随着微软Office365服务(未来将升级为Microsoft 365)在中国的深入推广,越来越多的企业开始采用本地应用和云应用的混合服务模式。其中Azure AD作为O365产品的重要组成部分,在云上服务中的地位与On-Premise的AD域相当。
在企业本地和云的混合环境中,特别是Exchange混合部署环境,了解这类环境下账户在多种混合身份验证方式下的身份验证过程,以及如何根据企业需求选择合适的混合验证方式,对理解混合环境下应用和Azure AD运作方式有一定的促进作用。
混合身份验证的方法
在企业应用混合部署环境中,身份验证是云访问的基础。选择正确的身份验证方法是设置 Azure AD 混合验证解决方案至关重要的第一个决定。Azure AD 支持以下适用于混合验证解决方案的身份验证方法:
1. 云身份验证
选择此身份验证方法时,Azure AD 会处理用户的登录过程。 结合使用无缝单一登录 (SSO),用户可以登录到云应用,无需重新输入其凭据。 如果使用的是云身份验证,可以从以下两个选项中选择:
Azure AD 密码哈希同步
这是在 Azure AD 中为本地目录对象启用身份验证的最简单方法。 用户可以使用其在本地使用的同一用户名和密码,不必部署任何其他基础架构服务器。 且在要使用Azure AD 的某些高级功能时(例如 Identity Protection 和Azure AD 域服务)则必须进行密码哈希同步,无论具体选择的是哪种身份验证方法。
Azure AD 直通身份验证
通过使用一个或多个在本地服务器上运行的软件代理,为 Azure AD 身份验证服务提供简单密码验证。 服务器直接使用本地 Active Directory 验证用户,这将确保云中不发生密码验证。
具有强制即时的本地用户账户状态、密码策略和登录小时数生效等安全要求的公司可能会使用此身份验证方法。
2. 联合身份验证
选择此身份验证方法时,Azure AD 将身份验证过程移交给单独的受信任身份验证系统(例如本地部署的AD FS或PingFederate服务)来验证用户的密码。
身份验证系统可以提供其他高级身份验证要求。 例如,基于智能卡的身份验证或第三方多重身份验证。
验证方法选择的决策
针对企业不同的环境以及企业对验证方式、应用系统安全、运维管理等方面的要求,需根据实际情况选择合适的混合验证方式,如下是基于企业不同需求下的验证方式选择决策树:
1. Azure AD 可以处理不依赖于本地组件来验证密码的用户的登录。
2. Azure AD 可以将用户登录移交给受信任的身份验证提供 程序,例如 Microsoft 的 AD FS。
3. 如果需要应用,用户级 Active Directory 安全策略(例如账户已过期、已禁用账户、密码已过期、账户锁定和登录时间),Azure AD 需要某些本地组件。
4. Azure AD 本身不支持的登录功能:
- 使用智能卡或证书进行登录。
- 使用本地 MFA 服务器进行登录。
- 使用第三方身份验证解决方案进行登录。
- 多站点本地身份验证解决方案。
5. 无论你选择了哪种登录方法,Azure AD 标识保护都需要使用“密码哈希同步”来提供“凭据泄漏的用户”报告。如果组织的主要登录方法失败并且在发生故障事件之前进行了配置,则组织可以故障转移到密码哈希同步。