Azure Active Directory 概述

引言

Azure Active Directory 是 Microsoft 提供的完全托管的多租户服务。 它专为软件即服务 (SaaS) 世界而设计，并在 SaaS 和本地应用程序之间提供完全集成。 使用 Active Directory (AD)，您可以获得在本地和云中运行的应用程序的身份和访问功能。 这意味着对本地和云应用程序的访问大大简化。 AD 的自助服务功能包括密码管理和组管理。 这些自助服务功能可以大大减少 IT 部门的工作量。

如果您已经使用本地目录，则可以使用 Azure AD 的目录集成功能将其扩展到云。 在这种情况下，用户和组会使用 Azure Active Directory 同步等工具同步到 Active Directory。 这意味着用户在访问本地应用程序时可以使用 Windows Server Active Directory 进行身份验证，而在访问云应用程序时可以使用 Azure Active Directory。 由于 Azure AD 托管在云中（可以是公共云或私有云），因此可以从任何地方访问它。 最后，Azure AD 使用基于 Web 的协议和安全的应用程序编程接口 (API) 公开给其他服务。 因此，您可以在不同服务之间实现单点登录 (SSO)。

谁使用它以及为什么使用它？

IT 管理员可以使用 AD 来控制对应用程序和应用程序资源的访问，包括要求多因素身份验证才能访问重要资源。 Azure AD 还可以提高用户身份和凭据的安全性。 对于应用开发者而言，Azure AD 允许您将单点登录 (SSO) 添加到您的应用，使其能够与用户的现有凭据一起使用。 最后，每个 Microsoft 365、Office 365、Azure 或 Dynamics CRM Online 订阅者都在使用 Azure AD。

它是如何工作的？

用户

用户通常作为工作或学生帐户用户添加到 Azure AD 中的目录。 该帐户将持续存在，只要用户是组织的一部分，并且直到管理员删除该帐户。 可以将来自 Active Directory 中不同目录（外部用户）的用户添加到目录。 当不同目录中的用户需要访问相同的云应用程序时，这非常有用。

添加用户和组

您可以通过多种方式将用户和组添加到 Active Directory，包括

• 从本地 Windows Server Active Directory 同步
• 手动使用 Azure 管理门户，前提是用户数量相对较少
• 使用 PowerShell 和 Azure Active Directory cmdlet 进行脚本编写，这对于大量用户和组更有用
• 以编程方式使用 Azure Active Directory Graph API

访问管理

您可以向单个用户提供对整个组的访问权限。 使用组意味着您可以将一组访问权限分配给组的所有成员，而不是逐个分配。

有三种不同的方式可以将访问权限分配给用户，包括

• 直接分配。 资源所有者将用户分配给资源。
• 组分配。 资源所有者将组分配给资源。 这意味着该组的所有成员都会自动获得对该资源的访问权限。
• 基于规则的分配。 资源所有者创建一个组，并使用由属性和值组成的规则来决定哪些用户可以访问特定资源。

自定义域和安全

每个目录在共享名称上都有一个唯一的 DNS 名称。 当您使用自定义域时，您可以将您拥有的域与 Active Directory 中的目录关联。 这不是强制性的，但通常受到拥有自己域名的组织的青睐。

Azure AD 包含许多安全功能，包括

• 多因素身份验证。 这为用户登录提供额外的安全层，并且易于使用和扩展。
• 条件访问提供更多关于如何、从何处以及谁可以访问数据的控制。 您可以轻松地创建策略，以根据设备类型、应用程序、用户角色或网络等控制访问。
• 动态组提供基于用户属性（例如部门或位置）的自动组成员资格，而无需手动设置或监视它。

Azure AD 支持的协议

Active Directory 支持许多用于保护应用程序的协议，包括 WS-Federation、SAML-P、OAuth 2.0 和 OpenID Connect。

在此处了解更多信息：Azure Active Directory

历史

• 2018 年 12 月 31 日：版本 1