SF:您应该根据您面临的实际问题提出实际的、可以回答的问题。 转发:这个问题在可回答部分可能存在争议。但是,对我来说,这是一个关于最佳实践的实际问题,我认为它绝对可以用“还有其他选择吗?”而不是“你回答了错误的问题,应该朝着完全不同的方向发展”来回答。
我现在首次在 DevOp 范围之外评估 Azure。在设置包含多项服务的服务器/云基础架构时,我突然想到要集中访问控制。
在过去的美好时光里,我多年来一直在相当大的环境中管理 Windows 域控制器,因此进入 Azure 是自然而然的事情。从零开始,我创建了一个租户,目的是提供纯粹的 Azure 服务 -不是混合(即不与 Windows Server 实例同步)。
更新 1:感谢下面的评论,我意识到下面的 Microsoft 链接是关于托管 ADDS 的 - 即不是 Azure AD,更像是抽象的托管 AD。我把它放在那里,因为这恰恰证明了我的问题,即如何纯粹基于云来实现这一点 在阅读了一些文章,包括微软自己的文章后,在 Azure AD 中创建组织单位我还意识到这并不是由于缺乏实施,而是由于设计。
我想我现在的确切问题很简单,但我真的想就此获得一些公正的意见和用户体验说明:当今建立一个简单、集中、安全的访问控制单元(如带有 ldaps 的传统 AD)的最先进的基础是什么?我知道 OAuth2 和 SSO 服务的炒作,但在处理大量用户/组时,它们中的大多数似乎开销很大,组织能力却很少(但我必须注意,我只是对 SAML 和 OAuth2 进行了更深入的研究,因为 Azure 实现了它)。
您今天如何做到这一点?这里有仅限 Azure 的域管理员吗?
答案1
在 Azure AD 中管理身份与管理传统域完全不同,您需要了解许多新技术才能真正成功管理仅限云的环境。
当前的“最先进技术”是了解 Azure 与传统域环境相比所提供的功能,有很多新概念和技术需要消化,而且很难建议从哪里开始或真正需要使用什么,这将完全是一个只有您和您的公司才能决定的设计和战略决策。
本着分享和帮助的精神,我将分享一些帮助您入门的基本文档:
首先,检查“基本文档对于您想要使用的每种技术:https://docs.microsoft.com/en-us/azure/security/fundamentals/
对于 Azure AD,我强烈建议您深入了解所有内容”身份管理正如我所说,有大量的新概念和技术需要学习,而这些概念和技术无法直接从本地环境的角度进行转化:https://docs.microsoft.com/en-us/azure/security/fundamentals/identity-management-overview
如果你只想阅读Azure AD 之间的区别和一个普通域(不要与 Azure AD 域服务混淆,后者是在云上托管的普通域的 PaaS 产品),我强烈建议您也查看此文档:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/compare-identity-solutions
祝阅读和学习顺利。