Что такое azure active directory

Что такое Azure Active Directory?

Azure Active Directory (Azure AD) — это облачная служба управления удостоверениями и доступом от корпорации Майкрософт. Она помогает вашим сотрудникам входить в систему и обращаться к ресурсам таких категорий:

внешние ресурсы, такие как Microsoft 365, портал Azure и тысячи других приложений SaaS;

во внутренних ресурсах, таких как приложения в корпоративной сети и интрасети, а также в любых облачных приложениях, разработанных вашей организацией. Дополнительные сведения о создании клиента для организации см. в разделе Краткое руководство. Создание клиента в Azure Active Directory.

Сведения о различиях между Azure AD и доменными службами Active Directory см. в разделе Сравнение Active Directory с Azure Active Directory. Лучше понять базовые службы идентификации в Azure, Azure AD и Microsoft 365 можно с помощью различных постеров о Microsoft Cloud для корпоративных архитекторов.

Кто использует Azure AD

Azure AD могут использовать:

ИТ-администраторы. С помощью Azure AD ИТ-администратор может управлять доступом к приложениям и их ресурсам в соответствии с бизнес-требованиями. Например, вы можете использовать Azure AD, чтобы требовать прохождение многофакторной проверки подлинности при доступе к ресурсам организации. Кроме того, с помощью Azure AD можно автоматизировать подготовку пользователей между существующим экземпляром Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, Azure AD предоставляет эффективные инструменты для автоматической защиты учетных данных и удостоверений пользователей и соответствия требованиям системы управления. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium.

Разработчики приложений. Разработчики приложений могут использовать Azure AD как соответствующее стандартам средство для включения единого входа в приложении, обеспечивая возможность работы с существующими учетными данными пользователя. Azure AD также предоставляет интерфейсы API, с помощью которых можно разработать персонализированные интерфейсы приложений, используя существующие данные организации. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков).

Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online. Как подписчик вы уже используете Azure AD. Каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически также является клиентом Azure AD. Кроме того, вы можете сразу начать управлять доступом к интегрированным облачным приложениям.

Что такое лицензии Azure AD?

В бизнес-службах Microsoft Online, например Microsoft 365 или Microsoft Azure, для входа в систему и защиты идентификации используется Azure AD. Если вы подписаны на любую из бизнес-служб Microsoft Online, то вы автоматически получите Azure AD с доступом ко всем бесплатным возможностям.

Чтобы улучшить реализацию Azure AD, можно также добавить платные возможности или воспользоваться обновлением до лицензий Azure Active Directory Premium P1 или Premium P2. Платные лицензии Azure Active Directory создаются на основе существующего бесплатного каталога, предоставляя самообслуживание, улучшенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.

Сведения о ценах для различных лицензий см. на странице цен на Azure Active Directory.

В настоящий момент выпуски Azure Active Directory Premium P1 и Azure Active Directory Premium P2 не поддерживаются в Китае. Дополнительные сведения о ценах на Azure AD можно узнать на форуме по Azure Active Directory.

Azure Active Directory Free. Предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты, возможность самостоятельного изменения паролей для пользователей облака, единый вход в Azure, Microsoft 365 и многие другие популярные приложения SaaS.

Azure Active Directory Premium P1. В дополнение к возможностям в рамках предложения уровня «Бесплатный», P1 обеспечивает пользователям гибридный доступ к локальным и облачным ресурсам. Он также поддерживает расширенные функции администрирования, такие как динамические группы, самостоятельное управление группами, Microsoft Identity Manager (средство для управления локальными удостоверениями и управления доступом) и возможности обратной записи в облаке, которые позволяют самостоятельно сбрасывать пароль для локальных пользователей.

Azure Active Directory Premium P2. В дополнение к возможностям в рамках предложений уровня «Бесплатный» и P1, P2 также обеспечивает Защиту идентификации Azure Active Directory, которая предоставляет условный доступ к приложениям и критически важным данным компании на основе рисков, и привилегированное управление идентификацией, позволяющее выявлять, ограничивать и отслеживать администраторов и их доступ к ресурсам, а также предоставить JIT-доступ, когда это необходимо.

Лицензии на использование функций с оплатой по мере использования. Вы также можете получить лицензии на дополнительные функции, такие как Azure Active Directory B2C. B2C помогает предоставлять решения для управления идентификацией и доступом для клиентских приложений. Дополнительные сведения см. в статье об Azure Active Directory B2C.

Дополнительные сведения о связывании подписки Azure с Azure AD см. в статье Привязка или добавление подписки Azure в Azure Active Directory, а сведения о присвоении лицензий пользователям — в статье Практическое руководство по назначению или удалению лицензий Azure Active Directory.

Какие функции поддерживает Azure AD?

После выбора лицензии Azure AD вы получите доступ ко всем (или некоторым) следующим функциям для своей организации.

Терминология

Чтобы лучше понять Azure AD и сопутствующую документацию, мы рекомендуем изучить приведенные ниже термины.

Источник

Что такое Azure Active Directory B2C

Azure Active Directory B2C предоставляет службу корпоративного управления удостоверениями для клиентов. Ваши клиенты получат возможность единого входа в ваши приложения и API, используя выбранные удостоверения социальных сетей, предприятий или локальных учетных записей.

Azure AD B2C — это решение для управления удостоверениями и доступом клиентов (CIAM), способное обслуживать миллионы пользователей и миллиарды проверок подлинности ежедневно. Это решение отвечает за масштабирование и безопасность платформы проверки подлинности, мониторинг и автоматическую реакцию на разные угрозы, такие как атаки методами отказа в обслуживании, распыления паролей подбора.

Azure AD B2C — это отдельная служба в Azure Active Directory (Azure AD). Он основан на той же технологии, что и Azure AD, но используется для другой цели, позволяя создавать приложения для клиентов, а затем разрешать всем пользователям регистрироваться в этих приложениях без ограничений для учетных записей пользователей.

Кто использует Azure AD B2C?

Любая организация или человек, которым нужно выполнить проверку подлинности конечных пользователей в своих веб-и мобильных приложениях с помощью решения для проверки подлинности с использованием белой метки. Кроме проверки подлинности, служба Azure AD B2C используется для авторизации, например для получения доступа к ресурсам API пользователями, выполнившими проверку подлинности. Служба Azure AD B2C предназначена для использования ИТ-администраторами и разработчиками.

Решение для идентификации с пользовательским оформлением

Azure AD B2C предоставляет небрендированное решение для проверки подлинности. Вы можете изменить весь пользовательский интерфейс под оформление своей торговой марки, чтобы он хорошо смотрелся в мобильных и веб-приложениях.

Настройте каждую страницу, которую Azure AD B2C отображает при регистрации пользователей, входе в систему и изменении профилей. Настройте HTML, CSS и JavaScript в путях взаимодействия пользователя, чтобы интерфейс Azure AD B2C не отличался от основного приложения.

Единый вход с использованием удостоверений, предоставленных пользователем

Azure AD B2C использует протоколы проверки подлинности на основе стандартов, включая OpenID Connect, OAuth 2.0 и язык разметки заявлений системы безопасности (SAML). Это решение интегрируется с большинством современных приложений и коммерческих версий программного обеспечения.

Azure AD B2C выполняет роль центра проверки подлинности для веб-приложений, мобильных приложений и интерфейсов API, позволяя создать для них общее решение единого входа. Создайте централизованную коллекцию профилей пользователей и сведений о предпочтениях, собирайте данные о поведении при входе и преобразовании в регистрации для подробного анализа.

Интеграция с внешними хранилищами пользователей

Azure AD B2C предоставляет каталог, который может содержать 100 настраиваемых атрибутов для каждого пользователя. Но поддерживается и интеграция с внешними системами. Например, вы можете использовать Azure AD B2C для проверки подлинности, а источником данных о пользователях назначить внешнюю систему CRM или базу данных лояльности клиентов.

Внешнее хранилище пользователей можно также применять для хранения профилей пользователей или персональных данных, оставив обработку проверки подлинности в Azure AD B2C. Например, это будет полезно при наличии требований к местонахождению, таких как региональные или локальные политики хранения данных. Однако служба Azure AD B2C сама по себе доступна по всему миру через общедоступное облако Azure.

Azure AD B2C может помогать в сборе данных о пользователе во время регистрации или изменения профиля, а затем передавать эти данные во внешнюю систему через API. Затем, при проверках подлинности, Azure AD B2C будет получать эти данные из внешней системы и при необходимости включать их в маркер проверки подлинности, который отправляется в приложение в качестве ответа.

Прогрессивное профилирование

Следующий вариант пути взаимодействия пользователя включает прогрессивное профилирование. Прогрессивное профилирование позволяет клиентам быстро завершить первую транзакцию, при которой собирается минимальный объем информации. Затем дополнительные данные для профиля собираются от клиента при последующих входах.

Проверка личности и подтверждение у сторонних поставщиков

Azure AD B2C поможет упростить проверку личности и подтверждение, собирая данные пользователей и передавая их в систему стороннего поставщика для проверки, оценки доверия и утверждения создаваемой учетной записи пользователя.

Вы узнали о некоторых возможностях при использовании Azure AD B2C в качестве платформы идентификации категории «бизнес — клиент». В следующих разделах этой обзорной статьи описывается демонстрационное приложение, в котором используется Azure AD B2C. Вы также можете сразу перейти к более подробному техническому обзору Azure AD B2C.

Пример WoodGrove Groceries

WoodGrove Groceries создано и опубликовано корпорацией Майкрософт как веб-приложение для демонстрации нескольких функций Azure AD B2C. В следующих нескольких разделах рассматриваются некоторые варианты проверки подлинности, предоставляемые Azure AD B2C на веб-сайте WoodGrove.

Обзор бизнеса

WoodGrove — это Интернет-магазин, который продает бакалейные товары отдельным потребителям и бизнес-клиентам. Бизнес-клиенты приобретают товары от имени компании, в которой они работают или которой управляют.

Параметры входа

WoodGrove Groceries предлагает несколько вариантов для входа в зависимости от отношений клиента с магазином.

Проверка подлинности для индивидуальных клиентов

Когда клиент выбирает вход с личной учетной записью он перенаправляется на настроенную страницу входа в Azure AD B2C. На следующем рисунке можно заметить, что мы настроили пользовательский интерфейс и внешний вид так же, как на веб-сайте WoodGrove Groceries. Клиенты WoodGrove не должны замечать, что процесс проверки подлинности размещается и защищается в Azure AD B2C.

WoodGrove позволяет своим клиентам регистрироваться и входить в систему с учетными записями, поставщиком удостоверений для которых является Google, Facebook или Майкрософт. Также они могут зарегистрироваться, указав личный адрес электронной почты и пароль для создания локальной учетной записи.

Когда клиент выбирает вход с личной учетной записью, а затем ссылку Зарегистрироваться, ему предоставляется пользовательская страница регистрации.

Когда клиент вводит адрес электронной почты и выбирает отправку проверочного кода, Azure AD B2C отправляет ему этот код. Клиент вводит код и нажимает кнопку Проверить код, а затем вводит другие сведения в форме и подтверждает согласие с условиями предоставления услуг.

Когда пользователь нажмет кнопку Создать, Azure AD B2C перенаправит его обратно на веб-сайт WoodGrove Groceries. При этом перенаправлении Azure AD B2C передает маркер проверки подлинности OpenID Connect в веб-приложение WoodGrove. Теперь пользователь считается вошедшим в систему и может начинать работу, а его имя отображается в правом верхнем углу как признак успешного входа.

Проверка подлинности для бизнес-клиентов

Когда клиент выбирает любой из вариантов в разделе Бизнес-клиенты, веб-сайт WoodGrove Groceries вызывает другую политику Azure AD B2C, которая отличается от политики для индивидуальных клиентов. Дополнительные сведения о политике B2C см. в техническом обзоре Azure AD B2C.

Эта политика позволяет ввести корпоративные учетные данные для регистрации и входа. В примере WoodGrove пользователям предлагается выполнить вход с любой рабочей или учебной учетной записью. Эта политика использует мультитенантное приложение Azure AD и конечную точку Azure AD для федерации Azure AD B2C с любым клиентом Microsoft 365.

Проверка подлинности для партнеров

С ссылкой для входа с учетной записью поставщика используется функция совместной работы из Azure Active Directory B2B. Azure AD B2B — это семейство компонентов Azure Active Directory для управления удостоверениями партнеров. Для этих удостоверений можно настроить федерацию из Azure Active Directory для доступа к приложениям, защищенным с помощью Azure AD B2C.

Дальнейшие действия

Теперь, когда у вас есть представление о том, что такое Azure AD B2C и в каких ситуациях есть смысл использовать это решение, переходите к изучению технических возможностей и компонентов системы.

Источник

What is Azure Active Directory?

Azure Active Directory (Azure AD) is Microsoft’s cloud-based identity and access management service, which helps your employees sign in and access resources in:

External resources, such as Microsoft 365, the Azure portal, and thousands of other SaaS applications.

Internal resources, such as apps on your corporate network and intranet, along with any cloud apps developed by your own organization. For more information about creating a tenant for your organization, see Quickstart: Create a new tenant in Azure Active Directory.

To learn the difference between Azure AD and Active Directory Domain Services, see Compare Active Directory to Azure Active Directory. You can also use the various Microsoft Cloud for Enterprise Architects Series posters to better understand the core identity services in Azure, Azure AD, and Microsoft 365.

Who uses Azure AD?

Azure AD is intended for:

IT admins. As an IT admin, you can use Azure AD to control access to your apps and your app resources, based on your business requirements. For example, you can use Azure AD to require multi-factor authentication when accessing important organizational resources. Additionally, you can use Azure AD to automate user provisioning between your existing Windows Server AD and your cloud apps, including Microsoft 365. Finally, Azure AD gives you powerful tools to automatically help protect user identities and credentials and to meet your access governance requirements. To get started, sign up for a free 30-day Azure Active Directory Premium trial.

App developers. As an app developer, you can use Azure AD as a standards-based approach for adding single sign-on (SSO) to your app, allowing it to work with a user’s pre-existing credentials. Azure AD also provides APIs that can help you build personalized app experiences using existing organizational data. To get started, sign up for a free 30-day Azure Active Directory Premium trial. For more information, you can also see Azure Active Directory for developers.

Microsoft 365, Office 365, Azure, or Dynamics CRM Online subscribers. As a subscriber, you’re already using Azure AD. Each Microsoft 365, Office 365, Azure, and Dynamics CRM Online tenant is automatically an Azure AD tenant. You can immediately start to manage access to your integrated cloud apps.

What are the Azure AD licenses?

Microsoft Online business services, such as Microsoft 365 or Microsoft Azure, require Azure AD for sign-in and to help with identity protection. If you subscribe to any Microsoft Online business service, you automatically get Azure AD with access to all the free features.

To enhance your Azure AD implementation, you can also add paid capabilities by upgrading to Azure Active Directory Premium P1 or Premium P2 licenses. Azure AD paid licenses are built on top of your existing free directory, providing self-service, enhanced monitoring, security reporting, and secure access for your mobile users.

For the pricing options of these licenses, see Azure Active Directory Pricing.

Azure Active Directory Premium P1 and Premium P2 are not currently supported in China. For more information about Azure AD pricing, contact the Azure Active Directory Forum.

Azure Active Directory Free. Provides user and group management, on-premises directory synchronization, basic reports, self-service password change for cloud users, and single sign-on across Azure, Microsoft 365, and many popular SaaS apps.

Azure Active Directory Premium P1. In addition to the Free features, P1 also lets your hybrid users access both on-premises and cloud resources. It also supports advanced administration, such as dynamic groups, self-service group management, Microsoft Identity Manager (an on-premises identity and access management suite) and cloud write-back capabilities, which allow self-service password reset for your on-premises users.

Azure Active Directory Premium P2. In addition to the Free and P1 features, P2 also offers Azure Active Directory Identity Protection to help provide risk-based Conditional Access to your apps and critical company data and Privileged Identity Management to help discover, restrict, and monitor administrators and their access to resources and to provide just-in-time access when needed.

«Pay as you go» feature licenses. You can also get additional feature licenses, such as Azure Active Directory Business-to-Customer (B2C). B2C can help you provide identity and access management solutions for your customer-facing apps. For more information, see Azure Active Directory B2C documentation.

For more information about associating an Azure subscription to Azure AD, see Associate or add an Azure subscription to Azure Active Directory and for more information about assigning licenses to your users, see How to: Assign or remove Azure Active Directory licenses.

Which features work in Azure AD?

After you choose your Azure AD license, you’ll get access to some or all of the following features for your organization:

Terminology

To better understand Azure AD and its documentation, we recommend reviewing the following terms.

Источник