> 返回 首页 > 精选文章 > 微软AD >Azure AD与ADFS的区别

Azure AD与ADFS的区别

发布时间:2023-04-23 09:58:00  来源:宁盾  点击量:

几十年来,微软凭借 Active Directory(AD)在 IT 身份管理领域拥有强大的影响力。它通过本地和混合云解决方案扩展了 AD,以应对日益普及的 Web 应用和远程办公模式。然而,这些解决方案相互交叉,服务于不同的要求。接下来,我们来对比下 Azure Active Directory(AAD)和 Active Directory Federation Services(AD FS),看看这些微软产品的重叠和不同之处。



01 什么是Azure AD?


Azure 是微软的云计算产品,类似于 AWS(Amazon Web Services)或 GCP(Google Cloud Platform)。Azure AD 是云身份管理解决方案,用于管理 Azure 云中的用户。IT 管理员使用 Azure AD(AAD)来验证用户对 Azure、Microsoft 365(M365)以及其他一些通过 AAD 单点登录(SSO)的云应用的访问。在其最基本的层级上,Azure AD 是免费的,包含在 M365 的订阅中。但是,IT 管理员需要购买“Premium”高层级(以及额外的附加组件),才能充分利用它的功能。


附加服务可能包括:

● Intune:可以管理 Android、iOS、Mac、Linux 和 Windows 设备。微软还将远程协助划分进了 Intune 的高级附加服务里。

● Entra:用于验证和管理外部(非微软)身份。


AAD 主要是 Azure 和 M365 的用户管理工具,并不管理内部的 IT 基础设施,如 Windows PC、网络、文件服务器和其他资源。微软 Intune 为云业务优先的企业/组织机构提供了这些功能,这是通过被称为 Azure AD Connect 的中间件来实现的。否则,管理 Windows PC、网络、文件服务器等资源通常需要 AD 来完成。独立的 AAD 不是基于云的 AD 的替代,只为微软系统服务。对企业而言,想要部署 AAD 可能会很复杂,通常需要咨询相关顾问专家才行。


以微软为中心的企业/组织依靠 AAD 与本地 AD 结合使用来管理其环境。它提供了 AD FS 作为非云原生的替代方法;IT 企业/组织必须有能力设置和管理一个服务器集群才能成功部署。这势必会增加管理开销、潜在的攻击面,并且随着企业规模和规范要求的提高,还可能会增加 license 成本。



02 什么是ADFS?


使用 AD 的 IT 企业/组织通常需要一个工具才能将他们的本地身份联合到云应用程序里。虽然有许多专门的第三方 SSO 单点登录解决方案可以实现该需求,但微软也提供了他们自己的工具:AD FS。AD FS 是购买 Windows Server 时的附加费用,依赖于多个独立的 Windows Server 角色。


AD FS 是 AD 的配套工具,可以将本地身份扩展到云应用。它类似于网络应用的 SSO 工具,但它适用于本地而不是云上。AD FS 使用 SAML XML 证书,就像 Web 应用 SSO 服务一样,但它也可以使用 cookies 或其他安全令牌进行身份认证。它还支持不适用于云托管的内部应用程序的 OpenID Connect/OAuth 流和应用方案。


最终,这意味着 AD FS 聚焦于 Web 应用,而那些需要对非 Windows 系统、网络和域绑定应用进行身份管理的企业/组织将不得不转向 AD 或其他方案。了解到这一点后,通过对比 Azure AD 和 AD FS,看看哪一个最适合你的独特要求。



03 Azure AD vs. ADFS


Azure AD 和 AD FS 在 IT 环境中作用类似。这两个微软工具都有类似 SSO 单点登录的属性,而且它们都需要与本地 AD 协同工作(Azure AD可能不需要)。关键区别在于,AAD 是一个身份和访问管理(IAM)解决方案,而 AD FS 是一个安全令牌服务(STS)。


因此,它们各有各的区别。与 AD FS 相比,Azure AD 对应用程序以外的用户身份有广阔的控制范围,这使它成为 IT 企业/组织广泛使用的解决方案。它还有先进的访问控制和身份管理能力。


例如:

● AAD 在其所有层级上提供多因素认证(MFA),从 AAD 的安全默认值到为特权用户提供的更细粒度的条件访问规则。

● AAD 有限制传统身份认证方法的选项,并可以强制执行密码健康状况和质量检测。

● AAD 的高级层级还提供一系列基于风险的规则/条件和行为监控,以保护身份。不过,这取决于你使用的是 P1 还是 P2 层级。

● AAD 的高级层级包括自助式密码重置功能等。

● AAD 的高级层包括 Azure AD Connect Health,以监测企业内部的身份基础设施。

● AAD 有基于角色的访问控制,但通过属性进行和建议用户生命周期更改的动态组需要额外付费。

● AAD 与 Intune 集成,用于设备管理和应用保护规则。

● AAD 可以横向扩展并提供异地冗余。


AD FS 更适合于管理对内部应用程序的访问,或者将 AD 扩展到第三方应用程序。例如,与 AAD 相比,它对 SAML 的 claims-based authentication (基于声明的身份验证)工作流(令牌声明)提供了更强大的支持。它还可以使用内部 IT 基础设施与 SAML 或 WS-Fed 身份提供商进行联合。AAD 需要 Entra 来实现类似的功能。当然,选择哪种方案,取决于企业内部资源水平、业务上云程度、合规需求和预算。


如上所述,两者都不是真正的目录服务,也不是独立的服务。这意味着,使用 Azure AD 或 AD FS 的 IT 企业/组织通常需要像 AD 这样的目录服务,以及 AD 所需的任何其他附加解决方案。例如,网络策略服务器(NPS)对于进入网络资源的 RADIUS 认证是必需的。Intune 和 Entra 对于微软生态系统之外的互操作性是管理整个 IT 基础设施所必需的。


那些需要适应性来支持其最终用户所需的任何资源的 IT 企业/组织,无论其协议、平台、提供商或位置如何,在选择微软的任一 SSO 解决方案之前,都可能从评估非微软的替代方案中受益。成本和复杂性也可能是企业的考虑因素:微软专注于提供符合大型企业(而不是中小型企业)要求的解决方案。



04 来自云的整体身份管理


NingDS 身份目录云是一个开放的目录平台,它统一了身份、访问和设备管理功能,不受底层认证方法或设备生态系统的影响。它可以扩展 AD 和 AAD 的免费层,以更低的 TCO (总拥有成本)实现更多功能。无论用户是使用生物识别技术、数字证书、密码还是SSH密钥,NingDS 都能对其进行身份认证。NingDS 确保每个资源都有最佳连接方法,如 LDAP、OIDC、RADIUS 或 SAML。其结果是,用户可以使用一组凭证来访问系统、应用程序、网络、基础设施、文件服务器等。


通过环境范围内的 MFA 多因素身份认证以及针对特权用户的可选条件规则来保证访问安全。用户可以从运行任何平台的托管(或可信)设备获得安全、无摩擦的访问。NingDS 将身份视为新的边界。这一点是通过将每台设备定位为通过身份识别访问资源的网关来实现的。在管理设备或外部身份方面没有任何附加组件:NingDS 只会让企业内的资源利用价值最大化,而不会让企业被某一供应商深度捆绑。


云交付降低了基础设施成本,简化了部署并最大限度地利用了现有资源。此外,基于属性的访问控制和飞书/企微/钉钉、HR、OA等系统的集成可以实现高级用户生命周期管理方案,以降低整体管理开销。这些功能都是由你的工作流驱动的,而不是作为高级功能进行划分的。


宁盾(www.nington.com)版权所有

—END—

企业级数字身份基础设施提供商
x