{"id":3699,"date":"2018-06-29T20:32:00","date_gmt":"2018-06-29T23:32:00","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=3699"},"modified":"2018-07-15T20:45:53","modified_gmt":"2018-07-15T23:45:53","slug":"comprendiendo-las-soluciones-de-identidad-azure-parte2","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=3699","title":{"rendered":"Comprendiendo las soluciones de identidad Azure {Parte2}"},"content":{"rendered":"

Hoy vamos a seguir con la segunda parte de la nota publicada Comprendiendo las soluciones de identidad Azure {Parte1}<\/a>. Espero les sea de inter\u00e9s y utilidad. Saludos, Roberto Di Lello.<\/p>\n

—-<\/p>\n

\"www.radians.com.ar\"Conceptos para entender <\/h4>\n

Ahora que conoce los t\u00e9rminos b\u00e1sicos de identidad de Azure, debe obtener m\u00e1s informaci\u00f3n sobre estos conceptos de identidad de Azure que lo ayudar\u00e1n a tomar una decisi\u00f3n informada sobre el servicio de identidad de Azure.<\/p>\n

How Azure subscriptions are associated with Azure Active Directory<\/a> -C\u00f3mo las suscripciones de Azure est\u00e1n asociadas con Azure Active Directory-<\/p>\n

Cada suscripci\u00f3n de Azure tiene una relaci\u00f3n de confianza con un directorio de Azure AD para autenticar usuarios, servicios y dispositivos. Las suscripciones m\u00faltiples pueden confiar en el mismo directorio de Azure AD, pero una suscripci\u00f3n solo confiar\u00e1 en un solo directorio de Azure AD<\/em> . Esta relaci\u00f3n de confianza no se parece a la relaci\u00f3n que tiene una suscripci\u00f3n con otros recursos de Azure (sitios web, bases de datos, etc.), que se parecen m\u00e1s a los recursos secundarios de una suscripci\u00f3n. Si caduca una suscripci\u00f3n, tambi\u00e9n se detiene el acceso a los recursos asociados con la suscripci\u00f3n que no sea Azure AD. Sin embargo, el directorio de Azure AD permanece en Azure, por lo que puede asociar otra suscripci\u00f3n con ese directorio y continuar administrando los recursos de los inquilinos.<\/p>\n

How Azure AD licensing works<\/a> -C\u00f3mo funciona la licencia de Azure AD-<\/p>\n

Cuando compra o activa Enterprise Mobility Suite, Azure AD Premium o Azure AD Basic, su directorio se actualiza con la suscripci\u00f3n, incluido su per\u00edodo de validez y las licencias prepagas. Una vez que la suscripci\u00f3n est\u00e1 activa, los administradores globales de Azure AD pueden administrar el servicio y ser utilizado por usuarios con licencia. Su informaci\u00f3n de suscripci\u00f3n, incluida la cantidad de licencias asignadas o disponibles, est\u00e1 disponible en el portal de Azure desde Azure Active Directory<\/strong> > Hoja de licencias<\/strong> . Este es tambi\u00e9n el mejor lugar para administrar sus asignaciones de licencia.<\/p>\n

Role-Based Access Control in the Azure portal<\/a> -Control de acceso basado en roles en el portal de Azure-<\/p>\n

El Control de acceso basado en roles Azure (RBAC) ayuda a proporcionar una gesti\u00f3n de acceso detallada para los recursos de Azure. Demasiados permisos pueden exponer y dar cuenta a los atacantes. Demasiados permisos significa que los empleados no pueden realizar su trabajo de manera eficiente. Con RBAC, puede otorgar a los empleados los permisos exactos que necesitan en funci\u00f3n de tres funciones b\u00e1sicas que se aplican a todos los grupos de recursos: propietario, colaborador, lector. Tambi\u00e9n puede crear hasta 2,000 de sus propios roles de RBAC personalizados<\/a> para satisfacer sus necesidades espec\u00edficas.<\/p>\n

Hybrid identity<\/a> -Identidad h\u00edbrida-<\/p>\n

La identidad h\u00edbrida se logra al integrar su Windows Server Active Directory local (AD DS) con Azure AD mediante Azure AD Connect<\/a> . Esto le permite proporcionar una identidad com\u00fan para sus usuarios de Office 365, Azure y aplicaciones locales o aplicaciones SaaS integradas con Azure AD. Con la identidad h\u00edbrida, extiende efectivamente su entorno local a la nube en busca de identidad y acceso.<\/p>\n

La diferencia entre Windows Server AD DS y Azure AD<\/h4>\n

Tanto Azure Active Directory (Azure AD) como Active Directory local (Active Directory Domain Services o AD DS) son sistemas que almacenan datos de directorio y administran la comunicaci\u00f3n entre usuarios y recursos, incluidos los procesos de inicio de sesi\u00f3n de usuarios, autenticaci\u00f3n y b\u00fasquedas en directorios.   <\/p>\n

Si ya est\u00e1 familiarizado con los Servicios de dominio de Active Directory (AD DS) de Windows Server local, que se presentaron por primera vez con Windows 2000 Server, entonces probablemente comprenda el concepto b\u00e1sico de un servicio de identidad.  Sin embargo, tambi\u00e9n es importante entender que Azure AD no es solo un controlador de dominio en la nube.  Es una forma completamente nueva de proporcionar identidad como servicio (IDaaS) en Azure que requiere una forma de pensar completamente nueva para abarcar completamente las capacidades basadas en la nube y proteger a su organizaci\u00f3n de las amenazas modernas.   <\/p>\n

AD DS es una funci\u00f3n de servidor en Windows Server, lo que significa que se puede implementar en m\u00e1quinas f\u00edsicas o virtuales.  Tiene una estructura jer\u00e1rquica basada en X.500.  Utiliza DNS para localizar objetos, se puede interactuar con LDAP y principalmente utiliza Kerberos para la autenticaci\u00f3n.  Active Directory habilita unidades organizativas (OU) y objetos de directiva de grupo (GPO) adem\u00e1s de unir m\u00e1quinas al dominio y se crean trusts entre dominios.   <\/p>\n

TI ha protegido su per\u00edmetro de seguridad durante a\u00f1os usando AD DS, pero las empresas modernas sin per\u00edmetro que soportan necesidades de identidad para empleados, clientes y socios requieren un nuevo plano de control.  Azure AD es ese plano de control de identidad.  La seguridad ha pasado del firewall corporativo a la nube, donde Azure AD protege los recursos y el acceso de la compa\u00f1\u00eda al proporcionar una identidad com\u00fan para los usuarios (ya sea en las instalaciones o en la nube).  Esto brinda a los usuarios la flexibilidad de acceder de forma segura a las aplicaciones que necesitan para realizar su trabajo desde casi cualquier dispositivo.  Tambi\u00e9n se proporcionan controles de protecci\u00f3n de datos basados en riesgos sin problemas, respaldados por capacidades de aprendizaje autom\u00e1tico e informes en profundidad, que TI necesita mantener seguros los datos de la empresa.   <\/p>\n

Azure AD es un servicio de directorio p\u00fablico de m\u00faltiples clientes, lo que significa que dentro de Azure AD puede crear un inquilino para sus servidores en la nube y aplicaciones como Office 365. Los usuarios y grupos se crean en una estructura plana sin OU ni GPO.  La autenticaci\u00f3n se realiza a trav\u00e9s de protocolos como SAML, WS-Federation y OAuth.  Es posible consultar Azure AD, pero en lugar de usar LDAP debe usar una API REST llamada AD Graph API.  Todo esto funciona a trav\u00e9s de HTTP y HTTPS.   <\/p>\n

Ampl\u00ede las capacidades de administraci\u00f3n y seguridad de Office 365<\/h4>\n

\u00bfYa est\u00e1s usando Office 365?  Puede acelerar su transformaci\u00f3n digital al ampliar las capacidades integradas de Office 365 con Azure AD para asegurar todos sus recursos, lo que permite una productividad segura para toda su fuerza de trabajo.  Cuando usa Azure AD, adem\u00e1s de las capacidades de Office 365, puede proteger todo su portafolio de aplicaciones con una sola identidad que permite el inicio de sesi\u00f3n \u00fanico para todas las aplicaciones.  Puede ampliar sus capacidades de acceso condicional basadas no solo en el estado del dispositivo, sino tambi\u00e9n en el usuario, la ubicaci\u00f3n, la aplicaci\u00f3n y el riesgo.  Las capacidades de autenticaci\u00f3n de m\u00faltiples factores (MFA) brindan a\u00fan m\u00e1s protecci\u00f3n cuando la necesita.  Obtendr\u00e1 una supervisi\u00f3n adicional de los privilegios del usuario y proporcionar\u00e1 acceso administrativo a petici\u00f3n y justo a tiempo.  Sus usuarios ser\u00e1n m\u00e1s productivos y crear\u00e1n menos tickets de asistencia t\u00e9cnica, gracias a las capacidades de autoservicio que ofrece Azure AD, como restablecer contrase\u00f1as olvidadas, solicitudes de acceso a aplicaciones y crear y administrar grupos. <\/p>\n

Soluciones de identidad de Microsoft Azure <\/h4>\n

Microsoft Azure ofrece varias formas de administrar las identidades de sus usuarios, ya sea que se mantengan completamente en las instalaciones, solo en la nube, o incluso en alg\u00fan punto intermedio. Estas opciones incluyen: AD DS de bricolaje (DIY) en Azure, Azure Active Directory (Azure AD), Hybrid Identity y Azure AD Domain Services.<\/p>\n

H\u00e1galo usted mismo (DIY) AD DS <\/h5>\n

Para las empresas que solo necesitan una peque\u00f1a huella en la nube, se puede utilizar AD DS de bricolaje (DIY)<\/strong> en Azure. Esta opci\u00f3n admite muchos escenarios de Windows Server AD DS que son adecuados para la implementaci\u00f3n como m\u00e1quinas virtuales (VM) en Azure. Por ejemplo, puede crear una VM Azure como un controlador de dominio que se ejecuta en un centro de datos lejano que est\u00e1 conectado a la red remota. A partir de ah\u00ed, la VM podr\u00eda admitir solicitudes de autenticaci\u00f3n de usuarios remotos y mejorar el rendimiento de la autenticaci\u00f3n. Esta opci\u00f3n tambi\u00e9n es adecuada como un sustituto de bajo costo para los sitios de recuperaci\u00f3n de desastres que, de otro modo, ser\u00edan costosos al hospedar una peque\u00f1a cantidad de controladores de dominio y una \u00fanica red virtual en Azure. Por \u00faltimo, es posible que necesite implementar una aplicaci\u00f3n en Azure, como SharePoint, que requiere Windows Server AD DS, pero no tiene dependencia de la red local ni del Active Directory corporativo de Windows Server. En este caso, podr\u00eda implementar un bosque aislado en Azure para cumplir con los requisitos de la granja de servidores de SharePoint. Tambi\u00e9n es compatible para implementar aplicaciones de red que requieren conectividad a la red local y al Active Directory local.<\/p>\n

Azure Active Directory (Azure AD) <\/h5>\n

Azure AD standalone<\/strong> es una soluci\u00f3n basada en la nube de Identity and access management as a Service (IDaaS). Azure AD le brinda un s\u00f3lido conjunto de capacidades para administrar usuarios y grupos. Ayuda a asegurar el acceso a aplicaciones locales y en la nube, incluidos los servicios web de Microsoft como Office 365, y muchas aplicaciones de software como servicio (SaaS) que no son de Microsoft. Azure AD viene en tres ediciones: gratuita, b\u00e1sica y premium. Azure AD aumenta la eficacia de la organizaci\u00f3n y extiende la seguridad m\u00e1s all\u00e1 del firewall perimetral a un nuevo plano de control protegido por aprendizaje autom\u00e1tico de Azure y otras caracter\u00edsticas de seguridad avanzadas.<\/p>\n

Identidad h\u00edbrida <\/h5>\n

En lugar de elegir entre soluciones de identidad basadas en la nube o locales, muchos CIO y empresas con visi\u00f3n de futuro, que han comenzado a anticipar la direcci\u00f3n a largo plazo de su empresa, est\u00e1n extendiendo sus directorios locales a la nube a trav\u00e9s de soluciones de identidad h\u00edbrida<\/strong> . Con la identidad h\u00edbrida, obtienes una soluci\u00f3n de gesti\u00f3n de acceso e identidad verdaderamente global que proporciona acceso seguro y productivo a las aplicaciones que los usuarios necesitan para realizar su trabajo.<\/p>\n

Servicios de dominio de Azure AD <\/h5>\n

Azure AD Domain Services<\/strong> proporciona una opci\u00f3n basada en la nube para usar AD DS para el ligero control de configuraci\u00f3n de Azure VM y una forma de cumplir con los requisitos de identidad locales para el desarrollo y la prueba de aplicaciones de red. Los Servicios de dominio de Azure AD no est\u00e1n dise\u00f1ados para elevar y cambiar su infraestructura local de AD DS a las m\u00e1quinas virtuales de Azure administradas por los servicios de dominio de Azure AD. En su lugar, las m\u00e1quinas virtuales Azure en dominios administrados se deben usar para admitir el desarrollo, las pruebas y el movimiento de las aplicaciones locales que requieren m\u00e9todos de autenticaci\u00f3n AD DS para la nube.<\/p>\n

Escenarios comunes y recomendaciones <\/h4>\n

Aqu\u00ed hay algunos escenarios comunes de identidad y acceso con recomendaciones sobre qu\u00e9 opci\u00f3n de identidad de Azure podr\u00eda ser la m\u00e1s adecuada para cada uno.<\/p>\n

\"www.radians.com.ar\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Hoy vamos a seguir con la segunda parte de la nota publicada Comprendiendo las soluciones…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[303,325],"tags":[217,312],"class_list":["post-3699","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-azure","category-directory-services","tag-ad-domain-services","tag-azure"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3699","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3699"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3699\/revisions"}],"predecessor-version":[{"id":3700,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3699\/revisions\/3700"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3699"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3699"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3699"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}