Azure Active Directory -3

6. Cloud ssenarilərində autentifikasiya metodları.

Azure AD Connect ilə sinxronlaşdırmanı nə zaman etməliyik? Əlbəttə ki, cloud xidmətiniz olduğunda və cari accountları olan insanların buludla əlaqəli olmasını istədikdə. Lakin accountu sinxronizasiya etmək işin yarısıdır, ən başlıcası isə necə authentifikasiya ediləcəyinə qərar verməkdir. Lokal kataloqu cloudla sinxronlaşdırdıqdan sonra 3 autentifikasiya metodundan istifadə edə bilərik:

 

1-ci seçim: Password Hash Synchronization.

Password hash sinxronizasiyası əsas sinxronizasiya metodlarından biridir. Bu halda On-premise şifrələrinin Hash-ləri Azure AD ilə sinxronlaşdırılır. Əslində, burada hashed-hash (double hashed) sistemi işləyir, yəni şifrə köçürmələri heç bir halda açıq şəkildə baş vermir. Bu halda autentifikasiya iki müxtəlif sistem tərəfindən həyata keçirilir. Əgər siz cloud  xidmətinə qoşulsanız, bu işi cloud autentifikasiya edir, əgər yerli fayl serverə qoşulsanız, burada klassik autentifikasiya sistemi AD DS işə düşür.

Bəs şifrə sinxronizasiya etmək şirkət tərəfindən qadağan edilibsə? Bəli, başqa bir ölkəyə 8000 kilometr məlumat verən, bu məlumatların fiziki təhlükəsizliyini nəzarət etməyən, xidmət təminatçısına təsir göstərə bilməyən, lakin hesablarının şifrəsindən qorxan insanlar var… Belə insanlar üçün alternativ variant var: Pass-through Authentication.

2-ci seçim: Pass-through Authentication.

Pass-through Authentication şifrə sinxronizasiyasına alternativdir.  Öncəki seçim kimi, şifrə və hash heç bir yerə ötürülmür və həm cloud, həm də local istifadə üçün eyni şifrənin olmasını təmin edir.

Bu metod aşağıdakı şəkildə işləyir:

  1. Şirkət öz şəbəkəsində xüsusi bir agent install edir. Fault Tolerance üçün bir çox agent də təmin edilə bilər. Bu agentlər heç bir konfiqurasiya tələb etmir.
  2. Bulud resurslarında autentifikasiya edildikdə, yerli AD tərəfindən də təsdiq edilir. Şifrə bulud xidmətinə daxil edilir. Şifrə ikinci dəfə şifrələnir və agentə ötürülür. Bütün əlaqələr təhlükəsizlik baxımından 443-cü port vasitəsilə həyata keçirilir.
  3. Agent AD DS vasitəsi ilə özünü doğruldur və məlumatın təsdiq olub-olmadığı barədə məlumatı qaytarır.

Şifrələr sinxronizasiya edilmir, lakin təhlükəsizlik baxımından bir neçə fərq var. İnsanlar özləri hər gün Cloud  xidmətləri olan Office 365 və ya Azure-a qoşularkən Web formalara şifrə verirlər portala daxil olmaq üçün və “ümid” edilir ki, bu şifrələr cloud tərəfindən saxlanılmır…

 

3-cü seçim: AD Federation Services.

AD FS ilə variant bütün autentifikasiyanın həmişə yerli AD tərəfində yerinə yetirildiyi yeganə ssenaridir. Şifrənin buluda ötürülməsi heç bir şəkildə olunmur. Hər şey claim-lər vasitəsilə həyata keçirilir.

Proses belədir – Clouda qoşulduqda, o sizi Local Web Application Proxy-yə yönləndirir. Orada ADFS və ADDS ilə autentifikasiyadan keçirsiniz, nəticədə claim alırsınız və geri qayıdırsınız.

Ancaq ADFS yanaşması hər şeyi bir qədər çətinləşdirir. Bunun üçün əlavə olaraq aşağıdakı komponentlər də lazımdır:

  1. AD FS Server
  2. Web Application Proxy
  3. Sertifikatlar
  4. və əlavə sazlanmalar (configuration)

Belə görünür ki, Cloudla əlaqə qurarkən autentifikasiyanı maximum idarə etmək istəyənlər üçün yalnız bir seçim var – ADFS və onun həyata keçirilməsi  müəyyən qədər çətindir.

 

 

  1. Azure Active Directory (AD) Domain Services

Daha əvvəl qeyd etdiyimiz kimi, “Azure AD” ADDS üçün əvəzedici deyil və local serverlər vasitəsilə xidmətlər üçün yerli ADDS saxlamağa məcbur idik. Lakin Microsoft sonradan Azure Active Directory (AD) Domain Services xidmətlərini istismara verdi.

Azure Active Directory (AD) Domain Services və ya AADDS, AzureAD-dan və AD DS-dən tam fərqlidir və bu, Azure virtual maşında yerləşdirilən bir DC (domen controller) deyil. Bu, Azure platformasında yerləşdirilən və ADDS funksionallıqlarını özündə saxlayan bir yeni xidmətdir.

Azure AD Domain Services aşağıdakı xidmətləri dəstəkləyir:

1) Group Policy

2) NTLM və Kerberos autentifikasiyası

3) Organizational Units

4) Domenə PC əlavə etmək

5) LDAP

6) Bütün bu xidmətlərin Azure AD ilə inteqrasiyası.

 

Əslində bu ancaq kağız üzərində gözəl görünür, lakin AADDS ADDS-dan tam uzaqdır.

Əksər hallarda kölgədə qalan və çox nadir hallarda adları çəkilən müəyyən məhdudiyyətlər, bu texnologiyanın hələ tam hazır olmadığın aşkar şəkildə görsədir. Nümunə olaraq:

  • Siz sxemi genişləndirə bilmirsiniz.
  • Bir domain ilə məhdudlaşmalı olursunuz.
  • Məcburi qaydada şifrələri hash şəklində sinxronlaşdırmalısnız.
  • Kataloqu yalnız bir regionda saxlaya bilirsiniz.
  • Control Delegation ilə bağlı çoxlu problemlər var.
  • Kerberos delegation hələ tam işlənilməyib və s.

Yəni, kağız üzərində AADDS Cloud ADDS-in əvəzidir, əslində isə normal istifadə etmək üçün bir neçə il  test ediləsi bir texnologiyadır. Əsas odur ki, AADDS-i digərləri ilə səhv salmayın.

Nəticələri xülasə edək:

  1. ADDS, AzureAD, AADDS bir-birini əvəz etməyən 3 müxtəlif texnologiyadır.
  2. AzureAD əsasən Cloud məhsulları üçün bir kataloq və autentifikasiya vasitəsidir.
  3. AzureAD “on-premise”, yəni lokal olaraq yerləşdirilə bilməz.
  4. AzureAD ADDS-ə tamamilə heç bir aidiyyəti yoxdur və burada bir çox xidmətlər yoxdur. (Məsələn, GPO və Kerberos xidmətləri)
  5. Bulud xidmətlərinə daxil olmaq üçün obyektləri ADDS-dən AzureAD-a sinxronizasiya edə bilərsiniz.
  6. ADFS vasitəsilə autentifikasiyanın necə işləməyinə nəzarət edə bilərsiniz.
  7. AzureAD, müasir protokollar üçün təhlükəsizlik və dəstək baxımından çox inkişaf edib.

Və ən əsası, heç bir Microsoft Cloudunuz yoxdursa, AZURE AD xidmətinə də ehtiyacınız yoxdur.

Səs: +10. Bəyənilsin Zəifdir

Müəllif: MirCeyhun Musayev

Şərh yazın