Microsoft Azure 目录服务 (Azure Active Directory),简称 Azure AD,是 Microsoft Azure 平台上提供身份验证与存取管理 (Identity and Access Management) 的主要服务,负责管理身份验证与存取管理的工作。Azure AD 的前身是 AppFabric 的存取控制服务,它是一个基于HTTP通讯协定的目录服务 (Directory Service),与以LDAP和Kerberos协定为主的 Windows Server Active Directory 无法直接共通,必须透过 Azure AD Connect 工具进行帐户同步后,才能在 Azure AD 中使用 Active Directory 的帐户。
Azure AD 依功能分为 Basic 版本与 Premium 版本,Basic 版本中包含了标准的单一签入、帐户与群组管理、Application Proxy (由 Azure AD 代转讯息到地端的 AD 网域控制站进行验证)、Azure AD Connect、基本资安与使用报表;Premium 版则支援了如地端与云端共用的多重要素验证、云端帐户密码写回至地端 AD 帐户功能、动态群组功能、连线健康侦测与应用程式探索 (Cloud App Discovery) 等功能。Premium 版本也会配合微软的企业行动套件 (Microsoft Enterprise Mobility Suites/EMS) 一起销售 [1]。
架构
Azure AD 本身是一个支援 HTTP 验证协定 (如 SAML、OAuth 2.0) 的目录服务, 因此应用程式可以利用它来链接其他网络上的应用程式,尤其是SaaS服务 [2]。
服务
Azure AD 提供了数种类型的身份验证服务,除了原本的 HTTP-based Identity 功能之外,它还实作了下列服务。
Azure AD B2C
Azure AD B2C 是一个为消费者端应用程式 (Consumer Application) 所设计的身份验证服务,可支援由 OAuth 2.0 (如 Facebook、Google、Amazon、LinkedIn) 的社群网络身份提供者 (Identity Provider) 交互操作,并可整合同样在 Azure AD 内的多重要素验证功能,以支援更高规格的安全性。
Azure AD B2C 未来将可能会取代 Azure 现有的 Access Control Service 2.0。
Azure AD 网域服务
Azure AD 网域服务 (Domain Service) 是一个支援 LDAP 及 Kerberos 协定的服务,具有与 Windows Server Active Directory 相同的特性,可用来替代企业在自己的虚拟网络中建置网域控制站的需求,它虽然可支援 LDAP/Kerberos,但它仍然无法直接经由 Internet 使用,因此它只能用在 Azure 的虚拟网络内。
Azure AD 网域服务截至 2016 年 3 月时仍然在公开预览阶段。
多重要素验证
多重要素验证 (Multi-Factor Authentication) 服务是 Azure AD 下的一个功能,不过它并不是一定要和 Azure AD 一起使用,它也可以单独使用,不过若采用 Azure AD 时,不需额外的设定就能取用多重要素验证服务。
多重要素验证可支援下列的要素 [3]
- 文字简讯验证码方式。
- 电话语音方式。
- 由行动应用程式通知讯息方式。
- 由 Microsoft Azure Authenticator (行动应用程式) 提供验证码方式。
- 由第三方的 OAuth 权仗 (Token) 方式。
参考
- ↑ Microsoft Enterprise Mobility Suite Overview. [2016-03-20].
- ↑ Integrate Azure Active Directory single sign-on with SaaS apps. [2016-03-20].
- ↑ How Azure Multi-Factor Authentication works. [2016-03-20].