Azure 指南/Azure Active Directory

Azure Active Directory 可以被認為是長期存在的 Active Directory 功能的繼任者，可用於管理聯網計算機，但它是基於雲的，並且更加通用。

它是一組在 Windows Server 上執行的服務，可用於管理計算機並分配許可權。一個簡單的例子是幾乎任何企業 - 高階成員將擁有比低階成員更高的許可權 - 並且 AD 可用於為整個網路設定使用者帳戶。一些被利用的服務示例包括輕型目錄服務、證書服務、聯合服務和許可權管理服務等等^[1]。

雖然功能強大，但 Active Directory 存在著侷限性，並且與非 Windows 使用者的互操作性相對較差^[2]。雖然 Microsoft 擁有 Active Directory 聯合服務作為替代方案，但仍然需要另一種替代方案。Azure 就是在這裡派上用場的。

正如我們所知，Azure 是 Office 365 服務的預設託管平臺。這意味著 Azure AD 可用於輕鬆整合多個 Microsoft 服務 - 例如，可以將使用者與 Office 365 帳戶關聯，以及他們可以使用該帳戶登入公司伺服器的帳戶。

雖然 Azure AD 確實有一個免費層，但還有高階選項可用，這些選項可以啟用其他功能和高階管理選項，等等^[3]。

該 Office AD 網站 提供了很好的解釋

讓我們看看 Azure Active Directory 或 Azure AD 身份模型如何能夠有效地為我們提供來自雲的 Active Directory lite。Azure AD 聽起來可能很複雜，但實際上並非如此。它是 Office 365 的預設身份模型。因此，您可能已經在 Office 365 中建立使用者時使用過它。想象一個包含少量使用者屬性的資料庫，例如姓名、租戶、角色和密碼，所有這些屬性都儲存在雲中，使用高度可用的 Azure 雲服務，這些服務可以擴充套件到數百萬條記錄，一個 Active Directory lite，如果你願意，這一切都沒有本地 Active Directory 帶來的層層複雜性。

使用 Azure Active Directory 不會產生任何費用。但是，使用 Azure Active Directory 基本版和高階版會產生額外的付費訂閱級別。這些提供了增值功能，例如門戶上的公司品牌和使用者自助密碼重置。為了理解 Azure AD 生命週期，讓我們首先瀏覽一個典型的場景。建立一個新使用者，然後在 Office 365 中對其進行管理。

使用者帳戶資訊儲存在 Azure AD 中。然後，每當需要驗證使用者時，Azure AD 都會執行所有身份和訪問管理。它始終可用，並且使用基於雲的基礎設施即服務或 IaaS。Azure AD 允許您將 Active Directory 身份驗證服務遷移到雲。無論這些是公共雲還是私有云，資料始終安全且可用，並存儲在資料中心中。

如果您希望保留本地所有權，則可以使用聯合服務來提供本地身份，同時允許您將 Active Directory 環境擴充套件到雲。我們知道雲提供可擴充套件性和始終線上的可用性。由於 Azure AD 託管在雲中，因此可以依賴它並從任何地方訪問它。Microsoft 能夠透過基於 Web 的協議和應用程式程式設計介面或 API 向其他服務公開 Azure AD，這些 API 允許與 Azure AD 進行可信通訊。

藉助這些安全的 API，Azure AD 可以與其他服務（例如本地 AD）整合，並允許在不同服務之間進行單點登入或 SSO。Azure AD 透過提供身份即服務來簡化身份驗證。也就是說，Azure AD 負責驗證使用者的身份。這可以透過許多行業標準協議來實現，例如 OAuth 2.0、SAML 2.0、OpenID Connect 和 Web 服務聯合或 WS-Federation。

當您使用 Office 365、Azure 或 Intune 時，您會間接與 Azure AD 互動。還有一些工具可以管理 Azure AD。如果您已經擁有 Azure 訂閱，則可以使用 Azure 門戶，如果您只需要新增或修改幾個使用者即可。Azure AD Connect 工具（取代 DirSync）是主要的同步工具，允許將本地 Active Directory 帳戶同步到 Azure AD。

對於更復雜的環境，您可以使用輕型目錄訪問協議或 LDAP，透過 Active Directory 目錄服務或 AD DS 來管理本地資源。然後可以將 Active Directory 聯合服務 AD FS 部署到現場，然後這將提供本地單點登入控制。如果您更喜歡在命令列工作，您也可以使用 AD 圖形 API（這是一個 REST API）直接與 Azure AD 互動，或者使用 Azure AD PowerShell cmdlet，例如 Get-AzureADUser 和 New-AzureADUser。

Azure AD 還可以被應用程式開發人員用來為他們的應用程式啟用單點登入 (SSO) 整合，而這在僅使用 AD 時是不可能的。

1. ↑ https://searchwindowsserver.techtarget.com/definition/Active-Directory
2. ↑ https://jumpcloud.com/blog/active-directory-azure-active-directory/
3. ↑ https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis