Questo articolo esaminerà Active Directory (AD), Azure Active Directory (Azure AD), e spiegherà come differiscono e come possono integrarsi. Confronteremo anche queste soluzioni Microsoft con alcuni dei principali fornitori di identità alternativi.
Questo articolo non ha la pretesa di essere una risorsa esaustiva e non fornirà istruzioni passo dopo passo su come implementare questi servizi, ma Petri ha ottimi articoli che trattano questi argomenti.
Windows Server AD vs Azure AD
I think it’s fair to start with the oldest of Microsoft’s current directory services siblings. Active Directory is Microsoft’s on-premises directory service, succeeding Windows NT Directory Services (NTDS), should you be old enough to remember it. NTDS was great at the time but had significant limitations regarding scalability, replication, administration, stability, etc.
Active Directory è ampiamente utilizzato dalla grande maggioranza delle organizzazioni sin dal suo rilascio oltre due decenni fa: è stato rilasciato alla produzione il 15 dicembre 1999 e raggiunse la disponibilità generale il 17 febbraio 2000.
I tuoi utenti sono abituati all’uso di Active Directory senza nemmeno saperlo: semplicemente accendono i loro dispositivi client, inseriscono il loro nome utente (di solito ma non sempre precaricato) e la password, e continuano con le loro attività quotidiane. Active Directory è semplice, veloce, sicuro e protetto se è stato configurato e mantenuto nel modo desiderato.
A central identity provider
Active Directory solitamente svolge il ruolo di provider di identità centrale, spesso esteso su più foreste e domini, alcuni con utenti e altri solo con risorse. Gestisce i tuoi utenti e computer (postazioni di lavoro client e server) ma non gestisce nativamente dispositivi mobili o tablet (iOS e Android) o applicazioni Software-as-a-service (SaaS).
Devi ospitare tu stesso Active Directory, configurarlo, mantenerlo, occuparti della sicurezza, della replica, del backup, dell’alta disponibilità, della scalabilità, ecc. Potrebbe trattarsi di una semplice rete di due controller di dominio (DCs) o potresti avere più di 100 DC in diverse posizioni combinati con controller di dominio in sola lettura.
I tuoi DC idealiamente eseguono solo servizi relativi al repository, nonché DNS e forse DHCP. Non è una buona pratica eseguire altre applicazioni su di essi, come server web o database, sia per motivi di prestazioni che (soprattutto) di sicurezza. Ciò ti aiuta anche a programmare i tempi di inattività per il riavvio.
Licenze Active Directory
A differenza del suo fratello cloud, Active Directory non ha un modello di licenza complesso. Si acquistano le licenze per i controller di dominio, che sono sempre macchine Windows Server e idealmente di recente generazione. Come promemoria, è stata rilasciata a agosto 2021 la versione Windows Server 2022.
Quando ospitato nei propri data center o nelle stanze delle telecomunicazioni, è possibile acquistare una singola edizione Windows Server Datacenter, progettata per i data center virtualizzati poiché consente di eseguire un numero illimitato di istanze sull’hardware autorizzato. Assicurati di approfondire questo argomento e parlare con il tuo specialista delle licenze, molte persone commettono errori in questo senso e violano involontariamente il contratto di licenza.
Cos’è Azure Active Directory?
Azure Active Directory è un servizio di identità aziendale che fornisce accesso singolo (SSO), Autenticazione Multifattore (MFA) e Accesso Condizionale (CA) quasi pronti all’uso. Per essere onesti, occorre effettuare un po’ di lavoro di configurazione da parte vostra (proprietario o amministratore del tenant), ma è molto più semplice e diretto ottenere questi servizi in Azure AD rispetto a ospitarli autonomamente.
I vostri utenti accenderanno i loro dispositivi, che potrebbero essere dispositivi di proprietà e gestiti dall’azienda o personali se la vostra azienda ha stabilito una politica di bring your own device (BYOD). Gli utenti dovranno quindi inserire i loro nomi utente e password, sperabilmente essere sollecitati a rispondere a una sfida MFA (anche una verifica tramite SMS è meglio di nulla) e ciò a cui permettete loro di accedere diventerà disponibile per loro.
Con l’SSO, potrebbero utilizzare un’app ospitata esternamente (HR, finanza, ecc.), accedere alla formazione e molto altro senza dover inserire le proprie credenziali ogni singola volta. Ciò migliorerà la produttività, la sicurezza e la soddisfazione degli utenti. Solo il semplice fatto che i tuoi utenti non debbano gestire più insiemi di nomi utente e password è una salvezza (prendilo da un IT guy irritabile).
A managed service
A major difference between Active Directory and Azure AD is that the latter is a managed service. You don’t set it up yourself and there are no servers to set up – there are some agents but they are optional to enable specific enhanced functionality. Microsoft hosts and manages it on your behalf.
Azure AD è completamente integrato in una serie di servizi cloud di Microsoft come Office 365, fornendoti una directory centrale per i tuoi utenti e dispositivi. Consente anche di collaborare facilmente con altri tenant e utenti esterni.
Azure AD eccelle nella gestione dei dispositivi mobili (c’è il supporto nativo per iOS e Android) e delle app SaaS. Offre ottime e integrate integrazioni con molte app in diverse categorie come gestione aziendale, collaborazione e finanza. Dai un’occhiata alla sezione Azure Active Directory di Microsoft nel Azure Marketplace per ulteriori esempi.
Microsoft offre una versione gratuita di Azure AD chiamata Free, ma ci sono anche tre ulteriori edizioni chiamate Office 365 apps, Premium P1 e Premium P2, con varie differenze nei contenuti delle funzionalità e nei prezzi. Diventi effettivamente un utente del livello Free di Azure AD quando ti iscrivi a una serie di servizi cloud di Microsoft come Azure, Office 365, Dynamics 365, Intune e Power Platform.
Per esempio, quanta tempo dedica la tua organizzazione a reimpostare le password degli utenti? La sola funzionalità di reimpostazione delle password self-service (SSPR) potrebbe essere sufficiente per giustificare l’acquisto della licenza premium al tuo direttore finanziario. Dai un’occhiata a Come funziona: reimpostazione della password self-service di Azure AD di Microsoft per ulteriori dettagli.
Visita il sito dei prezzi di Azure Active Directory (Azure AD) di Microsoft per avere una panoramica dei prezzi di Azure AD, e puoi anche visitare il nostro confronto delle caratteristiche di Azure Active Directory Premium P1 e P2 per saperne di più sulle diverse caratteristiche.
Utilizzo di Active Directory ed Azure Active Directory insieme
Ora che abbiamo affrontato i due argomenti principali e comprendiamo le differenze tra Active Directory ed Azure Active Directory, esaminiamo come possiamo utilizzarli al meglio insieme.
Azure AD Connect
Azure AD Connect di Microsoft ci consente di creare un’identità ibrida sincronizzando oggetti come utenti dal nostro Active Directory locale al nostro Azure AD basato su cloud.
Con la sincronizzazione dell’hash della password (PHS), Azure AD Connect sincronizzerà anche un hash, dell’hash, della password dei tuoi utenti), abilitando l’Autenticazione Pass-through (PTA), i Servizi di Federazione di Active Directory (AD FS) e altro ancora. La configurazione può essere molto semplice per un’organizzazione di piccole dimensioni e piuttosto complessa per un ambiente più articolato.
Microsoft prevede di ritirare le versioni 1.x di Azure AD Connect il 31 agosto 2022 e alcune versioni più vecchie 2.x dello strumento di sincronizzazione usciranno di supporto a marzo 2023. Puoi saperne di più su quali versioni di Azure AD Connect sono attualmente supportate nel nostro post separato.
Active Directory Federation Services (AD FS)
AD FS è un servizio di identità SSO che ti consente di condividere le tue informazioni sull’identità con partner al di fuori della tua organizzazione. AD FS utilizza l’autenticazione di controllo di accesso basata su attestazioni.
Mentre AD FS è ancora ampiamente utilizzato, specialmente da organizzazioni più mature e più grandi, Microsoft oggi lo considera un servizio deprecato. Per essere chiari, Microsoft potrebbe non chiamarlo esplicitamente deprecato ma le tendenze recenti supportano certamente questa affermazione.
AD FS richiede un investimento considerevole e una pianificazione adeguata nell’infrastruttura on-premises, nonché un’influenza molto significativa sui tuoi partner esterni – se cambiano una configurazione (per buona, cattiva o nessuna ragione), influenzerà il tuo ambiente al punto da interrompere immediatamente le cose). Ho usato con successo AD FS molte volte, ma oggi non lo consiglierei facilmente per una nuova installazione o esistente.
Azure Active Directory Domain Services (AADDS)
Servizi di directory di Azure Active Directory Domain (AADDS) è l’ultima aggiunta di Microsoft alla sua famiglia di servizi di directory. AADDS è l’offerta di Active Directory gestita di Microsoft, completamente ospitata nella sua cloud di Azure.
Uno dei principali vantaggi di AADDS è che ti consente di eseguire applicazioni legacy nel cloud che non possono utilizzare metodi di autenticazione moderni. La tua vecchia ma ancora critica applicazione HR o finance, amata dagli utenti che la conoscono a menadito e stanno facendo del loro meglio per resistere al cambiamento, avrà alcuni anni in più di utilizzo mentre ti prepari a sostituirla. Puoi spostare queste applicazioni legacy dal tuo ambiente in loco in un dominio gestito AADDS senza dover gestire il dominio nel cloud.
Ci sono alcune limitazioni rispetto all’esecuzione del tuo Active Directory: Group Policy (GPO) non vengono sincronizzati dal tuo dominio in loco al tuo dominio gestito. In un ambiente stabilito, ciò può essere un problema importante poiché molto verrà gestito dalle GPO.
Lo stesso vale per le tue unità organizzative (OU), che non vengono trasferite. Dai un’occhiata alla documentazione di Microsoft su come gli oggetti e le credenziali vengono sincronizzati in un dominio gestito da Azure Active Directory Domain Services per ulteriori informazioni.
Fornitori di identità di terze parti
Le tue esigenze personali potrebbero richiedere di considerare altri fornitori di identità oltre ad Azure AD. Potresti già utilizzarne uno e essere perfettamente soddisfatto, o potresti preferire avere uno strato aggiuntivo di sicurezza. La conformità è spesso anche un motivo per separare il provider di identità dal resto della tua infrastruttura.
L’utilizzo di fornitori di identità di terze parti in combinazione con Azure AD funziona anche. Tutti i principali fornitori pubblicano guide di integrazione e saranno lieti di supportarti nel tuo dispiegamento, poiché è anche nel loro interesse mantenerti come cliente. Alcuni dei principali fornitori in questo spazio includono Okta, PingIdentity, OneLogin, Auth0, ZScaler e CyberArk.
Conclusione
Nel campo dei servizi di directory, Microsoft si adatta alla maggior parte, se non a tutte, le possibili situazioni. Un ambiente in loco puro che sta diventando sempre più raro funzionerà ancora bene solo con Active Directory.
Le organizzazioni che hanno una mentalità “cloud-first” con una forza lavoro distribuita, che permettono ai propri utenti di connettersi utilizzando dispositivi personali o aziendali e di accedere a risorse locali e basate su SaaS in cloud, saranno meglio servite da Azure AD. A causa dell’esposizione, ciò richiederà anche maggiori investimenti nella sicurezza informatica.
Non esiste una sola soluzione adatta a tutte le esigenze. Una configurazione di identità ibrida tra Active Directory e Azure AD sarà la scelta più ovvia per molti ambienti. Infine, non si dovrebbero sottovalutare l’AADDS gestito da Microsoft e tutti i provider di identità di terze parti.
Articolo correlato: