什么是Azure AD?

最新推荐文章于 2023-07-10 12:08:49 发布
最新推荐文章于 2023-07-10 12:08:49 发布
阅读量6.7k 收藏 15
点赞数 5
分类专栏: 微软安全体系 Microsoft Azure AD 文章标签: azure microsoft 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45502533/article/details/127122408
版权

关于Azure AD

微软官方文档解释到,其实在Azure上提供的云端身份表示和资源访问服务,可以帮助员工登录以及访问以下位置的资源:
• 外部资源:例如Microsoft 365 ,Azure门户以及成千上万的其他SaaS应用程序。
• 内部资源:例如公司网络和intranet上的应用,以及有自己的组织开发的任何云应用。

对应开发人员来讲,按照这些理解,我们大概了解到Azure AD其实是微软基于云的标识和授权访问管理服务,它可以帮助我们在Azure中登录和访问资源。我们可以通过Azure的标识平台生成应用程序,采用微软标识登录。以及获取令牌来调用受保护的API资源,这里和Identity Server 4 类似,这一些功能也是基于包含Oauth2.0和Open ID Connect的身份验证服务。
实现标识平台,Azure AD所支持的项目类型。
在这里插入图片描述
以上,是引用微软关于Azure AD介绍的所支持的所有类型的身份认证平台

微软标识平台的发展

微软标识平台由Azure AD开发人员平台演变而来。借助该平台,开发人员可以生成登录用户的应用程序,以及获取令牌调用API。例如Microsoft Graph或受保护的API资源。它包含身份验证服务,开源库,应用程序注册和配置等等和其他人开放人员内容。微软标识平台支持行业标准协议,例如Oauth2.0和OpenID Connect。

说到这里,不如再聊一聊微软的零信任。零信任是当前网络环境一直居高不下的热门词汇,是企业数字化转型之后的首要目标,也是传统的安全模型的一次变革。

什么是零信任安全模型

零信任是一种安全模型,基于访问主体身份、网络环境、终端状态等尽可能多的信任要素对所有用户进行持续验证和动态授权。
零信任与传统的安全模型存在很大不同,传统的安全模型通过“一次验证+静态授权”的方式评估实体风险,而零信任基于“持续验证+动态授权”的模式构筑企业的安全基石。
在这里插入图片描述

其实基于零信任,不同的人不同的领域,又会有不同的解释,但是不论是什么解释,大家都会有一个共识,达成企业环境完全零信任是很难的,我们需要依托于很多的场景进行构想,很多的方案进行优化。从安全基线的调整,安全策略的制定,访问原则的规划,等等。我们都要逐一进行规划,部署和测试。而完成这一切我们又需要依托于各种工具又或者是应用技术去实现,以微软为例:
在这里插入图片描述在这里插入图片描述
这是一个非常庞大,而且复杂的模型。

为什么零信任很重要呢?

随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,企业信息安全面临着前所未有的挑战。

访问者身份及接入终端的多样化、复杂化打破了网络的边界,传统的访问管控方式过于单一。在用户一次认证后,整个访问过程不再进行用户身份合规性检查,无法实时管控访问过程中的违规和异常行为。
业务上云后各种数据的集中部署打破了数据的边界,同时放大了静态授权的管控风险,数据滥用风险变大。高低密级数据融合导致权限污染,被动抬高整体安全等级,打破安全和业务体验的平衡。
资源从分散到云化集中管理,按需部署。由于当前安全管控策略分散、协同水平不高,云端主机一旦受到攻击,攻击将难以快速闭环,很难形成全局防御。
零信任是应对上述挑战的重要方法。采用零信任方案可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。

零信任的核心原则

持续验证,动态授权,全局防御

  • 持续验证,永不信任,构建身份安全基石
    零信任对人、终端和应用进行统一身份化管理,建立以身份为中心的访问控制机制。以访问主体的身份、网络环境、终端状态等作为认证的动态考量因素,持续监测访问过程中的违规和异常行为,确保接入网络的用户和终端持续可信。

  • 动态授权,精细访问控制,权限随需而动
    零信任不依赖通过网络层面控制访问权限,而是将访问目标的权限细化到应用级、功能级、数据级,只对访问主体开放所需的应用、功能或数据,满足最小权限原则,极大收缩潜在攻击面。同时安全控制策略基于访问主体、目标客体、环境属性(终端状态、网络风险、用户行为等)进行权限动态判定,实现应用、功能、数据等维度的精细和动态控制。

  • 全局防御,网安协同联动,威胁快速处置
    零信任通过对终端风险、用户行为异常、流量威胁、应用鉴权行为进行多方面评估,创建一条完整的信任链。并对信任分低的用户或设备生成相应的处置策略,联动网络或安全设备进行威胁快速处置,为企业搭建一张“零信任+网安联动”的安全网络。

Azure AD与零信任

说起Azure AD和零信任之间的关系,其实二者的关系是非常紧密的。一方面是微软的资源控制平台(标识平台),一方面是零信任的要求,持续验证,永不信任,动态授权,全局资源控制。可以说Azure AD 就是微软为了筑起零信任模型的第一道防线。我们可以依托于此来保护我们的身份和标识,来让我们的资源访问行为更加的安全。

  • 我们可以将业务的应用系统集成
  • 我们可以将认证平台改为Azure AD支撑单点登录
  • 我们可以对所有的访问进行动态的判断
  • 我们可以对所有的权限从新划分
  • 。。。

所以我称其为零信任的第一道防线,当然微软也是这样去制定的,所以Azure AD在零信任方向,才会表现的如此出众。

苦青藤
关注
  • 5
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Azure AD统一认证及用户数据同步开发指导
bossfriday - 个人博客
04-22 1625
本文主要目的为:指导开发者进行自有服务与Azure AD统一认证的集成,以及阐述云端用户数据同步的实现方案。本文除了会介绍必要的概念、原理、流程外,还会包含Azure门户设置说明,以及使用Fiddler进行全流程的实操验证,同时还会结合实际的业务需求提出具体的方案建议及关键实现方法的说明,以此达到开发指导的效果。
Azure基础:什么是Azure AD ?(23)
WenZhongxiang
03-27 6488
在谈论标识和访问时,你需要了解两个基本概念: 身份验证 (AuthN) 和 授权 (AuthZ)。 身份验证和授权支持出现的其他一切情况。 它们在标识和访问过程中按顺序发生。 让我们简单了解一下身份验证和授权。 什么是身份验证? 身份验证是确定要访问资源的个人或服务的标识的过程。 这涉及向一方提出合法凭证质询的行为,并为创建用于标识和访问控制的安全主体提供基础。 身份验证可确定用户身份是否正确。 什么是授权? 身份验证确定用户的身份标识,而授权是确定经过身份验证的人员或服务具有的访问级别的过程。 它
理解Azure订阅,账户,活动目录AD,租户等概念
qq_24550639的博客
08-14 7073
理解Azure订阅,账户,活动目录AD,租户等概念订阅是啥?活动目录AD Active Directory啥是租户? 订阅是啥? “An Azure subscription is a logical unit of Azure services that links to an Azure account, which is an identity in Azure Active Directo...
Azure: Azure AD(For Development)的使用
热门推荐
wucong60的专栏
09-30 1万+
简介 注册一个Web应用程序 1.概述:显示应用程序的app Id 2.身份验证:显示了重定的URL 3.证书和密码:生成一个client secret, 以便你可以使用client credential和authrization code的方式获取token4.API权限:给当前的应用程序赋予权限,如下图,当前APP有访问Mircrosoft Graph(它让用户可以...
Azure AD功能一览(访问篇)
qq_45502533的博客
10-27 530
即使在目录中启用 MFA 策略,恶意行动者也可以使用旧式协议进行身份验证并绕过 MFA。防范旧式协议发出的恶意身份验证请求入侵帐户的最佳方法是完全阻止这些企图。为防止管理员账户被盗用,可以为管理开启在访问管理平台时,强制进行多重身份验证,以达到管理权限。当用户风险以及登录风险被检测到后,会产生警报,可以追溯目标的位置,时间,以及对应的用户和事件。可以对位置所在地对账户的安全性进行判断,在不受信任的位置禁止其访问。自动检测和修复基于标识的风险/使用门户中的数据调查风险/要求开启MFA或执行密码重置。
Azure】微软 Azure 基础解析(九)Azure 标识、身份管理、Azure AD 的功能与用途
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
06-20 1万+
本文将带领读者深入了解云计算中 Azure 的身份和访问管理相关的核心概念和服务,重点介绍Azure目录服务(Azure Active Directory)以及与之相关的功能和特性。通过了解Azure AD的基本原理和工作机制,读者将能够更好地理解如何使用Azure来管理用户身份、控制访问权限,并实现集中化的身份验证和授权管理。
应用系统Azure AD认证(一)
NoteDing
02-05 5049
应用系统Azure AD认证 应用系统与员工账户认证绑定(AD),实现基于Azure AD的Multi-Factor Authentication(MFA)。 1 基于OAuth 2.0的定制开发SDK、文档及示例 1.1 Azure应用程序注册 与 Azure Active Directory (Azure AD) 集成的应用程序,针对其服务提供安全的登录和授权。若要将某个应用程序或服务与 Azure AD 进行集成,开发人员必须先将该应用程序注册到 Azure AD。 登录到Azure 门户。 在左侧
terraform-provider-azureadAzure Active Directory的Terraform提供程序
02-02
provider "azuread" { version = "~> 1.0.0" # NOTE: Environment Variables can also be used for Service Principal authentication # Terraform also supports authenticating via the Azure CLI too. # see ...
AADsamples:Azure AD 示例
05-30
- 从博客文章系列开始,此示例展示了如何使用 ADAL(使用 Azure AD v1 端点)和 MSAL(使用 Azure AD v2 端点)从单页应用程序中调用 Microsoft Graph网络浏览器 - 尚未记录,此示例展示了如何通过证书身份验证和...
使用Azure AD登录Angular应用程序第1部分
04-08
在本系列文章的第一部分中,我们将探讨如何将Azure Active Directory(Azure AD)集成到Angular应用程序中,以便实现安全的身份验证和授权。Azure AD是微软提供的一个全面的云身份管理解决方案,它为企业提供了集中...
博客:日本Azure AD支持团队文档
01-28
Activeームの担当制品であるAzure Active Directory,Azure AD Connect,AD FS成为情报を中心にお届けします。その他のAzure关连サポートチームのブログへのリンクもありますのでぜひご确认ください。 Azure活动目录...
azuread-shibboleth-docs:与MicrosoftAzure Active Directory(Azure AD)和Shibboleth联盟的身份提供商(IdP)和服务提供商(SP)软件之间的互操作性相关的文档
05-12
带有Shibboleth Identity Provider 3文档的Azure Active Directory单一登录和讨论 当前文档以.docx格式提供,或通过将置于“下载”选项中。 如果您对使用Shibboleth Identity Provider 3实施Azure Active Directory...
Microsoft Azure AD 用户搜索分页api调用
我的英文站点:https://iorilan.medium.com/
11-18 754
Microsoft Azure AD 用户搜索分页api调用
【转】理解Azure订阅,账户,活动目录AD,租户等概念
sinolover的专栏
09-25 1173
理解Azure订阅,账户,活动目录AD,租户等概念 订阅是啥? 活动目录AD Active Directory 啥是租户? 订阅是啥? “An Azure subscription is a logical unit of Azure services that links to an Azure account, which is an identity in Azure Active Directory.” 一句话说订阅就是用来关联Azure账户和Azure资源和服务的东西。 .
Azure AD (5) 在单一目录下,使用Azure AD单点登录
weixin_30471065的博客
08-12 911
  《Windows Azure Platform 系列文章目录》   本文介绍的是,在单一目录下,使用Azure AD Connect,打通本地Domain Controller   我们需要准备的环境有:   1.Azure China订阅   2.在本地或者在微软云端,创建1台Windows VM,安装Domain Controller域控制器服务。   这里我们的测试...
Microsoft Azure 的1024种玩法】四十五.在Azure中快速创建Azure AD Domain Services
一只特立独行的兔先森
05-18 1144
Azure Active Directory (Azure AD) 是一种基于云的标识和访问管理服务、 Azure Active Directory 可帮助相关企业访问内部资源,例如企业 Intranet 网络上的应用,以及为我们自己的组织开发的任何云应用,本文主要介绍了如何在Azure中创建 Azure AD 域服务
Azure AD混合部署,实现在本地AD同步到AAD上面
最新发布
一直被模仿,从未被超越
07-10 2656
4、 配置全局管理员,这里的账号就是上面我们在AAD上面创建的。4、添加自定义域名,这里要做下验证,所以你要有个线上的域名。1、我是安装在本地AD上面的,生产环境建议安装单独安装。6、 输入本地AD的管理员,这里我专门建一个AD管理员。8、选择同步的OU,这里我们只选SHA这个OU。二、安装 Azure AD Connect。2、安装后打开软件,这里我们选择自定义。1、进入 Azure云 注册一个账号。6、登陆本地AD,创建一个UNP。5、创建一个全局管理员。3、创建一个新的租户。7、AAD 登陆配置。
Azure基础:什么是Azure AD多重身份验证和条件访问(24)
WenZhongxiang
03-27 903
什么是多重身份验证? 多重身份验证是一种进程,在登录过程中会提示用户提供其他形式的标识。 示例包括移动电话上收到的验证码或指纹扫描。 思考一下你是如何登录网站、电子邮件或联机游戏服务的。 除了输入用户名和密码之外,是否还需要输入发送到手机的验证码? 如果需要,则已使用多重身份验证进行登录。 多重身份验证通过要求使用两个及以上的元素进行完全身份验证,为标识提供更多安全性。 这些元素分为三个类别: 用户知道什么 这可以是电子邮件地址和密码。 用户拥有什么 这可以是发送到用户移动电话的验证码。 用户
我是说调用azure ad
06-10
哦,我理解错了你的问题。Azure Active Directory是微软提供的一种身份验证和授权服务,可以用于管理组织内的用户和应用程序。如果你想在Java应用程序中使用Azure AD进行身份验证,你可以使用Azure AD提供的Java SDK来完成。具体来说,你需要完成以下步骤: 1. 在Azure门户中创建一个Azure AD应用程序,并记录下应用程序的客户端ID和客户端机密。 2. 在Java应用程序中添加Azure AD Java SDK的依赖项,并使用客户端ID和客户端机密来初始化一个身份验证对象。 3. 使用身份验证对象来获取访问令牌,并将令牌用于调用Azure AD保护的API。 下面是一个使用Azure AD Java SDK进行身份验证的示例代码: ``` import com.microsoft.aad.msal4j.*; public class AzureADAuthExample { public static void main(String[] args) throws Exception { String clientId = "<your-client-id>"; String clientSecret = "<your-client-secret>"; String authority = "https://login.microsoftonline.com/<your-tenant-id>/"; IConfidentialClientApplication app = ConfidentialClientApplication.builder(clientId, ClientCredentialFactory.createFromSecret(clientSecret)) .authority(authority) .build(); ClientCredentialParameters parameters = ClientCredentialParameters.builder(Collections.singleton("<your-scope>")).build(); IAuthenticationResult result = app.acquireToken(parameters).get(); // Use the access token to call Azure AD protected API // ... } } ``` 在这个示例中,你需要将`<your-client-id>`、`<your-client-secret>`、`<your-tenant-id>`和`<your-scope>`替换为你自己的值。`<your-scope>`表示你要访问的API的范围。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值