Dirección del blog 51CTO: https://blog.51cto.com/14669127
Dirección del blog del jardín de blogs: https://www.cnblogs.com/Nancy1983
La tecnología de computación en la nube siempre ha sido una de las tecnologías más populares, y actualmente es adoptada por muchas empresas, porque el uso de la computación en la nube puede generar grandes beneficios para las empresas. Es más segura que la computación tradicional y, en realidad, enfrenta menos problemas. Pero teniendo en cuenta otros factores, como la protección de seguridad de los datos confidenciales, los posibles requisitos reglamentarios, la prohibición de almacenar datos en ubicaciones remotas, etc., muchas empresas adoptan actualmente un modelo de uso mixto de aplicaciones locales y aplicaciones en la nube para garantizar las operaciones comerciales normales. En este caso, la gestión de usuarios tanto localmente como en la nube se enfrenta a algunos desafíos.
La autenticación de identidad de Microsoft puede resolver este problema que enfrentan los usuarios empresariales mediante la creación de una identidad de usuario universal para que, sin importar dónde se encuentre el recurso, todos los recursos se puedan autenticar y autorizar.
En comparación con el esquema de sincronización de directorios y contraseñas, la autenticación de federación es más complicada, ya que introduce más dependencias para que los usuarios puedan acceder a los servicios en la nube. Los principales métodos de implementación son:
- Realice toda la autenticación de Azure AD en directorios locales a través del Servicio de federación de Active Directory (ADFS) u otro proveedor de identidad federado
- Utilice un proveedor de identidad que no sea de Microsoft
- La sincronización de hash de contraseña agregará la función como una copia de seguridad de inicio de sesión para el inicio de sesión federado (si falla el esquema de identidad federado)
En los siguientes casos, utilice la autenticación federada:
- ADFS implementado
- Utilice un proveedor de identidad de terceros
- Hay tarjetas inteligentes integradas localmente u otras soluciones MFA
- Necesita iniciar sesión para auditar o deshabilitar la cuenta
- Cumplimiento de los estándares federales de procesamiento de información (FIPS)
La autenticación de identidad federada debe garantizar en la infraestructura local:
- El servidor local debe poder acceder a Internet a través del firewall de la empresa. Microsoft recomienda utilizar un servidor proxy conjunto implementado en la red perimetral, subred perimetral o DMZ
- Asegúrese de que el servidor ADFS, el servidor proxy ADFS o el servidor proxy de la aplicación web, el firewall y el equilibrador de carga se estén ejecutando
Si usa la autenticación federada, asegúrese de crear una cuenta de administración en línea, de modo que pueda administrar Azure AD si no hay una solución de identidad local disponible.
más información: