Windows Azure Active Directory – в некотором роде «AD в облаке»

Доменные службы Active Directory (AD DS) Windows Server обеспечивают аутентификацию и авторизацию (контроль доступа) приложений, файловых серверов, принтеров и прочих локальных ресурсов. При этом используются протоколы, такие как Kerberos (для аутентификации) и LDAP (для обнаружения ресурсов). Однако служба Active Directory (AD) изначально не предназначалась для работы в пространстве веб-служб.

Кроме того, Windows Azure Active Directory обеспечивает аутентификацию и авторизацию приложений. Однако, в отличие от AD DS, технология Azure AD создавалась специально с расчетом на поддержку веб-служб, использующих REST-интерфейсы, таких как Salesforce.com, Concur, Google Apps и Office 365. Для взаимодействия с этими службами Azure AD использует совершенно иной набор протоколов, таких как SAML и OAuth 2.0. Однако на верхнем уровне можно представить Azure AD как «AD в облаке», то есть AD для «облачных» приложений (см. рисунок 1).

 

Доменные службы Active Directory в сравнении с?Windows Azure Active Directory
Рисунок 1. Доменные службы Active Directory в сравнении с?Windows Azure Active Directory

Однако Azure AD не следует рассматривать просто как реализацию AD DS на платформе Windows Azure. Это далеко не так. При том, что выполняются одни и те же основные функции аутентификации, авторизации, запросов по каталогам и управления пользователями и группами, особенности их реализации сильно различаются. Azure AD – это гигантская многоабонентская служба, то есть система управления удостоверениями и доступом (IAM), поддерживающая работу всех компонентов Windows Azure, включая онлайн-службы Microsoft (MOS). Копия Azure AD, которой вы управляете (ваша область клиента) – это лишь частная реализация огромного целого (см. рисунок 2).

 

Вы лишь один из 1,5 млн. клиентов Windows Azure Active Directory
Рисунок 2. Вы лишь один из 1,5 млн. клиентов Windows Azure Active Directory

Помимо поддержки функций аутентификации и авторизации для онлайн-служб Microsoft и других предоставляемых по подписке служб, Azure AD связывает сотни SaaS-приложений с их службами, обеспечивая процедуру однократной регистрации (SSO) через федерацию, если приложения ее поддерживают, либо через менеджер паролей и проверку подлинности на основе форм. Для сравнения, в локальных системах организация однократной регистрации требует комбинации доменных служб со службами федерации (AD DS + AD FS), причем приходится самостоятельно настраивать каждое подключение (и только для приложений, поддерживающих федерацию).

В условиях «идентификационного вакуума» (подавляющее большинство корпоративных учетных записей зарегистрированы в локальном лесу AD DS) Azure AD связывает область клиента (ваш лес Azure AD) с локальным лесом посредством идентификационного моста. Таким образом, мост Microsoft – это AD FS плюс утилита Windows Azure Active Directory Synchronization (известная как DirSync) или соединитель Windows Azure AD для FIM 2010 для более сложных локальных сценариев AD. Существует также ряд сторонних решений, часто позволяющих навести мост с реализацией более широких возможностей.

Заслуживает ли Azure AD внимания? Зачем добавлять в рабочее расписание, и так уже перегруженное, дополнительные пункты, связанные с освоением новой предметной области? Во-первых, если вы пользуетесь какой-либо онлайн-службой Microsoft, например Office 365, Exchange Online или Windows Intune, то управление соответствующими учетными записями осуществляет Azure AD, поэтому полезно знать, как этой службой пользоваться.

Во-вторых, если вы задумываетесь о переходе на модель «удостоверения как служба» (IDaaS), то на этом рынке в лице Azure AD мы имеем новое, быстро развивающееся предложение. Очевидно, что Microsoft нацелена на конкуренцию. Следует отметить, что есть множество других IDaaS-решений с превосходными возможностями.

Наконец, знание Azure AD необходимо по той простой причине, что у Microsoft это инфраструктура идентификации будущего. В следующей статье я расскажу об этом подробнее.

На сайте Channel 9 выложено несколько мультипликационных видеороликов о Windows Azure Active Directory с описанием основных концепций технологии (channel9.msdn.com/Series/Windows-Azure-Active-Directory). Некоторые из них уже несколько устарели, но лишь по причине стремительного развития продукта. На сайте MSDN можно ознакомиться с технической документацией по Windows Azure Active Directory (msdn.microsoft.com/library/windowsazure/jj673460.aspx).