Microsoft Entra ID

Microsoft Entra ID,是 Microsoft Azure 平台上提供身份验证与存取管理 (Identity and Access Management) 的主要服务,负责管理身份验证与存取管理的工作。Microsoft Entra ID 的前身是 AppFabric 的存取控制服务,它是一个基于HTTP通讯协定的目录服务 (Directory Service),与以LDAP和Kerberos协定为主的 Windows Server Active Directory 无法直接共通,必须透过 Azure AD Connect英语Azure AD Connect 工具进行账户同步后,才能在 Microsoft Entra ID 中使用 Active Directory 的账户。

Microsoft Entra ID 依功能分为 Basic 版本与 Premium 版本,Basic 版本中包含了标准的单一签入、账户与群组管理、Application Proxy (由 Microsoft Entra ID 代转讯息到地端的 AD 网域控制站进行验证)、Microsoft Entra ID Connect、基本资安与使用报表;Premium 版则支援了如地端与云端共用的多重要素验证、云端账户密码写回至地端 AD 账户功能、动态群组功能、连线健康侦测与应用程序探索 (Cloud App Discovery) 等功能。Premium 版本也会配合微软的企业行动套件 (Microsoft Enterprise Mobility Suites/EMS) 一起销售 [1]

架构

Microsoft Entra ID 本身是一个支援 HTTP 验证协定 (如 SAMLOAuth 2.0) 的目录服务, 因此应用程序可以利用它来连结其他网络上的应用程序,尤其是SaaS服务 [2]

服务

Microsoft Entra ID 提供了数种类型的身份验证服务,除了原本的 HTTP-based Identity 功能之外,它还实作了下列服务。

Microsoft Entra ID B2C

Microsoft Entra ID B2C 是一个为消费者端应用程序 (Consumer Application) 所设计的身份验证服务,可支援由 OAuth 2.0 (如 FacebookGoogleAmazonLinkedIn) 的社群网络身份提供者 (Identity Provider) 交互操作,并可整合同样在 Microsoft Entra ID 内的多重要素验证功能,以支援更高规格的安全性。

Microsoft Entra ID B2C 未来将可能会取代 Azure 现有的 Access Control Service 2.0。

Microsoft Entra ID 网域服务

Microsoft Entra ID 网域服务 (Domain Service) 是一个支援 LDAP 及 Kerberos 协定的服务,具有与 Windows Server Active Directory 相同的特性,可用来替代企业在自己的虚拟网络中建置网域控制站的需求,它虽然可支援 LDAP/Kerberos,但它仍然无法直接经由 Internet 使用,因此它只能用在 Azure 的虚拟网络内。

Microsoft Entra ID 网域服务截至 2016 年 3 月时仍然在公开预览阶段。

多重要素验证

多重要素验证 (Multi-Factor Authentication) 服务是 Microsoft Entra ID 下的一个功能,不过它并不是一定要和 Microsoft Entra ID 一起使用,它也可以单独使用,不过若采用 Microsoft Entra ID 时,不需额外的设定就能取用多重要素验证服务。

多重要素验证可支援下列的要素 [3]

  • 文字简讯验证码方式。
  • 电话语音方式。
  • 由移动应用程序通知讯息方式。
  • 由 Microsoft Azure Authenticator (移动应用程序) 提供验证码方式。
  • 由第三方的 OAuth 权仗 (Token) 方式。

参考

  1. ^ Microsoft Enterprise Mobility Suite Overview. [2016-03-20]. (原始内容存档于2016-05-07). 
  2. ^ Integrate Azure Active Directory single sign-on with SaaS apps. [2016-03-20]. (原始内容存档于2016-08-02). 
  3. ^ How Azure Multi-Factor Authentication works. [2016-03-20]. (原始内容存档于2016-08-27).