Доменные службы Active Directory — одно из наиболее широко применяемых корпоративных приложений в мире. Раньше я никогда не использовал официальное название «Доменные службы», поскольку любой ИТ-специалист знает, что такое Active Directory. Но теперь есть и AD в «облаке». Как отметил корпоративный вице-президент Такеши Нумото, с ним работают 93% компаний из списка Fortune 1000. Помнится, несколько лет назад мне приходилось читать, что более 70% всех компаний в мире с числом сотрудников свыше 500 используют AD. Прошу прощения, доменные службы Active Directory.
Но AD не может в одиночку обслуживать все новые требования к удостоверениям в мире веб-служб и многочисленных поставщиков удостоверений. Это не изъян продукта; структура AD очень хорошо масштабируется, отличается гибкостью и выдержала проверку временем. Однако «облачных» вычислений просто не существовало в конце 90-х, когда проектировался продукт. В те времена Amazon был просто книжным магазином.
Пробел между возможностями доменных служб AD и потребностями «облачных» вычислений должны восполнить службы федерации Active Directory (AD FS). AD FS — мост между лесом Active Directory и джунглями веб-служб. Сэм Девасахайам, ведущий менеджер программы в группе служб каталогов, кратко описывает AD FS как «службу проверки подлинности поверх доменных служб AD, которая обеспечивает поддержку современных протоколов помимо RPC и LDAP».
В Windows Server 2012 R2 службы федерации и доменные службы Active Directory расширены, чтобы охватить наиболее распространенные мобильные устройства и при определенных условиях обеспечить доступ к корпоративным ресурсам на основе комбинаций «пользователь + устройство» и политик доступа. При наличии таких политик администратор управляет доступом в зависимости от пользователя, устройства, местонахождения и времени. Группа служб каталогов стремилась охватить следующие основные случаи:
- обеспечить единую регистрацию для доступа к корпоративным ресурсам через устройства;
- присоединенные с помощью Workplace Join;
- предоставить пользователям возможность работать отовсюду, с разнообразными устройствами, одновременно соблюдая требования по ограничению риска;
- обеспечить ИТ-администраторам возможность предоставлять доступ к приложениям компании со всех этих устройств.
Основа подхода к обслуживанию разнообразных устройств — AD Workplace Join. Это соединение похоже на традиционное соединение доменов Windows, но оно менее полное. Соединение Workplace занимает промежуточное положение в спектре соединений AD: полное слияние поддерживаемых устройств Windows — Workplace Join — неприсоединенное состояние. Когда мобильное устройство регистрируется в Workplace Join, в AD создается объект устройства с привязкой к объекту пользователя AD, который владеет устройством. На стороне клиента устанавливается сертификат user@device в мобильном устройстве и связывается с объектом этого устройства в AD.
После того как устройство пользователя проверено и признано доверенным объектом, ИТ-администратор сможет назначить какой-то вид условного доступа для комбинации пользователь-устройство. Поскольку устройство доверенное, его можно использовать для многофакторной проверки подлинности без смарт-карты или аппаратного токена. Одновременно службы AD FS были усовершенствованы, чтобы обеспечить инфраструктуру, в которую может быть встроен любой сторонний поставщик многофакторной проверки подлинности. Для конечного пользователя весь процесс должен быть прозрачным.
Чтобы это обеспечить, были усовершенствованы два главных компонента. Основная работа возлагается на AD FS. Службы AD FS стали универсальным средством проверки подлинности Microsoft, что позволило расширить диапазон приемлемых стандартов и одновременно не создавать неудобств армии пользователей доменных служб Active Directory. AD FS в R2 развернуть проще, чем предшествующие продукты. Не требуется также устанавливать IIS на сервере AD FS.
В результате AD FS можно установить непосредственно на контроллере домена, и именно такую конфигурацию рекомендует Microsoft.
Другой компонент — совершенно новый. Web Application Proxy, новый компонент роли удаленного доступа в Windows Server 2012 R2, представляет собой обратный прокси-сервер HTTP, обеспечивающий точку доступа для выполнения операции Workplace Join и доступа пользователей с собственными устройствами к корпоративным ресурсам. Обновлять все контроллеры домена до Windows Server 2012 R2 не обязательно.
Достаточно обновить схему для поддержки новых классов объектов и атрибутов устройства. Однако на сервере, выполняющем AD FS и Web Application Proxy, необходим новейший программный код.
Поддержка устройств в общем зависит от доли рынка. Поддерживаются устройства IOS — например, iPad и iPhone — и устройства Windows. Android сейчас «в работе», а Windows Phone — в более отдаленной перспективе, возможно, в следующей версии операционной системы.
Итоговый список новых функций Active Directory, относящихся к идентификации собственных устройств пользователей:
- AD Workplace Join;
- единая регистрация;
- работа отовсюду;
- многофакторная проверка подлинности;
- многофакторное управление доступом;
- библиотека проверки подлинности AD.
Скорее всего, управление собственными устройствами пользователей в Windows будет не столь функциональным, как более полные решения управления мобильными устройствами других компаний. Но рациональная архитектура обеспечивает базу для дальнейшего развития.