Podkast 22T29 MS Entra i AAD – Azure Active Directory

Więcej miejsc do posłuchania:

Spotify

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiaj Microsoft Entra. Co to jest? Jest to nowy pakiet, który Microsoft wprowadził z końcem maja tego roku a zawiera on Azure AD jak również Verified AD, czyli możliwość weryfikowania tożsamości kogoś i zarządzania uprawnieniami, czyli management rights. Jeżeli chodzi o to nowe podejście to Microsoft po prostu unifikuje swój sposób identyfikacji czy zarządzania w ogóle tożsamością i oprócz tego Azure AD, który jest głównym komponentem dodaje kolejne klocki, które są potrzebne w nowoczesnym środowisku, gdzie chcielibyśmy używać tego miejsca uwierzytelniania jako jednego centralnego punktu informacji o naszych użytkownikach.

Jeżeli chodzi o Azure AD, to jest to oczywiście chmurowe rozwiązanie i można je uruchomić dość łatwo i szybko. Jeżeli korzystasz z Microsoft 365, z Teams lub założyłeś inną usługę w Azure, to znaczy, że już masz tam instancję w Azure AD uruchomioną. Jeśli chciałbyś założyć taką instancje nawet testowo, to oczywiście jest taka możliwość. Taką podstawową konfigurację możesz znaleźć na blogu w wersji instrukcji, jak to zrobić. Koncepcja jest bardzo podobna do takiego AD – czyli Active Directory on-premise w lokalizacji, z tą jednak różnicą, że są pewne zmiany funkcjonalne. Na przykład w Azure, czy w AAD nie możesz wykorzystywać uwierzytelnienia z uwzględnieniem użytkownika i hasła. Konkretnie chodzi mi tutaj o uwierzytelnienia do infrastruktury. Mnie akurat ten aspekt najbardziej interesuje – zabezpieczenie infrastruktury w oparciu o centralną bazę użytkowników. W tym przypadku AAD.

Więc co nam pozostaje? Tutaj korzystamy głównie z mechanizmu certyfikatów, czyli używamy ich głównie do uwierzytelnień dla infrastruktury i odnosimy się do tego AAD, żeby sprawdzić, czy certyfikat jest ważny, czy jest dla użytkownika właściwego i jakie tam są przypisane ewentualnie grupy dla tego użytkownika. Dzięki temu możemy sobie w systemie RADIUSowym zamapować odpowiednią politykę i przydzielić w dostępie do sieci użytkownikowi lub w dostępie administracyjnym dla administratora. To jest najbardziej kluczowa różnica. Można to AAD również wykorzystywać jako Identity Manager, czyli IDM lub IAM. Jeżeli chodzi o nazewnictwo. O tym mówiłem w zeszłym tygodniu. Można wykorzystywać ten dostarczony przez Microsoft mechanizm do automatyzacji tworzenia kont użytkownikowi. Możemy oczywiście wykorzystywać SAML-a czyli bardzo często wykorzystywany do współpracy z innymi systemami wykorzystującymi zewnętrzny system uwierzytelniania protokół. AAD oferuje również inne metody dostępu do informacji o użytkownikach w zależności od tego o jakim systemie mówimy.

W przypadku gdy mówimy o tradycyjnych systemach, a tak najczęściej dzisiaj to wygląda w Polsce – mamy system, może być to cloudowy AAD, ale mamy część systemów klasycznych i chcielibyśmy powiązać ten system uwierzytelniania to wtedy najczęściej to robimy przez SAMLa. Natomiast jeśli mamy inne systemu chmurowe, to możemy tutaj w zależności od dostępności interfejsów wykorzystywać inny rodzaj protokołu. Więc jeżeli chodzi o drogę to widać wyraźnie, że Microsoft i zresztą wiele innych firm idzie w stronę chmury i to jest droga, która już się raczej nie zmieni. Natomiast dla nas pytanie jest jak my tu w Polsce się do tego przystosujemy. Taką wersją pośrednią jest ADFS, czyli Active Directory Federation Services, który jest instalowany on premis – w lokalizacji, w ramach serwisu Microsoft. Można wtedy tworzyć środowiska hybrydowe. Możemy korzystać jednocześnie z informacji, która jest w takim AAD, ale też z informacji, która jest w AD lokalnym, takim klasycznym i starać się unifikować to podejście, bo u wielu klientów tak właśnie będzie. Będzie to przejście do wersji Active Directory w chmurze, będzie takie stopniowe, które trzeba jakoś zorganizować. Więc ADFS to jedna z możliwości takiego hybrydowego podejścia do zarządzania tożsamością i wymieniania informacji z systemami trzecimi pomiędzy klasycznym AD a AAD.

To tyle w dzisiejszym odcinku podkastu. Dziękuję Ci za uwagę i słyszymy się już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.