DS para la nube.
Escenarios comunes y recomendaciones
Aquí hay algunos escenarios comunes de identidad y acceso con recomendaciones sobre qué opción de identidad de Azure podría ser la más adecuada para cada uno.