云中Active Directory是如何工作的？

【TechTarget中国原创】 微软公司1999年在Windows Server 2000中引入Active Directory功能。后期的Windows Server版本中陆续进行改善提升，Windows环境内的用户认证和身份管理都会有相关的目录服务。云计算环境中，微软公司还为企业提供了Active Directory，需要以服务应用程序的身份跨软件访问控制权限。 Active Directory（简称AD）为所有用户分配并强制执行一系列安全策略，限制用户执行任务的范围。例如，AD将会检查用户凭证，并判断此次登陆是否有正规用户或者管理员权限，如果是正规的，那么便会被授予服务、应用程序以及相关权限。 随着微软公司云服务的发布， Azure AD似乎为多用户云环境提供了相同的目录和身份管理基础套件。Azure AD可以为云应用提供单点登录服务（简称SSO），例如Salesforce、Dropbox、Office 365以及其他数不胜数的软件即服务（简称SaaS）应用程序。云开发人员甚至可以将Azure AD功能集成到软件中，实现云部署开发，让其他Windows AD组织可以更轻松地集成和使用这些应用程序。 但是，其实Azure AD真正的价值在于其一套的身份管理功能，例如用户账号及特权账号管理、设备注册管理、用户认证管理（其中包括多因素身份验证）、密码管理、群组管理、基于角色的访问控制（简称RBAC）、应用程序使用情况追踪、审计、报导等其他功能。汇聚起来，AD可以有助于保护使用Windows平台（如今是Azure平台）的企业安全，确保用户或者群组可以有权限访问所需服务。Azure AD同样也在本地数据中心中与Windows AD进行集成优化，可以使内部AD管理云资产。 当创建Azure订阅时，Azure AD数据库就会与之相连。IT员工负责云计算管理，然后，可以使用Azure AD授予订阅Azure的用户、群组以及应用程序访问资源的权限。 通过RBAC我们可以访问Azure资源。这就意味着我们最初需要创建许多AD角色来定义资产或资源中的每个角色在Azure订阅内的访问权限。Azure提供三个基础角色：所有者、贡献者和读者。所有者能够访问Azure内的所有资源并且控制其他管理人员的访问权限。贡献者可以创建和管理Azure资源，但是却不能改变其他人员的访问权限。读者只能浏览现有资源。除了基础角色外，Azure资源内还存在其他角色，创建或者制定这些角色的作用是满足企业需求。 现如今，用户账户已建立、群组已确定并得到认可、应用程序也已经部署完毕，那么我们就应该实施合适的AD角色。我们可以根据订阅资源、特定群组或者个人资源访问范围来实施各项角色，例如特定的虚拟机（VM）、网站、存储实例等等。 与Windows AD一样，Azure AD也是分层级进行操作的。这就意味着，某一级别（父级）的访问权限将会扩展到所有低层次（子级）。例如，通过创建群组并在订阅范围内分配好读者角色，那么所有群组成员都能够查看订阅资源内的资源。相比之下，如果管理人员将某一用户分配为资源群组内的贡献者，那么该用户能够管理本群组内的任何资源，例如创建新的VM，但是在其他群组内却没有任何作用。 这种管理角色非常灵活且强大，但是对于管理员来说，认真、合理地分配角色和范围来维持适当的安全态势是非常重要的。许多组织已经实施了如何分配用户及群组权限的政策，这些政策经常更新完善，从而能够及时反映Azure订阅的使用情况。

TechTarget中国原创内容，原文链接： http://www.searchsv.com.cn/showcontent_92228.htm
© TechTarget中国：http://www.techtarget.com.cn