Office 365中活動目錄ADFS的重要性
當微軟***在Windows Server 2003 R2中引入活動目錄聯(lián)合服務(wù)(ADFS)時,該功能并沒有得到太多的喝彩。有些功能理論上聽起來很好,但是出現(xiàn)的時間有些早,ADFS就是這些功能中的一個。
微軟在Windows Server 2008和Windows 2008 R2中囊括了活動目錄聯(lián)合服務(wù),甚至還提供了可下載的2.0版本。但是,似乎沒有人在生產(chǎn)環(huán)境中使用ADFS。這種情況也許要改變了。
ADFS提供管理在線身份和提供單點登錄(single sign-on)功能的方法。由于從運行本地應(yīng)用到運行云中應(yīng)用的轉(zhuǎn)變,ADFS變得越來越重要。
當應(yīng)用程序在本地運行時,所有應(yīng)用一般都直接安裝在用戶桌面、終端服務(wù)器或應(yīng)用服務(wù)器上。在任意一種這些情況中,應(yīng)用程序的權(quán)利都由活動目錄對象(如用戶和群組)保證。一旦用戶登錄到活動目錄,他們在整個林中被識別,不管他們連接到哪臺服務(wù)器來訪問應(yīng)用和其它資源。
盡管這種訪問控制模式已經(jīng)良好地運用了十年,但當云托管的應(yīng)用進入到畫面,它開始倒塌。例如,當用戶早上登錄到他們的電腦,他們登錄到一個活動目錄域。這建立了一個他們在企業(yè)中訪問資源時會用到的身份。
但是,如果一個人從瀏覽器中打開Netflix,它無法識別該用戶。這個網(wǎng)站,雖然技術(shù)上是一個云應(yīng)用,并不在乎用戶登錄到活動目錄域。Netflix管理他們的用戶帳戶信息,所以人們必須提供一套明確針對該網(wǎng)站的憑證。
登錄到Netflix的行為不只是確認我是已付款的用戶。同樣地,每個用戶都有必要擁有唯一的憑證,因為就像任何其它應(yīng)用一樣,Netflix保持人性化的設(shè)置,如演員表信息和電影順序。例如,盡管一名用戶也許只有一次簡單的Netflix訂閱,家庭中的每個人都有自己獨立的登錄,所以他們能夠管理自己的電影順序。
記住,相同的概念可以應(yīng)用到企業(yè)環(huán)境。越來越多的組織開始在云中運行應(yīng)用。而且,就像Netflix,這些應(yīng)用中的大部分需要一套唯一的憑證,盡管記住Netflix密碼很簡單,這個概念確實沒有在企業(yè)中擴展得很好。
為什么基于云的身份管理會是如此大的挑戰(zhàn)?這有很多原因。首先,每個基于云的應(yīng)用都可能由不同的提供商托管。例如,除了擁有Netflix帳戶之外,用戶還能擁有亞馬遜帳戶。這兩者彼此沒有關(guān)第,它們需要兩套不同的憑證。試想一下,與這相同的概念如何能在企業(yè)環(huán)境中實施。如果一個組織購買了20個托管應(yīng)用,接著用戶就有20套不同的憑證要記住,不管是對于管理人員還是技術(shù)支持人員來說,這都是一場運維的噩夢。
管理人員面對設(shè)置所有這些帳戶的負擔,而技術(shù)支持人員面對管理密碼重設(shè)的艱難任務(wù)。對于用戶來說,打電話或說他們需要密碼重設(shè)已經(jīng)不夠了。現(xiàn)在,他們必須指出他們訪問出問題的應(yīng)用是哪個,且?guī)椭_必須重設(shè)用于該應(yīng)用的密碼。
也正是這類運維挑戰(zhàn)讓ADFS得到更廣泛地采用。 現(xiàn)在,微軟正在使用ADFS來為那些想遷移某些網(wǎng)絡(luò)服務(wù)的用戶引向一條朝向Office 365的道路。
Office 365包括微軟的Exchange、SharePoint和Lync。所有這些應(yīng)用都需要一個活動目錄(AD)環(huán)境,但是不能只是將Office 365加入到域中。相反地,要使用ADFS來安裝目錄同步化。
因為Office 365應(yīng)用程序需要一個活動目錄環(huán)境,微軟為你的Office 365購買創(chuàng)建了專用域。該目錄同步化程序自動地在微軟域中創(chuàng)建帳戶 ,它與本地林中現(xiàn)存的帳戶匹配(用戶選擇他們想同步化哪個帳戶)。當然,還是有與同步化帳戶相關(guān)的密碼,這也正是ADFS起作用的地方。
當用戶試圖訪問Office 365時,ADFS向微軟服務(wù)器提交一次請求。該請求包括用戶的身份信息。微軟服務(wù)器驗證請求真實后提取帳戶信息。接著,該用戶自動地登錄到微軟域中的帳戶并獲得到請求應(yīng)用的訪問權(quán)。在整個過程中,用戶除了像往常一樣登錄本地林不用再做其它事情。
ADFS解決了云身份管理的挑戰(zhàn)。現(xiàn)在還不是所有云應(yīng)用提供商都支持ADFS。但隨著著越來越多的組織采用Office 36***DFS會成為將企業(yè)連接到托管Web應(yīng)用的標準機制,這只是時間的問題。
【編輯推薦】
