Azure云计算教程 - Azure Active Directory

Azure

教程

发布日期: 2022-01-01

Azure Active Directory (AD)介绍

Azure AD的作用就是对Azure服务及资源进行身份验证和管理。其中又包括了应用程序管理，认证，设备管理，用户管理，混合身份管理等。

Azure AD中的重要概念：

Identity
Account: 和identity绑定的数据
Azure AD accoun：通过Azure云创建的账号
Azure tenant: 当一个组织创建一个微软Cloud service subscription时被自动创建的Azure AD实例。很多Azure资源都能在subscription之间迁移，比如：Key vault, Storage account, VM，但tenant不能进行迁移。
Azure AD Directory: 针对每个tenant，都有一个与之绑定的Azure AD Directory。
User subscription: 用于支付Azure云服务。

Azure AD支持的第三份认证服务很多（ADFS)，比如：Salesforce, facebook, twitter，阿里巴巴，微信等。。。

相对于传统的Windows AD Domain Services (AD DS)，Azure AD还是和其有很大区别的。比如：

免费版本：最多500,000个对象(Directoy objects)，最多10个单点登录APP，核心认证和访问服务，B2B协作。
Office 365 Apps：不限制Directoy objects的数量，最多10个单点登录APP，核心认证和访问服务，B2B协作，O365的认证和访问。
Premium P1：不受限制的Directoy objects及单点登录APP，核心认证和访问服务，B2B协作，O365的认证和访问，Premium features, Hybrid identities, Advanced Group Access, Conditional Access。
Premium P2: P1 + Identity Protection, Identity Goverance

可以实现灵活的多因素身份验证，比如：当用户IP发生变化时，登录存在风险时等激活多重验证。

支持邮件，电话，短信，机密问题等多种方式进行密码重置。

必须是Global Administrator或者User Administrator才能对用户进行管理。

在Azure中的账户分为三种：

Cloud: 云原生账户，也就是在微软云中直接创建的账户，并没有和AD DS同步。
Directory-synchronized: 代表和AD DS同步的用户类型
Guest：适用于Azure之外创建的账户。比如：一个用户想通过hotmail进行登录。这种方式非常适用于contractor，一旦合同结束，可以非常便捷的移除相应资源。

一旦用户被删除，在30天内可以恢复。

组的类型包括：Security / Office 365两种类型。

可以实现动态组管理，比如定义一组规则，当规则满足时，赋予用户组权限。

可以从微软官网下载这个工具，然后定义同步规则，比如：关于设备，密码，组，OU过滤等，进而实现AD DS到Azure AD的数据同步。

在Azure中，每个tenant都用于完全独立的资源，比如：云资源，同步，管理等。tenant之间没有父子关系。

Business to Business (B2B): 可以邀请其他Azure AD tenant的用户访问你tenant中的资源，在这种情况下，用户由受邀方创建和管理。
Business to Customer (B2C)：邀请其他社交媒体账户访问你的Azure AD tenant，这时用户的创建由对方管理，但你要控制邀请谁。

逻思

https://www.lcoding.club/azure-tutorials-active-directory/