СФ: Вам следует задавать только практические вопросы, на которые можно ответить, исходя из реальных проблем, с которыми вы сталкиваетесь. Пересылка: этот вопрос может быть спорным в отношении ответственной части. Однако для меня это актуальная проблема с точки зрения лучших практик, и я думаю, что за нее определенно можно ответить с точки зрения «Есть ли альтернатива?» vs. «Вы отвечаете не на тот вопрос и должны двигаться в совершенно другом направлении».
Я впервые оцениваю Azure за пределами DevOp прямо сейчас. Создавая серверную / облачную инфраструктуру с несколькими сервисами, я пришел к тому моменту, когда мне захотелось централизовать контроль доступа.
В старые добрые времена я годами управлял контроллерами домена Windows в довольно больших средах, поэтому было совершенно естественно погрузиться в Azure. Начиная с нуля, я создал клиента с целью создания чистой службы Azure - не гибрид (то есть без синхронизации с экземпляром Windows Server).
Обновление 1. Благодаря приведенному ниже комментарию я понял, что приведенная ниже ссылка Microsoft относится к размещенным ADDS, то есть не к Azure AD, а скорее к абстрактному размещенному AD. Я оставил его там, так как это просто доказывает мой вопрос о том, как сделать это чисто облачным После прочтения некоторых статей, в том числе собственной статьи MS на Создание организационных единиц в Azure AD Я также понял, что это не из-за отсутствия реализации, а из-за дизайна.
Я предполагаю, что мой точный вопрос сейчас довольно прост, но я действительно хотел бы получить некоторые непредвзятые отзывы и замечания по этому поводу: что является современной основой для создания простого, централизованного и безопасного блока управления доступом как традиционный AD с ldaps? Я знаю шумиху вокруг сервисов OAuth2 и SSO, но большинство из них казались большими накладными расходами с небольшими организационными возможностями при работе с большим количеством пользователей / групп (но я должен отметить, что я только более глубоко изучил SAML и OAuth2 в целом , потому что это реализовано в Azure).
Как ты это делаешь сегодня? Здесь есть администраторы домена только для лазурного режима?
Управление удостоверениями в Azure AD полностью отличается от управления в традиционном домене, существует множество новых технологий, о которых вам нужно знать, чтобы действительно добиться успеха в управлении облачной средой.
Текущее «состояние искусства» - это узнать, что Azure может предложить по сравнению с традиционной средой домена, есть много новых концепций и технологий, которые нужно усвоить, и будет очень сложно посоветовать, с чего начать и что вам действительно нужно использовать, это будет исключительно дизайнерское и стратегическое решение, которое можете диктовать только вы и ваша компания.
Чтобы поделиться и помочь, я поделюсь с вами важной документацией, чтобы вы начали:
Для начала проверьте "Основная документация"для каждой технологии, которую вы хотите использовать: https://docs.microsoft.com/en-us/azure/security/fundamentals/
А что касается Azure AD, я настоятельно рекомендую вам разобраться во всем »Управление идентификацией"может предложить, как я уже сказал, есть масса новых концепций и технологий, которые нужно изучить, которые не отражаются напрямую с точки зрения локальной среды: https://docs.microsoft.com/en-us/azure/security/fundamentals/identity-management-overview
Если вам интересно читать только о разница между Azure AD и обычный домен (не путать с доменными службами Azure AD, которые являются предложением PaaS для обычного домена, размещенного в облаке), я настоятельно рекомендую также проверить эту документацию: https://docs.microsoft.com/en-us/azure/active-directory-domain-services/compare-identity-solutions
Удачи в чтении и учебе.