Więcej miejsc do posłuchania:
WERSJA TEKSTOWA
Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiaj Microsoft Entra. Co to jest? Jest to nowy pakiet, który Microsoft wprowadził z końcem maja tego roku a zawiera on Azure AD jak również Verified AD, czyli możliwość weryfikowania tożsamości kogoś i zarządzania uprawnieniami, czyli management rights. Jeżeli chodzi o to nowe podejście to Microsoft po prostu unifikuje swój sposób identyfikacji czy zarządzania w ogóle tożsamością i oprócz tego Azure AD, który jest głównym komponentem dodaje kolejne klocki, które są potrzebne w nowoczesnym środowisku, gdzie chcielibyśmy używać tego miejsca uwierzytelniania jako jednego centralnego punktu informacji o naszych użytkownikach.
Jeżeli chodzi o Azure AD, to jest to oczywiście chmurowe rozwiązanie i można je uruchomić dość łatwo i szybko. Jeżeli korzystasz z Microsoft 365, z Teams lub założyłeś inną usługę w Azure, to znaczy, że już masz tam instancję w Azure AD uruchomioną. Jeśli chciałbyś założyć taką instancje nawet testowo, to oczywiście jest taka możliwość. Taką podstawową konfigurację możesz znaleźć na blogu w wersji instrukcji, jak to zrobić. Koncepcja jest bardzo podobna do takiego AD – czyli Active Directory on-premise w lokalizacji, z tą jednak różnicą, że są pewne zmiany funkcjonalne. Na przykład w Azure, czy w AAD nie możesz wykorzystywać uwierzytelnienia z uwzględnieniem użytkownika i hasła. Konkretnie chodzi mi tutaj o uwierzytelnienia do infrastruktury. Mnie akurat ten aspekt najbardziej interesuje – zabezpieczenie infrastruktury w oparciu o centralną bazę użytkowników. W tym przypadku AAD.
Więc co nam pozostaje? Tutaj korzystamy głównie z mechanizmu certyfikatów, czyli używamy ich głównie do uwierzytelnień dla infrastruktury i odnosimy się do tego AAD, żeby sprawdzić, czy certyfikat jest ważny, czy jest dla użytkownika właściwego i jakie tam są przypisane ewentualnie grupy dla tego użytkownika. Dzięki temu możemy sobie w systemie RADIUSowym zamapować odpowiednią politykę i przydzielić w dostępie do sieci użytkownikowi lub w dostępie administracyjnym dla administratora. To jest najbardziej kluczowa różnica. Można to AAD również wykorzystywać jako Identity Manager, czyli IDM lub IAM. Jeżeli chodzi o nazewnictwo. O tym mówiłem w zeszłym tygodniu. Można wykorzystywać ten dostarczony przez Microsoft mechanizm do automatyzacji tworzenia kont użytkownikowi. Możemy oczywiście wykorzystywać SAML-a czyli bardzo często wykorzystywany do współpracy z innymi systemami wykorzystującymi zewnętrzny system uwierzytelniania protokół. AAD oferuje również inne metody dostępu do informacji o użytkownikach w zależności od tego o jakim systemie mówimy.
W przypadku gdy mówimy o tradycyjnych systemach, a tak najczęściej dzisiaj to wygląda w Polsce – mamy system, może być to cloudowy AAD, ale mamy część systemów klasycznych i chcielibyśmy powiązać ten system uwierzytelniania to wtedy najczęściej to robimy przez SAMLa. Natomiast jeśli mamy inne systemu chmurowe, to możemy tutaj w zależności od dostępności interfejsów wykorzystywać inny rodzaj protokołu. Więc jeżeli chodzi o drogę to widać wyraźnie, że Microsoft i zresztą wiele innych firm idzie w stronę chmury i to jest droga, która już się raczej nie zmieni. Natomiast dla nas pytanie jest jak my tu w Polsce się do tego przystosujemy. Taką wersją pośrednią jest ADFS, czyli Active Directory Federation Services, który jest instalowany on premis – w lokalizacji, w ramach serwisu Microsoft. Można wtedy tworzyć środowiska hybrydowe. Możemy korzystać jednocześnie z informacji, która jest w takim AAD, ale też z informacji, która jest w AD lokalnym, takim klasycznym i starać się unifikować to podejście, bo u wielu klientów tak właśnie będzie. Będzie to przejście do wersji Active Directory w chmurze, będzie takie stopniowe, które trzeba jakoś zorganizować. Więc ADFS to jedna z możliwości takiego hybrydowego podejścia do zarządzania tożsamością i wymieniania informacji z systemami trzecimi pomiędzy klasycznym AD a AAD.
To tyle w dzisiejszym odcinku podkastu. Dziękuję Ci za uwagę i słyszymy się już za tydzień.