【Azure】Grundlegende Analyse von Microsoft Azure (9) Funktionen und Verwendungen von Azure-Identität, Identitätsmanagement und Azure AD

Diese Reihe von Blogbeiträgen wird noch aktualisiert und ist in der Kolumne „Azure Quest: Building a Cloud Computing World“ enthalten .

Die Liste der Artikel dieser Reihe lautet wie folgt:

【Azure】Grundlegende Analyse von Microsoft Azure (3) CapEx und OpEx im Cloud-Computing-Betrieb, wie man zwischen CapEx und OpEx unterscheidet. 【Azure
】Grundlegende Analyse von Microsoft Azure (4) Rechenzentrum, Region und Regionspaar, Verfügbarkeitszone und geografisches Gebiet
[Azure] Grundlegende Analyse von Microsoft Azure (5) Verwaltungsgruppe, Abonnement, Ressource und Ressourcengruppe sowie hierarchische Beziehung der Kernarchitektur [Azure] Grundlegende
Analyse von Microsoft Azure (6) Virtuelle Maschinen-VM und virtuelle Maschinenskalierungsgruppe in Computerdiensten. Azure-Funktion und Azure-Container
[Azure] Microsoft Azure-Basisanalyse (7) Virtual Network VNet, Gateway, Load Balancer Load Balancer in Azure Network Services [
Azure] Microsoft Azure-Basisanalyse (8) Azure Storage Service: Entdecken Sie Blob Storage, Queue Storage, Dateispeichereigenschaften und anwendbare Szenarien
[Azure] Microsoft Azure-Basisanalyse (9) Azure-Identität, Identitätsverwaltung, Azure AD-Funktionen und -Nutzung

I. Einleitung

Im heutigen digitalen Zeitalter ist Identitäts- und Zugriffsmanagement zu einem integralen Bestandteil von Organisationen und Unternehmen geworden. Angesichts der Popularität von Cloud Computing und Online-Diensten ist es besonders wichtig, die Sicherheit, Bequemlichkeit und Genauigkeit der Autorisierung von Benutzeridentitäten zu gewährleisten. In diesem Bereich bietet Azure als führende Cloud-Plattform umfangreiche und leistungsstarke Lösungen für das Identitäts- und Zugriffsmanagement.

Dieser Artikel führt die Leser dazu, die Kernkonzepte und Dienste im Zusammenhang mit der Azure-Identitäts- und Zugriffsverwaltung zu verstehen, wobei der Schwerpunkt auf dem Azure-Verzeichnisdienst (Azure Active Directory) und den damit verbundenen Funktionen und Features liegt. Durch das Verständnis der Grundprinzipien und Arbeitsmechanismen von Azure AD können Leser besser verstehen, wie sie Azure zur Verwaltung von Benutzeridentitäten, zur Steuerung von Zugriffsrechten und zur Erzielung einer zentralisierten Authentifizierung und Autorisierungsverwaltung verwenden.

Zweitens erforderliches Wissen: Identität (Identität), Authentifizierung (Authentifizierung) und Authentifizierung (Authentifizierung)

Sie haben diese Wörter mehr oder weniger gehört, aber werden Sie verwirrt sein? In der ersten Hälfte dieses Kapitels finden Sie hier einige grundlegende Wissenspunkte

• Identität : Identität bezieht sich auf die Identifizierung und Darstellung einer Entität (z. B. eines Benutzers, Geräts oder einer Anwendung) in einem System. Jede Entität verfügt über eine eindeutige Kennung, normalerweise einen Benutzernamen, eine E-Mail-Adresse oder eine digitale ID. Eine Identität bietet eine eindeutige Identifizierung einer Entität, sodass das System die Aktionen und Berechtigungen dieser Entität identifizieren und verfolgen kann.

Beispielsweise gilt eines unserer registrierten Konten als eines Identity（身份）. Wenn wir uns beim Azure-Portal anmelden, verwenden wir unsere eigene Identität. Normalerweise verwenden wir einen Benutzernamen und ein Passwort, um uns zu identifizieren; Hinweis: Identität (Identität) kann auch eine bedeuten Anwendung oder Server.

• Authentifizierung : Bei der Authentifizierung handelt es sich um den Prozess der Bestätigung, dass die Identität einer Entität gültig ist. Dabei geht es in der Regel darum, zu überprüfen, ob die von einer Entität bereitgestellten Anmeldeinformationen wie Benutzernamen und Passwörter mit ihren zuvor registrierten Identitäten übereinstimmen. Durch die Authentifizierung wird sichergestellt, dass nur authentifizierte Benutzer oder Entitäten auf ein System oder eine Ressource zugreifen können. Zu den gängigen Authentifizierungsmethoden gehören Benutzername/Passwort, Multi-Faktor-Authentifizierung (z. B. SMS-Bestätigungscode, Token oder Biometrie) usw.

Vereinfacht ausgedrückt: Bei der Identitätsprüfung verwenden Sie einen geheimen Schlüssel oder ein Zertifikat, um sich zu identifizieren, was als Identitätsprüfung bezeichnet wird.

Zusammenfassung der wichtigsten Punkte:

• Authentifizierung einer Person oder eines Dienstes, der auf eine Ressource zugreifen möchte
• Bitten Sie eine Partei um legitime Anmeldeinformationen und stellen Sie die Grundlage für die Erstellung von Sicherheitsprinzipien für die Identitäts- und Zugriffskontrolle bereit.
• manchmal genanntaz AuthN

• Autorisierung : Autorisierung bezieht sich auf die Zuweisung spezifischer Berechtigungen und Zugriffsrechte an authentifizierte Entitäten. Die Autorisierung bestimmt die Aktionen, die eine Entität ausführen kann, und den Umfang der Ressourcen, auf die sie zugreifen kann. Durch die Autorisierung kann das System sicherstellen, dass nur authentifizierte und autorisierte Entitäten bestimmte Aktionen ausführen oder auf geschützte Ressourcen zugreifen können. Die Autorisierung kann basierend auf Rollen, Organisationsstrukturen, spezifischen Berechtigungen oder anderen Richtlinien verwaltet werden.

Unter Autorisierung kann man verstehen, dass sichergestellt wird, dass nur authentifizierte Identitäten auf Ressourcen zugreifen können, auf die ihnen Zugriff gewährt wurde

Zusammenfassung der wichtigsten Punkte:

• Bestimmt die Zugriffsebene, über die eine authentifizierte Person oder ein authentifizierter Dienst verfügt.
• Gibt an, auf welche Daten zugegriffen werden darf und was damit gemacht werden kann.
• Manchmal abgekürzt als AuthZ.

Hier ist es erwähnenswert: In Azure verwaltet Azure die Authentifizierung und Autorisierung über Azure Active Directory.

3. Azure Directory Service (AD)

3.1 Was ist Azure AD?

Azure Active Directory (Azure AD) ist ein Verzeichnisdienst, der für die Anmeldung bei und den Zugriff auf entwickelte Microsoft Cloud-Anwendungen und Cloud-Anwendungen verwendet werden kann. Azure AD unterstützt Sie auch bei der Verwaltung einer lokalen Active Directory-Bereitstellung.

Vereinfacht ausgedrückt kann der Azure Directory Service als das digitale Identitätsverwaltungszentrum einer Organisation verstanden werden. Damit können Unternehmen Benutzerkonten, Organisationsstruktur und Anwendungszugriff zentral verwalten. Mit Azure Directory Services können Sie Benutzerkonten erstellen und verwalten, Zugriffsberechtigungen zuweisen und widerrufen sowie Benutzeraktivitäten überwachen und prüfen.

Mit Azure Directory Service können Sie Single Sign-On (Single Sign-On) erreichen, was bedeutet, dass Benutzer nur eine Anmeldeinformation benötigen, um auf mehrere Anwendungen und Dienste zuzugreifen, was die Benutzererfahrung und Arbeitseffizienz verbessert. Es bietet außerdem eine Multi-Faktor-Authentifizierung für mehr Sicherheit, beispielsweise durch die Verwendung von SMS-Verifizierungscodes, Token oder biometrischen Daten.

Azure Directory Services lässt sich auch in andere Azure-Dienste und Anwendungen von Drittanbietern integrieren und kann als Hub für Authentifizierung und Autorisierung dienen, sodass Unternehmen ihre Cloud-Ressourcen einfach skalieren und verwalten können. Darüber hinaus unterstützen Azure Directory Services Hybridumgebungen und können in das lokale Active Directory integriert werden, sodass Unternehmen Vertrauen zwischen der Cloud und dem lokalen Standort herstellen können.

Zusammenfassung der wichtigsten Punkte :

• Üblicherweise bekannt alsAzure AD
• ist ein cloudbasierter Identitätsdienst
• Kann mit einem vorhandenen lokalen Active Directory synchronisiert oder unabhängig verwendet werden. Ermöglicht die gemeinsame Nutzung von Identitäten in der Cloud (z. B. Microsoft 365) und mobilen nativen Anwendungen.
• Kein SLA für den kostenlosen Tarif, 99,9 % für den Standard- und Premium-Tarif
• Zu den allgemein verfügbaren Diensten gehören:
  • Authentifizierung
    • Self-Service-Passwort-Reset
    • Multi-Faktor-AuthentifizierungMulti-Faktor-Authentifizierung (MFA/2FA)
    • Passen Sie die Liste gesperrter Passwörter und den Smart Lock-Dienst an.
  • Single Sign-On (SSO)
  • Bewerbungsmanagement. Verwalten Sie Cloud- und lokale Anwendungen mit Azure AD Application Proxy, SSO, My Apps Portal (auch als Access Panel bezeichnet) und SaaS-Anwendungen.
  • Business-to-Business (B2B)-Identitätsdienste: Verwalten Sie Gastbenutzer und externe Partner.
  • Business-to-Customer (B2C)-Identitätsdienste: Passen Sie an und steuern Sie, wie Benutzer sich registrieren, anmelden und ihre Profile verwalten, wenn sie Anwendungen und Dienste nutzen.
  • für die Geräteverwaltung
    • Verwalten Sie, wie Ihre Cloud- oder lokalen Geräte auf Unternehmensdaten zugreifen.

3.2 Externe Identität von Azure AD

Externe Identitäten sind Personen, Geräte, Dienste usw., die sich außerhalb der Organisation befinden. Externe Azure AD-Identitäten beziehen sich auf alle Möglichkeiten, wie Sie sicher mit Benutzern außerhalb Ihrer Organisation interagieren können.

Externe Identität klingt ähnlich wie Single Sign-On. Mit externen Ausweisen können externe Nutzer „ihren eigenen Ausweis mitbringen“. Unabhängig davon, ob sie über eine von einem Unternehmen oder einer Regierung ausgestellte digitale ID oder eine nicht verwaltete soziale ID wie Google oder Facebook verfügen, können sie sich mit ihren Anmeldeinformationen anmelden. Der Identitätsanbieter für externe Benutzer verwaltet deren Identitäten, und Sie können Azure AD oder Azure AD B2C verwenden, um den Zugriff auf Apps zum Schutz von Ressourcen zu verwalten.

3.2.1 Business-to-Business (B2B)-Zusammenarbeit

Arbeiten Sie mit externen Benutzern zusammen, indem Sie sie sich mit ihren bevorzugten Identitäten bei Microsoft-Anwendungen oder anderen Unternehmensanwendungen (SaaS-Apps, individuell entwickelte Apps usw.) anmelden. Benutzer der B2B-Zusammenarbeit werden im Verzeichnis normalerweise als Gastbenutzer dargestellt.

3.2.2 B2B-Direktverbindung

Richten Sie bidirektionale Vertrauensstellungen mit anderen Azure AD-Organisationen ein, um eine nahtlose Zusammenarbeit zu ermöglichen. Die direkte B2B-Verbindung unterstützt derzeit freigegebene Teams-Kanäle, sodass externe Benutzer in ihrer eigenen Teams-Instanz auf Ihre Ressourcen zugreifen können. B2B Direct Connect-Benutzer sind in Ihrem Verzeichnis nicht sichtbar, sie sind jedoch in den freigegebenen Teams-Kanälen sichtbar und können in Teams Admin Center-Berichten überwacht werden.

3.2.3 Azure AD Business to Customer (B2C)

Veröffentlichen Sie moderne SaaS-Apps oder individuell entwickelte Apps (außer Microsoft-Apps) für Verbraucher und Kunden, während Sie Azure AD B2C für die Identitäts- und Zugriffsverwaltung verwenden.

4. Azure-Authentifizierungsmethode

Azure unterstützt mehrere Authentifizierungsmethoden, darunter Standardkennwörter , Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und kennwortlose Authentifizierung .

Ob Azure oder unsere gewöhnliche Entwicklung, wir sind mehr oder weniger mit diesen Authentifizierungsmethoden in Berührung gekommen, und Sicherheit und Komfort scheinen lange Zeit ein Widerspruch zu sein. Glücklicherweise bieten neue Authentifizierungslösungen sowohl Sicherheit als auch Komfort.

Die passwortlose Authentifizierung bietet eine hohe Sicherheit und einen hohen Komfort, während das Passwort selbst eine geringe Sicherheit und einen hohen Komfort bietet.

4.1 Single Sign-On (SSO)

Azure Single Sign-On (SSO) ist ein Authentifizierungs- und Zugriffsverwaltungsmechanismus, der es Benutzern ermöglicht, über eine einzige Anmeldung auf mehrere verwandte Anwendungen und Dienste zuzugreifen, ohne sich in jeder Anwendung einzeln authentifizieren zu müssen.

Insbesondere verwendet Azure SSO eine Reihe von Standards und Protokollen (wie SAML, OAuth und OpenID Connect), um Benutzern nach einmaliger Authentifizierung den nahtlosen Zugriff auf mehrere in Azure AD integrierte Anwendungen und Dienste zu ermöglichen.

So funktioniert Azure Single Sign-On:

1. Benutzeranmeldung: Benutzer geben Anmeldeinformationen (z. B. Benutzername und Kennwort) ein, um sich durch Authentifizierung bei Azure AD (Azure Active Directory) anzumelden.

2. Ausstellen von Tokens: Sobald ein Benutzer authentifiziert ist, stellt Azure AD ein Sicherheitstoken aus, das Informationen über die erfolgreiche Authentifizierung des Benutzers enthält.

3. Token-Übergabe: Wenn ein Benutzer versucht, auf eine Anwendung zuzugreifen, die eine Authentifizierung erfordert, übergibt sein Browser oder seine Anwendung ein Token an die Anwendung.

4. Token-Validierung: Sobald die Anwendung das Token empfängt, sendet sie es zur Validierung an Azure AD. Azure AD überprüft die Signatur und Gültigkeit des Tokens und bestätigt die Identität des Benutzers.

Single Sign-On: Bei erfolgreicher Token-Verifizierung gilt der Benutzer als authentifiziert und kann auf die Anwendung zugreifen, ohne sich erneut anmelden zu müssen. Auf diese Weise können Benutzer nahtlos zu anderen in Azure AD integrierten Anwendungen wechseln und darauf zugreifen, ohne ihre Anmeldeinformationen erneut eingeben zu müssen.

Single Sign-On ist nur so sicher wie der ursprüngliche Authentifikator, da nachfolgende Verbindungen auf der Sicherheit des ursprünglichen Authentifikators basieren.

4.2 Multi-Faktor-Authentifizierung

Bei der Multi-Faktor-Authentifizierung wird der Benutzer während des Anmeldevorgangs zur Eingabe einer zusätzlichen Form (oder eines zusätzlichen Faktors) der Authentifizierung aufgefordert. MFA trägt zum Schutz vor Passwortkompromittierung bei (in Fällen, in denen das Passwort kompromittiert ist, der zweite Faktor jedoch nicht).

Die Multi-Faktor-Authentifizierung verbessert die Identitätssicherheit, indem sie die Auswirkungen der Offenlegung von Anmeldeinformationen wie gestohlenen Benutzernamen und Passwörtern begrenzt. Wenn die Multi-Faktor-Authentifizierung aktiviert ist, benötigt ein Angreifer, der das Passwort eines Benutzers hat, auch das Telefon oder den Fingerabdruck des Benutzers, um sich vollständig zu authentifizieren.

Vergleichen Sie die Multi-Faktor-Authentifizierung und die Ein-Faktor-Authentifizierung. Bei der Single-Sign-of-Authentication benötigt ein Angreifer zur Authentifizierung lediglich einen Benutzernamen und ein Passwort. Die Multi-Faktor-Authentifizierung sollte nach Möglichkeit aktiviert werden, da sie die Sicherheit erheblich erhöht.

4.3 Passwortlose Authentifizierung

Funktionen wie MFA sind eine großartige Möglichkeit, ein Unternehmen zu schützen, aber Benutzer sind oft frustriert über zusätzliche Sicherheitsmaßnahmen, die über das Merken von Passwörtern hinausgehen. Wenn dies einfach und bequem ist, ist es wahrscheinlicher, dass Benutzer sich daran halten. Die kennwortlose Authentifizierungsmethode ist bequemer, da das Kennwort entfernt und durch etwas von Ihnen angegebenes, Ihr eigenes oder bereits bekanntes Kennwort ersetzt wird.

Ein häufigeres Beispiel ist, dass Sie beim Anmelden bei Windows neben der Kennwortauthentifizierung zum Anmelden auch eine PIN oder einen Fingerabdruck zum Anmelden verwenden können.

Jedes Unternehmen hat unterschiedliche Anforderungen an die Authentifizierung. Microsoft Global Azure und Azure Government bieten die folgenden drei Optionen für die passwortlose Authentifizierung integriert mit Azure Active Directory (Azure AD):

• Windows Hello für Unternehmen
• Microsoft Authenticator-App
• FIDO2-Sicherheitsschlüssel

5. Zusammenfassung am Ende der Arbeit

In diesem Artikel werden die Konzepte und Dienste der Identitäts- und Zugriffsverwaltung in Bezug auf Azure vorgestellt. Zuerst lernten wir die Bedeutung und den Unterschied von „Identität“, „Authentifizierung“ und „Autorisierung“ kennen. Anschließend haben wir uns eingehend mit dem Azure Directory Service (Azure Active Directory) und seinen Funktionen befasst, darunter Azure AD, externe Identitäten für Azure AD, Business-to-Business (B2B)-Zusammenarbeit und Azure AD Business-to-Customer (B2C). .

Im Hinblick auf die Authentifizierung haben wir etwas über die verschiedenen von Azure angebotenen Authentifizierungsmethoden erfahren, einschließlich Single Sign-On (SSO), das Benutzern den Zugriff auf mehrere in Azure AD integrierte Anwendungen und Dienste über eine einzige Anmeldung ermöglicht, um die Benutzererfahrung und Arbeitseffizienz zu verbessern. Darüber hinaus werden Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung und passwortlose Authentifizierung abgedeckt.

Insgesamt bietet Azure leistungsstarke und flexible Identitäts- und Zugriffsverwaltungslösungen, die Organisationen dabei helfen, den Zugriff auf Benutzer und Anwendungen sicher und effizient zu verwalten. Mit Azure Directory Services und verschiedenen Authentifizierungsmethoden können Unternehmen eine zentrale Identitätsverwaltung, Single Sign-On und verstärkte Sicherheit für ein verbessertes Benutzererlebnis und Datenschutz erreichen.

[ 本文作者 ]   bluetata
[ 原文链接 ]   https://bluetata.blog.csdn.net/article/details/131012518
[ 最后更新 ]   06/20/2023 2:42
[ 版权声明 ]   如果您在非 CSDN 网站内看到这一行，
说明网络爬虫可能在本人还没有完整发布的时候就抓走了我的文章，
可能导致内容不完整，请去上述的原文链接查看原文。