在软件即服务(SaaS)的世界中,Active Directory (AD) 提供了SaaS与本地应用程序之间的完整集成。通过Active Directory,可以为本地和云中运行的应用程序获得身份和访问能力,这意味着对本地和云应用程序的访问大大简化了。AD的自助服务功能包括密码管理和组管理,这些自助服务功能可以显著减少IT部门的工作量。
如果已经在使用本地目录,可以通过使用Azure AD的目录集成功能将其扩展到云中。在这种情况下,用户和组通过例如AzureActive DirectorySync同步到Active Directory。这意味着用户可以使用Windows Server Active Directory进行身份验证来访问本地应用程序,同时使用Azure Active Directory访问云应用程序。由于Azure AD托管在云中,可以是公共的或私有的,因此可以从任何地方访问。最后,Azure AD使用基于Web的协议和安全的应用程序编程接口(API)向其他服务公开。因此,可以在不同的服务之间实现单一登录(SSO)。
IT管理员可以使用AD来控制对应用程序和应用程序资源的访问,包括要求进行多因素身份验证以访问重要资源。Azure AD还可以增加用户身份和凭据的安全性。对于应用程序开发人员,Azure AD允许向应用程序添加单一登录(SSO),使其能够使用用户现有的凭据工作。最后,每个Microsoft 365、Office 365、Azure或Dynamics CRM Online的订阅者都已经在使用Azure AD。
用户通常作为工作或学生帐户用户被添加到Azure AD目录中。只要用户是组织的一部分,并且管理员没有删除帐户,该帐户就会持续存在。可以将来自不同目录(外部用户)的Active Directory用户添加到目录中。当不同目录中的用户需要访问相同的云应用程序时,这非常有用。
可以通过多种方式向Active Directory添加用户和组,包括:
可以为单个用户或整个组提供访问权限。使用组意味着可以将一组访问权限分配给组的所有成员,而不是逐个分配。
有三种不同的方式可以为用户分配访问权限,包括:
每个目录都会获得一个在共享名称上唯一的DNS名称。当使用自定义域时,可以将拥有的域与Active Directory中的目录关联起来。这不是强制性的,但通常被拥有自己域名的组织所偏好。
Azure AD包括许多安全功能,包括:
Active Directory支持许多用于保护应用程序的协议,包括WS-Federation、SAML-P、OAuth 2.0和OpenID Connect。