У нас есть очень простое использование AD (в основном управление сбросом пароля пользователя), и для этого нам нужно поддерживать старый сервер Windows.
Все службы, к которым имеют доступ наши внутренние пользователи, находятся в облаке (GMail, Google Drive, Salesforce и т. Д.), Поэтому, поскольку мы очень зависимы от подключения к Интернету, мы не видим проблем и в наличии службы каталогов в облаке.
Поскольку для этого невозможно использовать Azure Active Directory ( Могу ли я заменить контроллер домена на Azure Active Directory? ), Мне интересно, можно ли использовать AWS Directory Service
Является ли это возможным?
Спасибо
Microsoft недавно начала предлагать в Azure актуальные службы Active Directory: https://azure.microsoft.com/en-us/services/active-directory-ds; если вам нужна только централизованная аутентификация, они могут полностью заменить локальный AD.
Да, вы можете перенести активный каталог в AWS Directory Service.
Вы можете использовать AWS Directory Service Простая реклама (цена Вот), если у вас есть базовые потребности, в том числе каталог, совместимый с Samba 4.
Вы можете использовать актуальные Microsoft Active Directory из предложения службы каталогов, если у вас есть более сложные потребности или вам нужна полная совместимость.
Если вы хотите объединить AWS и локальную систему, служба каталогов - не всегда лучший выбор, поскольку она дает вам меньшую гибкость, чем сервер AD. Однако это не похоже на то, что вы хотите сделать, поэтому ADS вам подойдет.
Мне немного непонятно, почему вы не можете использовать Azure AD для аутентификации в других службах, вот руководство для salesforce. https://msdn.microsoft.com/en-us/library/azure/dn308593.aspx. Вопрос, о котором вы говорите, касается проверки подлинности без утверждений (локальный Kerberos), которую вы, безусловно, не можете заменить на Azure AD под Windows 8 и ниже. Вы также можете выполнить самостоятельный сброс пароля без локальной AD. Я бы просто остался с тем, что у вас есть, и отказался бы от местного AD, если в вас нет необходимости.