Windows Azure Active Directory (AD Azure)

Продукт
Название базовой системы (платформы): Windows Azure
Разработчики: Microsoft
Дата последнего релиза: декабрь 2014 года
Технологии: ИБ - Аутентификация

Содержание

2012

Компания Microsoft публично представила в мае 2012 года свою новую стратегию по развитию технологии Windows Azure Active Directory (AD Azure) как фундамента для систем управления удостоверениями в облаке. Фактически, технология AD Azure должна стать стать сервисом проверки удостоверений, который смогут использовать сторонние приложения и разработчики.

На разработку стратегии по развитию контроля удостоверений в облаке у компании Microsoft ушло два года. Изменения по сравнению с традиционной платформой Active Directory оказались настолько серьезными, что разработчики ожидают полностью изменить рынок инструментов этого класса. В частности, представители Microsoft говорят о концепции «социального предприятия», в котором сервис WAAD (Windows Azure Active Directory) помогает подключать SaaS-приложения к службе каталогов и облачным платформам, объединяя корпоративных клиентов в рамках своего рода социальных сетей.

Сервис WAAD, который активно используется в web-приложениях Office 365 и Windows Intune, является центром новой стратегии. В нынешнем виде WAAD представляет собой платформы, способную обслуживать множество организаций на одной инфраструктуре с поддержкой специальных режимов повышенной доступности и самого высокого уровня масштабируемости для применения в публичных интернет-порталах.

Разработчики технологии WAAD планируют поддерживать все ключевые технологии, требующие проверки удостоверений, включая Java-приложения, мобильные приложения и облачные системы вроде Amazon AWS. Технически WAAD будет реализована в форме облачного расширения к локальным каталогам Active Directory, которые уже работают на предприятиях. Объединение локальных и облачных ресурсов будет проводиться за счет синхронизации каталогов и объединенной базы удостоверений.

Кроме всего прочего, для создания технологии WAAD разработчики внесли значительные изменения в саму архитектуру платформы Active Directory. Например, вместо хранения и выпуска удостоверений Active Directory на отдельном сервере, предлагается разделить эти функции на независимые роли. Для вертикального масштабирования в среде Windows Azure предусмотрена новая роль по выпуску жетонов доступа, а хранилище Active Directory теперь можно разбивать на разделы, размещая их на разных серверах в разных центрах обработки данных.

Примечательно, что работой над технологией WAAD в Microsoft занимается Ким Кэмерон (Kim Cameron), один из самых авторитетных специалистов в сфере электронной идентификации личности. По его мнению, технологии Microsoft должны изменить подход к проверке удостоверений во всем мире, поскольку традиционные решения на базе Active Directory уже не справляются с ситуацией ни физически, ни концептуально. К изменению парадигмы электронных удостоверений подталкивают и другие факторы, в том числе массовое включение мобильных устройств в корпоративные службы каталогов на правах полноправных клиентских устройств. Наконец, протокол KERBEROS, на котором построено большинство современных систем проверки удостоверений, не вполне подходит для массового использования в облаке.


Наиболее важным среди функциональных новинок следует назвать открытие клиентам Windows Azure полнофункционального `облачного` сервиса Active Directory. С его помощью можно решать задачи единой авторизации пользователей для доступа к различным сервисам (Single Sign On). Новая функция позволяет создать единый каталог пользователей с возможностью его синхронизации с корпоративной базой Active Directory.

Active Directory на базе Windows Azure поддерживает популярные открытые стандарты SAML 2.0, OData, WS-FED. В ближайшем будущем также появится поддержка OAuth 2.0/OpenID. Платформа будет активно использоваться для аутентификации пользователей при работе с такими `облачными` продуктами Microsoft, как Office365, Dynamics CRM online, Windows Intune, а также самой Windows Azure.

Сервис будет предоставляться во всех 14 дата-центрах Microsoft по всему миру. Он уже запущен в работу, его надежность в аутентификации пользователей оценена на уровне 99,97%. Вместе с ним был открыт публичный доступ к инструменту Windows Azure AD Graph, позволяющему прикладным разработчиком создавать адаптированные под корпоративные задачи решения с помощью сервиса Active Directory на платформе Windows Azure.

2014

Окончание поддержки Windows Server 2003, которое, назначено на 17 июля 2015 г., оставляет пользователям этого продукта все меньше времени для того, чтобы успеть перевести свою инфраструктуру на более современные версии операционной системы. Для облегчения этой задачи Microsoft выпустила бета-версию Azure Active Directory Connect, которая позволит подключать существующие директории Windows Server Active Directory к Azure Active Directory Connect[1].

Microsoft уведомляет, что отдельных релизов Azure AD Sync и Azure AD Connect больше не будет, обновлений DirSync также не планируется. Azure AD Connect становится единым инструментом для синхронизации всех гибридных соединений.

Пользователи могут купить Azure Active Directory Premium с помощью портала Office 365 без необходимости иметь соглашение Enterprise локально. Компания также сделала общедоступным Azure AD App Proxy, предназначенный для предоставления сотрудникам безопасного доступа к локальными приложениями, включая Sharepoint и Exchange / Outlook Web App из облака.

Примечания