Benutzeridentitäten im Azure AD – diese Möglichkeiten gibt es

Autor: Sebastian Mannstein, IT-Specialist, CEMA Hamburg

In der heutigen Zeit werden immer mehr Unternehmen mit Cloudanwendungen, die sogenannten Software as a Service Produkte, konfrontiert. 

Um diese Nutzen zu können, müssen sich die Benutzer beim jeweiligen Service authentifizieren. Dies kann sowohl lokal als auch in der Cloud erfolgen. Hierbei gibt es die Möglichkeit einer gemeinsamen Benutzeridentität. Diese sogenannte Hybrididentität gilt sowohl lokal als auch in der Cloud, unabhängig vom Standort.

Als Lösung bietet Microsoft hierfür das Azure AD und eine entsprechende Hybridstellung. Zum Beispiel müssen sich Benutzer an der Outlook Web App (OWA) authentifizieren, um Ihre persönlichen E-Mails zu erhalten.

Folgende Möglichkeiten gibt es dazu im Azure AD:

Die Cloud Only Identity

Es gibt die Cloud Only Identity, bei der keine lokale Infrastruktur von Nöten ist. Hier findet die Anmeldung der Benutzer immer in der Cloud statt.

Die Directoy Synchronisation

Bei der zweiten Variante, der Directory Synchronisation, werden die lokalen Benutzerprofile ins Azure AD synchronisiert. Die Verwaltung findet lokal statt, das Azure AD führt die Authentifizierung und Autorisierung selbst durch. Vorteil ist hier eine gewisse „Redundanz“, sollte die lokale Infrastruktur nicht erreichbar sein. So kann sich der Nutzer trotzdem über die Outlook Web App anmelden.

Die Passthrough-Authentifizierung

Bei der dritten Variante, der Passthrough-Athentifizierung, werden die lokalen Benutzer ins Azure AD synchronisiert. Ob hierbei die Kennworthashes auch synchronisiert werden, kann selbst bestimmt werden. Es wird auf der lokalen Infrastruktur ein Agent installiert, welcher das lokale Netzwerk mit Azure AD verbindet. Der Agent prüft die bei der Outlook Web App Anmeldung eingegeben Daten gegen das lokale Active Directory und meldet den Erfolg oder Misserfolg der Anmeldung zurück.

Federation

Die letzte Variante ist der Verbund, welche mit einem lokalen ADFS Server abgebildet wird. Hier wird der Benutzer bei der Outlook Web App Anmeldung auf die lokalen ADFS Server umgeleitet und kann sich dort mit seinen Zugangsdaten anmelden. Dadurch wird für den Benutzer ein Token erstellt, mit dem er sich bei Azure AD und verschiedenen Diensten ohne erneute Eingabe der Zugangsdaten anmelden kann.

Jede dieser Hybridbereitstellung der Identitäten hat seine Vor- und Nachteile, welche wir gerne mit Ihnen in einem persönlichen Gespräch erörtern.

KONTAKTIEREN SIE JETZT IHREN “CEMA SPEZIALISTEN”!

KLICKEN SIE HIER, UM E-MAILS VON CEMA ZU ERHALTEN

Bildquellen: https://docs.microsoft.com/de-de/azure/active-directory/hybrid/media/how-to-connect-password-hash-synchronization/arch1.png

https://docs.microsoft.com/de-de/azure/active-directory/hybrid/media/how-to-connect-pta-how-it-works/pta2.png

https://docs.microsoft.com/de-de/azure/active-directory/hybrid/media/whatis-hybrid-identity/federated-identity.png

Sebastian Mannstein

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.