挨踢茶馆

  • 首页
  • AWS
  • 网络技术
    • 思科语音
    • 路由交换
  • 给我留言
  • 关于我
挨踢茶馆
专注于网络技术、云计算的技术博客
  1. 首页
  2. 云计算
  3. 正文

[译]风险更低的新版本Active Directory Federation Services

2015 年 10 月 19 日 5152点热度 0人点赞 0条评论

  微软的Azure Active Directory团队长期致力于使用身份ID来做全新的控制层面这一目标。身份ID表明了你是谁以及你被授权能做的事情,它也理应是访问控制中的最小公分母。身份认证应该做到不管一个用户访问的是公司数据中心里的资源或设备,还是云应用或第三方Web服务,都能确定什么是可以被访问,什么是不能被访问的。

adfs_logo

  为此,微软对Windows Server 2016's Active Directory Federation Services (活动目录联合服务) 和它的兄弟云服务成员Azure Active Directory做了一些重要的改进,来调整在特定情形下对访问的授权。改进版本中的条件访问控制功能被扩展了,管理员可以拥有更多的控制权利,他们能根据用户所使用的设备和他们所访问的资源或应用来决定一个用户拥有多少的访问以及可信度。

Intune为控制提供了基础

  Microsoft Intune云系统配置工具是综上所述这些功能的基础。Intune通常是购买Enterprise Mobility Suite(企业移动套件)或者Azure AD Premium中包含的一部分,也是EMS许可证包含的内容。Intune现在负责更新所有设备的资源库,其中包括了“加入”企业的设备或者企业本身直接管理的设备。Intune同时也能追踪设备符合公司策略的状态。

  Intune称之为New Device Trust Level。这个等级可以分为三种状态:已认证、受管理、服从(规范)。有了这些状态,新的条件访问控制功能可以让管理员创建复杂的规则,例如允许HR组的员工在通过多重认证之后可以访问属于薪酬类的SharePoint Web门户;只允许使用满足规范设备的合同工访问Salesforce实例;允许销售人员远程使用已经加入了工作区间(不是域)的设备访问本地的报价应用。

身份和设备可以绑在一起

  管理员可以设立规则来测试用户身份,或者测试这个特点的身份可以访问什么角色和组。IT员工还可以将设备规范状态和身份进行配对,以保证正确的人在使用满足策略的设备访问敏感的应用程序。

  有一些应用只允许域成员或加入工作区间的设备访问,所以IT可以对存储实施加密。其他情况下,某些应用可能只是用来阅读或者分享内容的,这种情况下IT只需要强制地进行身份控制即可。

Windows Server 2016对控制的扩展

  自Windows Server 2016起,条件访问控制功能就超越了物理机的限制。IT员工可以用Active Directory对本地部署的应用建立控制,同样也可以对云服务例如Office 365或者其他能被Azure Active Directory联合和保护的云应用,例如DocuSign和Salesforce。Azure Active Directory会将设备状态信息同步到普通的AD部署环境中去,而且企业通过Active Directory Application Proxy部署的应用也能认知这些设备状态限制。

  企业只需要安装Azure AD Connect,它可以替代不稳定的DirSync产品。Azure AD Connect对于那些大部分使用本地应用,也使用Microsoft Azure应用的业务来说非常有用。

应用代码无需做任何更改

  AD FS其中一个最有益的功能是能强制对本地应用和云应用进行多重认证,而无需对应用代码做任何修改。

  使用AD FS进行认证的话,应用程序需要能识别请求——要支持大部分流行的协议,包括OAuth 2.0,OpenID Connect,SAML或WS-Federation——之后IT才能让Azure Active Directory处理复杂的多重认证。这样子每个月只需要花费适度的EMS许可证消费和一些工作时间就可以让现有的应用非常的安全。

原文:http://searchwindowsserver.techtarget.com/tip/Less-risk-in-updated-Active-Directory-Federation-Services

标签: Azure Active Directory Microsoft Intune
最后更新:2015 年 10 月 19 日

挨踢小茶

网络工程师/云计算架构师/云步道师/摄影爱好者

点赞
< 上一篇
下一篇 >

文章评论

razz evil exclaim smile redface biggrin eek confused idea lol mad twisted rolleyes wink cool arrow neutral cry mrgreen drooling persevering
取消回复

挨踢小茶

网络工程师/云计算架构师/云步道师/摄影爱好者

最新 热点 随机
最新 热点 随机
李飞飞自传《我看见的世界》读后感 Web3 Social 2023 @深圳 AIGC Prompt 的艺术和模型调优 UWA Day 2022 - 如何通过云计算构架高性能、高可靠、智能化的游戏 一文看懂 Amazon EKS 中的网络规划 利用 Direct Connect Gateway 和 Transit Gateway 打造跨国企业网络环境 SD-WAN 和专线混合组网中的高可用设计 为了加速Wordpress网站我踩过了哪些坑?含泪告诉你 利用 SD-WAN 和专线混合组网,加速境内外企业 IDC 和多云数据中心 运行7年之后博客更新主题
GoDaddy承认域名转出在增加,现反对SOPA法案 什么才是互联网当今导向 登录Cisco Wireless LAN Controller出现错误“Secure Connection Failed” FileZilla客户端3.5.3和服务端0.9.40 思科电话“TFTP file not Found”错误 UCCX安装后登陆报“I/O AXL Error”错误 谷歌注册色情域名YouTube.xxx Cisco UCCX和Cisco Unity安装心得 Cisco Agent Desktop 登录报错 IOU Web Interface 1.2.0 终极版本
链接表
  • FROYO's Blog
  • Pop's blog
  • TC的博客
  • 今天毕业
  • 挨踢茶馆在线教程
  • 月与灯依旧
  • 月小升博客
  • 泪雪博客
  • 海纳百川
  • 筑楼
  • 网络茶馆
  • 蓝卡
  • 郑晓个人博客
  • 陆鉴鑫的博客

COPYRIGHT © 2012-2023

Theme Kratos Made By Seaton Jiang

粤ICP备12007665号-1