سوف يتناول هذا المقال Active Directory (AD)، Azure Active Directory (Azure AD)، وسيشرح كيف تختلف وكيف يمكن لكل منهما أن يكمل الآخر. سنقارن أيضًا بين حلول مايكروسوفت هذه وبين بعض موفري الهوية البديلة الرئيسية.
لا يهدف هذا المقال إلى أن يكون مصدرا شاملا ولن يقدم تعليمات خطوة بخطوة حول كيفية نشر هذه الخدمات، ولكن بتري لديها مقالات ممتازة تغطي تلك المواضيع.
Windows Server AD vs Azure AD
I think it’s fair to start with the oldest of Microsoft’s current directory services siblings. Active Directory is Microsoft’s on-premises directory service, succeeding Windows NT Directory Services (NTDS), should you be old enough to remember it. NTDS was great at the time but had significant limitations regarding scalability, replication, administration, stability, etc.
يُستخدم Active Directory على نطاق واسع من قبل الغالبية العظمى من المؤسسات منذ إصداره قبل أكثر من عقدين من الزمن – تم إصداره للتصنيع في 15 ديسمبر 1999 وتوفر عام في 17 فبراير 2000.
مستخدموك تعتادون على Active Directory دون العلم به: يقومون ببساطة بتشغيل أجهزتهم العميلة، يدخلون اسم مستخدمهم (عادة ما يكون مسبقًا مخزنًا ولكن ليس دائمًا) وكلمة المرور، ويواصلون نشاطاتهم التجارية اليومية. Active Directory بسيط وسريع وآمن إذا كان كل شيء مُعد ومُحافظ عليه بالطريقة التي تريدها.
A central identity provider
يعمل دليل النشاط عادةً كموفر هوية مركزي، وعادةً ما يمتد عبر العديد من الـ الغابات والنطاقات، بعضها يحتوي على مستخدمين والبعض الآخر يحتوي فقط على موارد. يدير مستخدميك وأجهزة الكمبيوتر (أجهزة العملاء والخوادم) ولكنه لا يدير بشكل أصلي الأجهزة المحمولة أو الأجهزة اللوحية (iOS و Android) أو تطبيقات البرامج كخدمة (SaaS).
عليك أن تستضيف دليل النشاط بنفسك، وتكوينه، وصيانته، والاهتمام بالأمان، والتكرار، والنسخ الاحتياطي، والتوافر العالي، والتوسع، وما إلى ذلك. يمكن أن يكون الأمر شبكة بسيطة تحتوي على جهازي تحكم في النطاق (DC)، أو يمكن أن يكون لديك أكثر من 100 جهاز تحكم في النطاق في عدة مواقع مع جهاز تحكم في النطاق الذي يكون للقراءة فقط.
يعمل جهاز التحكم في النطاق الخاص بك ideal بتشغيل الخدمات المتعلقة بالدليل، وكذلك DNS وربما DHCP. من الممارسات الجيدة عدم تشغيل تطبيقات أخرى عليها مثل خوادم الويب أو قواعد البيانات، سواء من وجهة نظر الأداء أو (خصوصًا) الأمان. يساعدك ذلك أيضًا في جدولة توقف التشغيل للإعادة تشغيل.
ترخيص دليل النشاط
على عكس نظيرتها السحابية، ليس لدى Active Directory نموذج ترخيص معقد. يتوجب عليك ترخيص متحكمات النطاق الخاصة بك، التي يجب أن تكون دائمًا جهاز Windows Server ومثاليًا جهاز حديث. كتذكير، تم إصدار إصدار Windows Server 2022 في أغسطس 2021.
عند استضافته في مراكز البيانات الخاصة بك أو غرف الاتصالات، يمكنك شراء نسخة واحدة من Windows Server Datacenter التي تعتبر مخصصة لمراكز البيانات المتجاوبة حيث تتيح لك تشغيل عدد غير محدود من النسخ على الأجهزة المرخصة. تأكد من البحث حول هذا الموضوع والتحدث مع أخصائي التراخيص الخاص بك؛ حيث يخطئ العديد من الأشخاص في ذلك وينتهكون بشكل غير مقصود اتفاقية الترخيص الخاصة بهم.
ما هو Active Directory Azure؟
يعد خدمة توثيق Azure Active Directory هوية للشركات توفر تسجيل دخول واحد (SSO)، والتحقق من الهوية المتعدد العوامل (MFA)، والوصول الشرطي (CA) تقريبًا جاهزة للاستخدام. لكن يتطلب الأمر بعض العمل في التكوين من قبلك (صاحب المؤسسة أو المسؤول)، ولكن من الأسهل بكثير وأكثر بساطة توفير هذه الخدمات في Azure AD مقارنة بتوفيرها بنفسك.
سيقوم مستخدموك بتشغيل أجهزتهم، سواء كانت مملوكة ومدارة من قبل الشركة أو شخصية في حال توفرت لشركتك سياسة bring your own device (BYOD). سيحتاج المستخدمون بعد ذلك إلى إدخال أسماء مستخدميهم وكلمات مرورهم، بالإضافة إلى تلقي تحدي MFA (حتى إذا كان تحدي الرسائل النصية أفضل من عدم وجود أي شيء)، وسيتوفر لهم ما تسمحون لهم باستخدامه.
مع SSO، يمكنهم استخدام تطبيقات مستضافة خارجيًا (موارد بشرية، مالية، إلخ)، الوصول إلى التدريب، وأكثر بكثير دون الحاجة إلى إدخال بياناتهم السرية في كل مرة. سيحسن هذا الإنتاجية والأمان والرضا المستخدم. مجرد حقيقة عدم الحاجة للمستخدمين إلى إدارة مجموعات متعددة من أسماء المستخدمين وكلمات المرور هو إنقاذ للحياة (خذ هذا من شخص من مهندسي الأي تي).
A managed service
A major difference between Active Directory and Azure AD is that the latter is a managed service. You don’t set it up yourself and there are no servers to set up – there are some agents but they are optional to enable specific enhanced functionality. Microsoft hosts and manages it on your behalf.
Azure AD متكامل بالكامل عبر عدد من خدمات السحابة المايكروسوفت مثل Office 365، مما يمنحك دليلًا مركزيًا للمستخدمين والأجهزة الخاصة بك. كما يجعل التعاون مع المستأجرين الآخرين والمستخدمين الخارجيين سهلاً.
Azure AD يتفوق في إدارة الأجهزة المحمولة (هناك دعم أصلي لـ iOS و Android) وتطبيقات البرمجيات المؤتمتة (SaaS). يوفر تكاملات ممتازة ومُنظّمة مع العديد من التطبيقات عبر عدة أقسام مثل إدارة الأعمال والتعاون والمالية. تحقق من قسم Microsoft Azure Active Directory في Azure Marketplace للحصول على المزيد من الأمثلة.
تقدم Microsoft نسخة مجانية من Azure AD تسمى Free، ولكن هناك أيضًا ثلاث طبعات إضافية تسمى Office 365 apps وPremium P1 وPremium P2، بفروقات متنوعة في محتوى الميزات والأسعار. يمكنك في الواقع أن تصبح مستخدمًا في الطبقة المجانية من Azure AD عندما تشترك في عدد من خدمات السحابة من Microsoft مثل Azure وOffice 365 وDynamics 365 وIntune وPower Platform.
على سبيل المثال، كم من الوقت تقضي كمؤسسة في إعادة ضبط كلمات مرور مستخدميك؟ يمكن أن تكون ميزة إعادة ضبط كلمة المرور الخاصة بالمستخدم (SSPR) وحدها كافية لتبرير الترخيص الرئيسي لمدير التمويل الخاص بك. انظر إلى How it works: Azure AD self-service password reset من Microsoft لمزيد من التفاصيل.
تأكد من أنك تلقي نظرة جيدة على الميزات المميزة لتحديد ما إذا كنت تريدها أو تحتاج إليها وما إذا كان ثمن الاشتراك المميز يستحق الدفع. أنا لا أحاول بيع تراخيص مايكروسوفت، ولكن نظرًا لحالة الإنترنت حيث يتم اختراق تقارير يومية تقريبًا للمؤسسات الكبرى (غالبًا بنجاح)، قد يبقي دفع ثمن هذه الميزات الإضافية وظيفتك وشركتك بعيدتين عن الأخبار.
انظر إلى أسعار الإصدار النشط لأزور (Azure AD) من مايكروسوفت للحصول على نظرة عامة على أسعار Azure AD، ويمكنك أيضًا زيارة موقعنا لقراءة مقالنا حول مقارنة الميزات بين Azure Active Directory Premium P1 و P2 لمعرفة المزيد حول الميزات المختلفة.
استخدام الإصدار النشط وأزور معًا
الآن بعد أن غطينا المواضيع الرئيسيتين وفهمنا الفروق بين الإصدار النشط وأزور، دعونا نلقي نظرة على كيفية استخدامهما معًا بشكل أفضل.
اتصال أزور AD
يتيح لنا Azure AD Connect من Microsoft إنشاء هوية هجينة عن طريق مزامنة كائنات مثل المستخدمين من Active Directory الخاص بنا داخل المؤسسة إلى Azure AD القائمة في السحابة.
مع تزامن تشفير كلمة المرور (PHS)، سيقوم Azure AD Connect أيضًا بمزامنة تشفير، للتشفير، لكلمة مرور مستخدميك، وتمكين Pass-through Authentication (PTA)، Active Directory Federation Services (AD FS)، والمزيد. يمكن أن يكون الإعداد بسيطًا لمؤسسة صغيرة ومُعقدًا إلى حد ما لبيئة أكثر تعقيدًا.
مايكروسوفت تعتزل نسخ 1.x من Azure AD Connect في 31 أغسطس 2022، وبعض الإصدارات الأقدم 2.x من أداة التزامن ستخرج من الدعم في مارس 2023. يمكنك معرفة المزيد حول أي إصدارات Azure AD Connect تدعم حاليًا في منشورنا المنفصل.
خدمات Active Directory Federation (AD FS)
AD FS هي خدمة توثيق الهوية من جهة أخرى تسمح لك بمشاركة معلومات الهوية الخاصة بك مع الشركاء خارج مؤسستك. تستخدم AD FS تحقيق الوصول المباشر (SSO) وتستخدم أيضًا معالجة توثيق الوصول المعتمدة.
على الرغم من استخدام AD FS على نطاق واسع، خاصة من قبل المؤسسات الأكثر نضجًا والأكبر حجمًا، إلا أن مايكروسوفت تعتبرها خدمة مهملة حاليًا. للتوضيح، قد لا تطلق مايكروسوفت عليها اسم مهملة ولكن الاتجاهات الأخيرة تدعم هذا البيان بالتأكيد.
تتطلب AD FS استثمارًا كبيرًا وتخطيطًا مناسبًا في بنية التحتية المحلية، وكذلك تكاتف عالية التأثير مع شركائك الخارجيين – إذا قاموا بتغيير إعداد (للخير أو الشر أو لا سبيل له)، سيؤثر ذلك على بيئتك إلى درجة تعطيل الأشياء على الفور). لقد استخدمت AD FS بنجاح عدة مرات، ولكن الآن لن أوصي بها بشكل خفيف لإعداد جديد أو موجود.
خدمات نطاق Azure Active Directory (AADDS)
خدمات مجال مجلس مديري Active Directory (AADDS) هي أحدث إضافة لعائلة خدمات الدليل من مايكروسوفت. AADDS هو عرض مايكروسوفت لإدارة Active Directory، مستضاف بالكامل مرة أخرى في سحابتها Azure.
أحد نقاط البيع الرئيسية لـ AADDS هو أنه يتيح لك تشغيل التطبيقات التقليدية في السحابة التي لا يمكن استخدام أساليب المصادقة الحديثة معها. تطبيقك القديم ولكن لا زال حيوياً للغاية في مجال الموارد البشرية أو المالية، الذي يحبه مستخدموك ويعرفونه بالتمام والكمال ويرفضون التغيير، سيحصل على سنوات إضافية من الاستخدام بينما تقوم بالتحضير لاستبداله. يمكنك نقل هذه التطبيقات التقليدية من بحيثها في بيئتك داخل الشركة إلى نطاق AADDS المُدار بدون الحاجة إلى إدارة النطاق في السحابة.
هناك بعض القيود مقارنة بتشغيل Active Directory الخاص بك: سياسات المجموعة (GPOs) لا يتم تزامنها من نطاقك داخل الشركة إلى نطاقك المُدار. في بيئة موثوقة، يمكن أن يكون هذا مشكلة كبيرة حيث يتم التعامل مع الكثير من خلال سياسات المجموعة.
نفس الأمر ينطبق على وحدات المؤسسة الخاصة بك (OUs)، فهي لا تنتقل أيضًا. اطّلع على الرابط التالي من Microsoft “كيفية مزامنة الكائنات وبيانات الاعتماد في نطاق إدارة خدمة الدليل النشط للأزور” للحصول على مزيد من المعلومات.
مزودو الهوية الخارجيون
قد تتطلب احتياجاتك الفردية منك النظر في مزودي هوية آخرين بجانب Azure AD. قد تكون بالفعل تستخدم أحدهم وتكون راضيًا تمامًا عنه، أو قد تفضل الحصول على طبقة إضافية من الأمان. الامتثال غالبًا ما يكون سببًا لفصل مزود الهوية الخاص بك عن باقي البنية التحتية الخاصة بك.
استخدام موفري الهوية من الطرف الثالث بالاشتراك مع Azure AD يعمل أيضًا. تقوم جميع البائعين الرئيسيين بنشر دلائل الاندماج وسيكونون سعداء بدعمك في نشرك، خاصةً أنه من مصلحتهم الحفاظ عليك كعميل. بعض البائعين الرئيسيين في هذا المجال يشملون Okta, PingIdentity, OneLogin, Auth0, ZScaler, و CyberArk.
الاستنتاج
في مجال خدمات الدليل، تلبي Microsoft معظم السيناريوهات الممكنة إن لم تكن كلها. بيئة محلية نقية تعمل بنجاح مع Active Directory فقط، حتى وإن كانت تصبح ببطء نادرة.
المنظمات الرائدة في السحابة ذات العاملين الموزعين ستُمكّن مستخدميها من التواصل باستخدام أجهزتهم الشخصية أو المملوكة للشركة والوصول إلى الموارد المستضافة على الأجهزة المحلية والسحابة المقدمة كخدمة (SaaS) باستخدام Azure AD. نظرًا للتعرض، سيتطلب هذا أيضًا المزيد من الاستثمار في سياسات أمان الأمن السيبراني.
لا يوجد حل واحد يناسب جميع الاحتياجات. إعداد الهوية المختلطة بين Active Directory و Azure AD سيكون الخيار الأكثر وضوحًا للعديد من البيئات. وأخيرًا وليس آخرًا، يجب عليك عدم التخلي عن خدمة AADDS المدارة من Microsoft وجميع مقدمي الهوية الثالثين.
مقالة متعلقة: