Diferencia entre Azure AD y Active Directory (AD) y el servicio de directorio de AWS

ANUNCIO AZUL

Azure AD es una solución de autenticación y control de acceso basada en la nube para la plataforma Azure. Puede usarlo para proporcionar acceso seguro a organizaciones e individuos. Puede usar Azure AD para:

Establecer acceso a aplicaciones.

Configure SSO para aplicaciones en la nube basadas en SaaS.

Gestionar usuarios y grupos.

Usuarios de mantenimiento.

Habilitar la federación entre organizaciones.

Proporcionar una solución de gestión de identidad.

Identificar acciones no iniciadas.

Configurar la autenticación multifactor.

Expanda sus aplicaciones locales de Active Directory existentes en Azure AD.

El componente de directorio de Azure AD, por diseño, es multiinquilino y ofrece un servicio de directorio basado en la nube muy grande:

Múltiples inquilinos: Microsoft tiene millones de usuarios y directorios dentro de Azure AD. Sin embargo, como cada directorio de Azure AD es distinto y está separado de otros directorios de Azure AD, los datos del cliente se usan para evitar que los usuarios y administradores de un directorio de Azure AD accedan accidental o malintencionadamente a la información de otro directorio. y la información de identificación está completamente separada de otros inquilinos.

Escala: las tecnologías de directorio utilizadas por Azure AD también son utilizadas por Microsoft Office 365 y Microsoft Intune para admitir a millones de usuarios. El modelo de datos flexible y escalable de Azure AD usa una API Graph basada en REST, en lugar de un protocolo de acceso a directorio (LDAP).

Publicaciones de Azure AD

Para satisfacer las diversas necesidades y expectativas de los clientes, Azure AD viene en tres ediciones:

La edición gratuita proporciona administración de usuarios y grupos, registro de dispositivos, cambio de contraseña de autoservicio y sincronización con directorios locales. Está limitado a 10 programas por usuario configurado para SSO.

Basic Edition amplía las capacidades de la edición gratuita a través del control de acceso basado en grupos, el restablecimiento de contraseña de autoservicio para aplicaciones en la nube y el uso de un servidor proxy. Además, esta publicación tiene un acuerdo de tiempo de trabajo del 99.9% con el alto nivel de servicio (SLA) de Microsoft.

La edición Premium está diseñada para adaptarse a organizaciones con necesidades de control de acceso e identidad más exigentes. Esto incluye administrar grupos dinámicos y grupos de autoservicio, recuperar contraseñas de autoservicio con anulación de contraseña, ID de autoservicio y control de acceso ( IAM), proporciona protección personal y seguridad en la nube, Microsoft Identity Manager y escritura basada en la nube. capacidades avanzadas para capacidades de back-end, Cloud App Discovery, Azure Active Directory Connect Health y datos de seguridad y uso.

AD DS

AD DS es la implementación tradicional de Active Directory basado en Windows Server en un servidor físico o virtual. Aunque AD DS generalmente se considera un servicio de directorio, es solo un componente del paquete de tecnología de Active Directory de Windows, que incluye los Servicios de certificación de Active Directory (AD CS), los Servicios de directorio ligero de Active Directory (AD LDS), Active. Servicios de federación de directorios (AD FS) y servicios de administración de derechos de Active Directory (AD RMS).

Al comparar AD DS con Azure AD, es importante tener en cuenta las siguientes características de AD DS.

Puede instalar AD DS en la máquina virtual de Azure para proporcionar extensión y disponibilidad para su AD DS local. Sin embargo, la instalación de AD DS en la máquina virtual de Azure no beneficiará a Azure AD. Tenga en cuenta que necesitará uno o más discos de datos de Azure adicionales para instalar AD DS en su máquina virtual de Azure porque no debe usar el controlador C para almacenar AD DS. Estos discos son necesarios para almacenar bases de datos, registros y SYSVOL de AD DS. La configuración de "Preferencia de caché de host" para estos discos debe establecerse en Ninguno.

También puede usar servicios de dominio administrados por Azure, similares al directorio de AWS para Microsoft Active Directory.

Los servicios de dominio de Azure Active Directory le permiten agregar máquinas virtuales de Azure a su dominio sin usar controladores de dominio. Los usuarios tienen acceso sin problemas a estas máquinas empresariales con sus credenciales y recursos de Active Directory empresariales. Use la directiva de grupo para una forma fácil y familiar de aplicar marcos de seguridad en todas las máquinas virtuales de Azure para proteger las máquinas virtuales administradas por el dominio.

Los Servicios de dominio de Azure AD proporcionan servicios de dominio administrados que son totalmente compatibles con Active Directory de Windows Server, como integración de dominio, directiva de grupo, LDAP, autenticación Kerberos / NTLM y más. Azure AD Domain Services le permite usar estos servicios de dominio sin la necesidad de instalar, administrar y reparar controladores de dominio en la nube. Azure AD Domain Services se integra con su inquilino de Azure AD, lo que permite a los usuarios acceder a sus datos corporativos. Además, puede usar grupos y cuentas de usuario existentes para proporcionar acceso a los recursos, lo que proporciona a los Servicios de infraestructura de Azure un "levantamiento y desplazamiento" más fluido de los recursos locales.

Los servicios de dominio de Azure AD funcionan a la perfección si su inquilino de Azure AD está sincronizado con la nube o Active Directory local.

Azure AD

Si bien Azure AD tiene muchas similitudes con AD DS, también hay muchas diferencias. Es importante comprender que usar Azure AD no es lo mismo que configurar un Administrador de dominio de Active Directory en su máquina virtual de Azure y agregarlo a su dominio local.

Al comparar Azure AD con AD DS, es importante tener en cuenta las siguientes características de Azure AD.

Azure AD es principalmente una solución de autenticación y está destinado a aplicaciones basadas en Internet que utilizan conexiones HTTP (80 puertos) y HTTPS (puerto 443).

Los usuarios y grupos de Azure AD se crean en una estructura plana y no tienen OU ni GPO.

Azure AD no se puede solicitar a través de LDAP; en cambio, Azure AD usa la API REST a través de HTTP y HTTPS.

Azure AD no usa la autenticación Kerberos; en su lugar, utiliza protocolos HTTP y HTTPS, como SAML, WS-Federation y OpenID Connect para la autenticación (y OAuth para la autorización).

Azure AD incluye servicios de federación, y muchos servicios de terceros (como Facebook) están federados y son de confianza con Azure AD.

Servicio de directorio de AWS

El servicio de directorio de AWS es un servicio administrado que facilita la conexión de los servicios de AWS a un directorio de Microsoft existente (AD Connector) o la instalación y administración de un nuevo directorio en la nube de AWS (para un servicio de directorio simple de AD y AWS). Microsoft Active Directory). Los usuarios y grupos de su directorio pueden acceder a las consolas de administración de AWS y a los programas de AWS como Amazon WorkSpaces y Amazon WorkDocs, utilizando los datos existentes o agregando copias SQL de AWS RDS a su dominio.

El servicio de directorio de AWS proporciona 3 opciones para usar los servicios de directorio de AWS junto con otros servicios de AWS. Puede seleccionar un servicio de directorio a un precio que se adapte a sus necesidades.

Si necesita un servicio económico compatible con Active Directory con funciones de directorio comunes, use AD simple. (Simple AD es un directorio autogestionado compatible con el servidor compatible con Active Directory de Samba 4). Relaciones confiables de Simple AD con otros dominios, Centro de administración de Active Directory, soporte de PowerShell, cuadro de procesamiento de Active Directory, grupo administrado no admite funciones como el servicio. cuentas y extensiones esquemáticas para aplicaciones POSIX y Microsoft.

Seleccione el servicio de directorio de AWS para Microsoft Active Directory, rico en funciones para Microsoft Active Directory (Microsoft Enterprise Edition) en la nube de AWS. (AD en Windows 2012 R2 Enterprise Edition)

Nuestra tercera opción es el proxy AD Connector, que le permite conectar su Active Directory existente a AWS.

AWS AD Connector es una puerta de enlace de directorio y puede dirigir las solicitudes de directorio a su Microsoft Active Directory local sin almacenar ninguna información en la nube. El conector AD viene en dos tamaños, pequeño y grande. El conector AD pequeño está diseñado para organizaciones más pequeñas con hasta 500 personas. Un conector AD grande puede admitir organizaciones grandes con hasta 5,000 usuarios.

Con AD Connector, puede conectar el servicio de directorio de AWS a su directorio empresarial existente. Cuando se conecta a su directorio local, toda la información del directorio se almacena en sus servidores de directorio. El servicio de directorio de AWS no duplica la información de su directorio.

Además de las opciones disponibles, puede crear su propia instancia de Windows EC2, configurar una función de Active Directory y ejecutar Microsoft Active Directory o expandir su Active Directory local. La diferencia es que debe tener alta capacidad, conectarse a VPC, monitoreo y recuperación de host, replicación de datos, fotos y actualizaciones de software.

Publicado originalmente en https://www.linkedin.com el 24 de junio de 2016.