.
Azure AD Premium вместе с Windows Intune и Azure Rights Management Services входит в состав системы корпоративного уровня Microsoft Enterprise Mobility Suite (EMS). Продукт ориентирован на корпоративных клиентов и станет доступным лишь в виде дополнения к соглашению Enterprise Agreement (EA). Помимо новых функций, это предложение гарантирует уровень обслуживания (SLA) 99,9%.
Каковы преимущества Azure AD Premium? В соответствии с принятой в Microsoft концепцией разработки продуктов с ориентацией на определенные сценарии, набор компонентов Azure AD Premium создавался в контексте поддержки четырех возможных ситуаций: служба каталога в «облаке», централизованное управление идентификацией и доступом, контроль и защита доступа к «облачным» приложениям и предоставление конечным пользователям необходимых возможностей. Рассмотрим подробнее каждый из этих сценариев.
Каталог в «облаке»
Сценарий «каталог в облаке» предусматривает интеграцию локального леса Active Directory с Azure AD. Основу гибридной среды идентификации формируют два механизма: федерация и подготовка учетных данных, вместе составляющие идентификационный мост. Федерация использует службы AD FS и позволяет Azure AD передавать локальной службе AD запросы на проверку подлинности от поставщиков «облачных» служб (например, Office 365 или Salesforce.com), что обеспечивает пользователям однократную регистрацию для доступа к SaaS-приложениям.
Сегодня в среде Microsoft подготовку учетных данных пользователей локальных лесов AD к Azure AD обрабатывает утилита синхронизации каталогов DirSync, имеющая ряд ограничений, таких как возможность синхронизации только с одним лесом Windows Server AD. Это блокирует применение комбинации AD FS + DirSync на предприятиях, где существует несколько лесов учетных записей (см. рисунок). Для поддержки более сложных сценариев синхронизации учетных данных Azure AD Premium предусматривает права использования Forefront Identity Manager 2010 R2 (FIM) с включением лицензий клиентского доступа (CAL). Однако у FIM 2010 R2 нет поддержки компонентов Azure AD Premium, что служит показательным примером выпадения редко обновляемого локального программного обеспечения из процесса интеграции с часто обновляемыми веб-службами.
Рисунок. Идентификационный мост Microsoft: AD FS и?DirSync |
Данный сценарий также включает посредническую роль Azure AD в идентификации при доступе к SaaS-приложениям. Это классическая реализация модели IDaaS, в рамках которой пользователи Azure AD (а также пользователи локальной AD, через упомянутую выше комбинацию «федерация + синхронизация») получают однократную регистрацию для доступа к SaaS-приложениям, уже интегрированным в «облачную» службу идентификации. Благодаря стараниям группы разработчиков Azure AD, численность таких приложений, уже превышающая 1200, ежедневно увеличивается примерно на 50.
Централизованное управление идентификацией и доступом
Этот сценарий реализуется через центральную консоль Azure AD, где осуществляется управление учетными данными, учетными записями пользователей, группами и доступом к приложениям. В рамках этого сценария предоставляется и отзывается доступ пользователей к небольшому подмножеству приложений c поддержкой стандартов, таких как Box, Office 365 и Google Apps. Доступ к другим приложениям требует создания учетной записи с последующим подключением учетной записи пользователя Azure AD к приложению. Отсутствие удобно настраиваемых приложений ясно указывает на актуальность перехода на стандарт SCIM. По мере принятия стандарта будет стремительно расти число приложений, для доступа к которым поставщики IDaaS, такие как Azure AD, смогут автоматически подготавливать учетные данные. Полагаю, что возможности реализации этого сценария будут продолжать расширяться.
Контроль и защита доступа к «облачным» приложениям
В рамках этого сценария отслеживаются отличные от обычных схемы доступа и генерируются соответствующие оповещения за счет применения базовых (бесплатных) функций Azure AD и расширенных возможностей редакции Premium. Базовые функции отслеживают:
- регистрацию из неизвестных источников;
- регистрацию после нескольких неудачных попыток;
- регистрацию из географически удаленных пунктов.
Premium-функции, в дополнение к перечисленному выше, оповещают:
- о регистрации с IP-адресов с подозрительной активностью;
- о регистрации с отклонениями от нормы;
- о пользователях, совершающих регистрацию с отклонениями от нормы;
- о наиболее активных пользователях конкретных приложений;
- об устройствах, с которых пользователи совершают регистрацию.
Premium-выпуск также предусматривает информирование администраторов Azure AD по электронной почте об аномальном поведении. Подробнее о формах отчетности см. публикацию директора по реализации программ Алекса Саймона в блоге группы разработчиков Azure AD (http://blogs.technet.com/b/ad/archive/2014/03/24/updated-reporting-and-analytics-capabilities.aspx).
Этот сценарий также реализуется с помощью многофакторной аутентификации Azure (Azure MFA) как действия, активизируемого при обнаружении подозрительной активности. Этот компонент шире по масштабу деятельности, чем MFA для Office 365 (см. экран 1); следует помнить, что Office 365 – лишь одна из служб, поддерживаемых платформой Azure. Azure MFA обеспечивает многофакторную аутентификацию для любой службы, поддерживаемой Azure AD, включая доступ к SaaS-приложениям. Azure MFA имеет дополнительный локальный компонент MFA Server, распространяющий возможности многофакторной аутентификации на локальные приложения, такие как VPN, AD FS, Exchange / OWA, веб-приложения IIS и службы терминалов. На канале 9 есть 6-минутный видеоролик, посвященный MFA, с обзором работы этой функции в локальной системе и в Azure AD.
Экран 1. Azure MFA и MFA для Office 365 |
Предоставление конечным пользователям необходимых возможностей
В рамках последнего сценария решается задача обеспечения максимального удобства применения служб. Эта цель становится достижимой благодаря поддержке нескольких функций. Прежде всего, Azure AD позволяет создавать на сайте http://myapps.microsoft.com персонализированную, снабженную фирменным логотипом компании, панель доступа к приложениям. На экране 2 показана страница регистрации в один из моих каталогов Azure AD с логотипом. Процедура создания логотипа и его загрузки чрезвычайно проста, в данном случае ее выполнение заняло примерно одну минуту.
Экран 2. Персонализированный пользовательский портал Azure Active Directory |
Портал рассчитан на регистрацию из браузера мобильного устройства, но Microsoft также создает мобильные приложения. В частности, недавно было анонсировано приложение iOS «My Apps – Windows Azure Active Directory» (itunes.apple.com/us/app/my-apps-windows-azure-active/id824048653?mt=8). На экране 3 показана панель доступа на iPad с одним установленным SaaS-приложением.
Экран 3. Панель доступа AAD с одним SaaS-приложением |
Портал My Apps также позволяет управлять собственной учетной записью, редактировать данные, используемые для многофакторной аутентификации (номера телефонов или адреса электронной почты), а также выполнять делегированное управление группами для пользователей «облачных» служб. Кроме того, пользователи могут осуществлять самостоятельный сброс пароля (SSPR), хотя эта возможность сегодня существует только для учетных записей Azure AD. Несомненным благом для многих корпоративных служб поддержки станет функция обратной записи (репликация обновленных атрибутов Azure AD в локальной Windows Server AD в дополнение к репликации локальных атрибутов в «облаке»), появление которой ожидается в ближайшем будущем.
Дополнительную информацию можно найти в посвященной Premium-выпуску публикации в блоге разработчиков Azure Active Directory (blogs.technet.com/b/ad/archive/2014/03/25/identity-and-access-management-for-every-user-in-every-organization-using-any-service-on-any-device.aspx) и интернет-конференции (http://t.co/zE1PzuateR) Сатьи Наделлы на тему Office для iPad и Azure AD Premium.
Мои соображения об Azure AD Premium
Продукт Azure Active Directory Premium предоставляет много полезных функций, однако угрозу существованию Windows Server AD он не создает. Напротив, Azure AD представляет собой ценное дополнение к локальной службе каталогов. Azure AD пока практически не участвует в аутентификации и авторизации (единственное исключение – сервер MFA). Не следует искать функционального паритета между Windows Server AD и Azure AD. Формально эти технологии имеют одинаковое назначение, но поддерживаемые ими приложения сильно различаются. В отличие от Windows Server AD, Azure AD поддерживает веб-службы, а не сложные многозвенные локальные приложения. Другими словами, не ищите в Azure AD в обозримом будущем аналога ограниченному делегированию Kerberos.
Управление пользователями и группами в Azure AD заметно усовершенствовано, но по-прежнему далеко отстоит по возможностям и гибкости от функций делегирования, которыми обладает зрелый продукт Windows Server AD, и, кроме того, не имеет такой развитой «экосистемы» решений от независимых поставщиков (ISV).
Включение FIM 2010 R2 и соответствующих лицензий CAL привлечет к подписке на Azure AD Premium многие компании, которые хотели использовать FIM, но не могли себе этого позволить.
Самостоятельный сброс пароля (SSPR), сегодня возможный лишь для учетных записей Azure AD, имеет ограниченную функциональность. Появление обратной записи в Windows Server Active Directory будет большим достижением. При наличии обратной записи SSPR позволит пользователю сбрасывать свой корпоративный пароль из любого места в окне браузера, что сделает эту функцию достойной альтернативой средствам делегированного управления паролями. С точки зрения архитектуры это также очень важно: впервые Azure AD будет существовать на равных основаниях с локальной службой Windows Server AD в части данных в каталогах. Изменения в Active Directory можно будет отслеживать повсеместно – как локально, так и из «облака». Это важный этап в развитии стратегии гибридной идентификации Microsoft.
Служба Azure Active Directory стремительно развивается, и ее авторитет на рынке решений IDaaS быстро растет. Привязывая к Azure AD Premium соглашения EA и востребованные технологии, такие как MFA и FIM, Microsoft выгодно использует их лидерство в корпоративной среде, что делает новый продукт еще более привлекательным. Несомненно эта «облачная» платформа будет оставаться в центре внимания в ближайшем будущем, так что следите за новостями.