【TechTarget中国原创】 微软公司1999年在Windows Server 2000中引入Active Directory功能。后期的Windows Server版本中陆续进行改善提升,Windows环境内的用户认证和身份管理都会有相关的目录服务。云计算环境中,微软公司还为企业提供了Active Directory,需要以服务应用程序的身份跨软件访问控制权限。 Active Directory(简称AD)为所有用户分配并强制执行一系列安全策略,限制用户执行任务的范围。例如,AD将会检查用户凭证,并判断此次登陆是否有正规用户或者管理员权限,如果是正规的,那么便会被授予服务、应用程序以及相关权限。 随着微软公司云服务的发布, Azure AD似乎为多用户云环境提供了相同的目录和身份管理基础套件。Azure AD可以为云应用提供单点登录服务(简称SSO),例如Salesforce、Dropbox、Office 365以及其他数不胜数的软件即服务(简称SaaS)应用程序。云开发人员甚至可以将Azure AD功能集成到软件中,实现云部署开发,让其他Windows AD组织可以更轻松地集成和使用这些应用程序。 但是,其实Azure AD真正的价值在于其一套的身份管理功能,例如用户账号及特权账号管理、设备注册管理、用户认证管理(其中包括多因素身份验证)、密码管理、群组管理、基于角色的访问控制(简称RBAC)、应用程序使用情况追踪、审计、报导等其他功能。汇聚起来,AD可以有助于保护使用Windows平台(如今是Azure平台)的企业安全,确保用户或者群组可以有权限访问所需服务。Azure AD同样也在本地数据中心中与Windows AD进行集成优化,可以使内部AD管理云资产。 当创建Azure订阅时,Azure AD数据库就会与之相连。IT员工负责云计算管理,然后,可以使用Azure AD授予订阅Azure的用户、群组以及应用程序访问资源的权限。 通过RBAC我们可以访问Azure资源。这就意味着我们最初需要创建许多AD角色来定义资产或资源中的每个角色在Azure订阅内的访问权限。Azure提供三个基础角色:所有者、贡献者和读者。所有者能够访问Azure内的所有资源并且控制其他管理人员的访问权限。贡献者可以创建和管理Azure资源,但是却不能改变其他人员的访问权限。读者只能浏览现有资源。除了基础角色外,Azure资源内还存在其他角色,创建或者制定这些角色的作用是满足企业需求。 现如今,用户账户已建立、群组已确定并得到认可、应用程序也已经部署完毕,那么我们就应该实施合适的AD角色。我们可以根据订阅资源、特定群组或者个人资源访问范围来实施各项角色,例如特定的虚拟机(VM)、网站、存储实例等等。 与Windows AD一样,Azure AD也是分层级进行操作的。这就意味着,某一级别(父级)的访问权限将会扩展到所有低层次(子级)。例如,通过创建群组并在订阅范围内分配好读者角色,那么所有群组成员都能够查看订阅资源内的资源。相比之下,如果管理人员将某一用户分配为资源群组内的贡献者,那么该用户能够管理本群组内的任何资源,例如创建新的VM,但是在其他群组内却没有任何作用。 这种管理角色非常灵活且强大,但是对于管理员来说,认真、合理地分配角色和范围来维持适当的安全态势是非常重要的。许多组织已经实施了如何分配用户及群组权限的政策,这些政策经常更新完善,从而能够及时反映Azure订阅的使用情况。

TechTarget中国原创内容,原文链接: http://www.searchsv.com.cn/showcontent_92228.htm
© TechTarget中国:http://www.techtarget.com.cn

云中Active Directory是如何工作的?的更多相关文章

  1. Azure Active Directory Connect是如何协助管理员工作的?

    TechTarget中国原创] 应用基于云的Microsoft Azure Active Directory,管理员们可以将本地Active Directory整合到Windows Server中.通 ...

  2. Windows Server 2016-WinSer2016 Active Directory新增功能

    Windows Server 2016 Active Directory 域服务 (AD DS)新增很多功能用来提升Active Directory域及组织环境安全等,并帮助他们面向云的部署或混合部署 ...

  3. CAS FOR WINDOW ACTIVE DIRECTORY SSO单点登录

    一.CAS是什么? CAS(Central Authentication Service)是 Yale 大学发起的一个企业级的.开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(支持 ...

  4. AD域的安装(在Windows Server 2003中安装Active Directory)

    在Active Directory中提供了一组服务器作为身份验证服务器或登录服务器,这类服务器被称作域控制器(Domain Controller,简称DC).建立一个AD域的过程实际就是在一台运行Wi ...

  5. 简化 Web 应用程序与 Windows Azure Active Directory、ASP.NET 和 Visual Studio 的集成

    大家好! 今天的博文深入讨论我们今天推出的开发人员工具和框架中的一些新功能.我们通过与 ASP.NET 和 Visual Studio 团队合作开发了一些重大的增强功能,让开发人员能够轻松使用 Win ...

  6. 部署额外域控制器,Active Directory

      部署额外域控制器 转自:http://yuelei.blog.51cto.com/202879/117599 如果域中只有一台域控制器,一旦出现物理故障,我们即使可以从备份还原AD,也要付出停机等 ...

  7. DNS笔记 DNS区域集成到 Active Directory

    可以将 DNS 区域集成到 Active Directory 中以提供增强的容错功能和安全性.OpenDNS   Google Public DNS往返时间 (RTT) 远程访问服务 (RAS)域名与 ...

  8. install Active Directory域控制器

    设置Active Directory域控制器 正如我们在网络与系统配置专题文章中所提到的那样,我们已将两部服务器设置为对应于内部域“intdomain.com”的Active Directory域控制 ...

  9. 移动服务和 Azure Active Directory 中基于角色的访问控制

    编辑人员注释:本文章由 Matthew Henderson撰写 去年 11月,我们发布了 Azure Active Directory (AAD) 预览版作为移动服务身份提供程序.此举旨在为企业开 ...

随机推荐

  1. Ubuntu下查看机器信息

    原文地址 测试机器的硬件信息 查看CPU信息(看到有8个逻辑CPU, 也知道了CPU型号)   # cat /proc/cpuinfo | grep name | cut -f2 -d: | uniq ...

  2. PayPal 开发详解(一):注册PayPal帐号

    1.注册paypal帐号 https://www.paypal.com 2.使用刚才注册的paypal帐号登录3.进入开发者中心 4.登录开发者中心 5.登录 查看我们paypal Sandbox测试 ...

  3. Map.putAll方法——追加另一个Map对象到当前Map集合(转)

    该方法用来追加另一个Map对象到当前Map集合对象,它会把另一个Map集合对象中的所有内容添加到当前Map集合对象. 语法  putAll(Map<? extends K,? extends V ...

  4. MFC TreeCtrl 控件(一):简单使用

    本文描写叙述了 MFC 中的树形控件 TreeCtrl 的简单使用,内容包含数据项的加入.图标设置.提示信息设置等. 新建基于对话框的应用程序,加入一个 TreeCtrl ,为其定义一个控件变量 m_ ...

  5. vue实现图书管理demo

    年后公司的项目要求用到vue.js知识,我angular没有学,node.js和react也只是了解了一点点,所以学起来比较困难.如果你想学vue.js的知识,推荐网址:http://vuejs.or ...

  6. java基础3之IO

    流 流是一个很形象的概念,当程序需要读取数据的时候,就会开启一个通向数据源的流,这个数据源可以是文件,内存,或是网络连接.类似的,当程序需要写入数据的时候,就会开启一个通向目的地的流. 流的种类 字符 ...

  7. vb 三种启动模式

    正常启动不用说了 就是虚拟机和显示部分在同一个程序里进行 直接关闭程序 就都关闭了 相当于我们普通的电脑, 有主机和显示器无界面启动 也很好理解 ,就是在后台启动虚拟机,如同服务器, 我们只有一个主机 ...

  8. 前端面试总结——http、html和浏览器篇

    1.http和https https的SSL加密是在传输层实现的. (1)http和https的基本概念 http: 超文本传输协议,是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和 ...

  9. final的作用

    前言 一直想写写这个话题.代表公司也面试过一些求职者,每次面试我必问的两个问题之一 就是“请你谈一谈对于final关键字的理解”.这是一个简单的小问题,但是不要小看它,通过对这个问题的回答以及一些简单 ...

  10. sysctl -P net.bridge.bridge-nf-call-ip6tables报错解决办法

    问题症状 修改 linux 内核文件 #vi /etc/sysctl.conf后执行sysctl  -P 报错 error: "net.bridge.bridge-nf-call-ip6ta ...