Embed Size (px)
Citation preview
1/122 15:24
曹祖聖
台灣微軟資深講師
http://teacher.syset.com
MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTS, MCITP, MCPD, MCT, MVP
2/122 15:24
3/122 15:24
關於身份驗證的兩三事
4/122 15:24
5/122 15:24
6/122 15:24
woodgrovebank.comcontoso.com
Forest trust
Global
CatalogGlobal
Catalog
emea.woodgrovebank.com na.contoso.com
24
6
1
3
57
8
9
7/122 15:24
contoso.local
資料層10.2.2.0/24
應用程式層10.2.3.0/24
Web 前端10.2.4.0/24
後端 AD
10.2.1.0/24可用性群組
可用性群組
WFE1WFE2
DC1DC2
負載平衡器
SQLSharePoint
Microsoft Azure 虛擬網路 - 10.2.0.0
WFE3
可用性群組
8/122 15:24
Point-to-Site
VPN
Point-to-Site
VPN
DC
contoso.local
資料層10.2.2.0/24
應用程式層10.2.3.0/24
Web 前端10.2.4.0/24
後端 AD
10.2.1.0/24可用性群組
可用性群組
WFE1WFE2
DC1DC2
負載平衡器
SQLSharePoint
Microsoft Azure 虛擬網路 - 10.2.0.0
WFE3
可用性群組
9/122 15:24
contoso.local
本地端Active Directory
Site-to-Site VPN
使用Windows Server 2012
R2 做為 IKEv2 VPN 閘道
Point-to-Site
VPN
資料層10.2.2.0/24
應用程式層10.2.3.0/24
Web 前端10.2.4.0/24
後端 AD
10.2.1.0/24可用性群組
可用性群組
WFE1WFE2
DC1DC2
負載平衡器
SQLSharePoint
Microsoft Azure 虛擬網路 - 10.2.0.0
WFE3
可用性群組
10/122 15:24
11/122 15:24
應用程式提供者
身份提供者
應用程式Security Token Service (STS)
Security Token
(Outgoing
Claims)
Security Token
(Incoming
Claims)
使用 SAML 格式傳送 Claims
12/122 15:24
真實世界的 STS
STS
token token
STStoken token
RP
13/122 15:24
14/122 15:24
15/122 15:24
Azure Active Directory
16/122 15:24
企業開始強調行動性
裝置遺失或遭竊所導致的資料外洩是最主要的智慧型手機資安風險 – 歐洲網路和安全委員會
29% 的全球當前工作人力使用3種以上的裝置,並且在不同的地點工作,使用不同的 apps
67% 的人使用智慧型手機來工作,70% 使用平板電腦來工作的人選擇他們自己的裝置
超過 80%的員工在工作中使用未核准的軟體即服務 (SaaS)應用程式
17/122 15:24
各式各樣的裝置正在改變傳統 IT公司的途徑
裝置
跨平台的部署和管理應用程式是相當困難的
應用程式
滿足客戶在業務上的挑戰
資料
使用者需要很有效率地來保持法規遵循和降低風險
使用者期待可以在任何地點進行工作並且可以存取他們所以的工作資源
使用者
18/122 15:24
裝置 應用程式使用者
實現以使用者為中心的 IT
讓使用者更容易使用
用戶可以在工作上選用不同的裝置,並可以一致地存取到公司資源
整合您的環境
在內部部屬及雲端之間提供單一的應用程式和裝置管理
保護您的資料
協助保護您的企業資訊,並進行風險管理
管理 存取 保護
資料
19/122 15:24
真實世界的 SaaS 應用程式與使用裝置
Salesforce.com
force.comAmazon.com
AWS
Private cloud
EC2
System Center
21/122 15:24
一個完整的身份與取存管理的雲端解決方案
它包含了目錄服務、進階的身份管理、應用程式存取管理與開發平台
Azure Active Directory Premium 提供私有雲、混合雲、公有雲環境一個身份識別與存取控制的能力
什麼是Azure Active Directory ?
22/122 15:24
23/122 15:24
24/122 15:24
WS-Federation
WS-Trust
SAML 2.0
Metadata
Shibboleth
Graph API
25/122 15:24
Azure Active Directory Premium 整合概觀
PC 與行動裝置
微軟雲端應用程式
非微軟雲端應用程式
Active Directory
其它身份提供者
26/122 15:24
https://account.windowsazure.com/organization
27/122 15:24
https://azure.microsoft.com/en-us/trial/get-started-active-directory/
28/122 15:24
http://azure.microsoft.com/en-us/pricing/free-trial/
29/122 15:24
30/122 15:24
31/122 15:24
32/122 15:24
雲端的目錄服務
33/122 15:24
Azure AD 身份驗證 –純雲端
使用者帳號使用者
34/122 15:24
35/122 15:24
36/122 15:24
37/122 15:24
超過 1200 個預先整合完成的 SaaS APP
連接與同步
• 本地端 AD 與雲端 AD
• 本地端其它目錄服務與雲端 AD
雲端的目錄服務
38/122 15:24
預先整合完成的 SaaS APP
39/122 15:24
超過 1200 個預先整合完成的 SaaS APP
連接與同步
• 本地端 AD 與雲端 AD
• 本地端其它目錄服務與雲端AD
雲端的目錄服務
開發人員可以透過開放的Azure AD API 建構企業的雲端APP
身份與應用程式都在同一個地方
40/122 15:24
集中管理預先整合的SaaS APP 與其它雲端應用程式
透過進階的存取管理能力,進一步加強商業流程安全性
統一的身份與存取管理主控台
集中管理身份與存取
你的雲端 APP 隨時隨處可用
IT 管理人員
41/122 15:24
42/122 15:24
授權使用者
管理自己的帳戶
個人化公司應用程式入口網站http://myapps.microsoft.com
+ 行動 APP
43/122 15:24
管理自己的帳戶
自助密碼重設與委派雲端使用者群組管理
個人化公司應用程式入口網站http://myapps.microsoft.com
+ 行動 APP
授權使用者
45/122 15:24
46/122 15:24
透過安全報表來追蹤可疑的存取、提供即時的警示、進行後續的分析
內建安全相關功能
監控與保護企業應用程式存取
47/122 15:24
48/122 15:24
透過安全報表來追蹤可疑的存取、提供即時的警示、進行後續的分析
內建安全相關功能
監控與保護企業應用程式存取
使用第二步驟身份驗證
X X X X X
X X X X X
X X X X X
49/122 15:24
自訂 AAD 商標
50/122 15:24
51/122 15:24
Cloud App Discovery
代理程式
收集資訊 Active Directory
Cloud App Discovery
52/122 15:24
Cloud App Discovery
53/122 15:24
http://blogs.technet.com/b/ad/archive/2014/04/28/a-new-azure-ad-module-in-preview-cloud-app-discovery.aspx
https://appdiscovery.azure.com/
54/122 15:25
身份驗證與應用程式授權
55/122 15:25
多因子身份驗證
56/122 15:25
任何以下兩種以上的身份驗證:
• 你記得的: 密碼、PIN 碼
• 你手邊的: 手機、信用卡、硬體
• 生物辨識: 指紋、視網膜掃描、
57/122 15:25
在 Azure Active Directory Premium 中內建的進階身份與存取服務
透過第二步驟的驗證手續,避免未經授權的本地應用程式或雲端應用程式存取
目前廣為所有企業與個人所使用
什麼第二步驟身份驗證 ?
58/122 15:25
第二步驟身份驗證運作方式
行動 APP 電話
ALERT
1 4 5 6 7 6
簡訊
59/122 15:25
內部 APP
RADIUSLDAP
IIS RDS/VDI
Multi-Factor
AuthenticationServer
Multi-Factor
Authentication
Service
雲端 APP
使用者必須使用手機或其它行動裝置進行第二步驟驗證,才可以使用應用程式2使用者在任何裝置上,使用他
們已知的帳號和密碼登入1
Windows Server AD or Other LDAP
第二步驟身份驗證運作方式
60/122 15:25
61/122 15:25
與本地端 Active Directory 整合
62/122 15:25
Azure AD 身份驗證 –帳號同步式
密碼雜湊
使用者帳號
本地端Active Directory
DirSync 工具
使用者
登入
透過 Identity Synchronization 服務將使用者帳戶的屬性 (含密碼雜湊) 同步到雲端,所有使用者身份驗證都由 Azure Active Directory 處理
63/122 15:25
Azure AD 身份驗證 –聯邦式
密碼雜湊
使用者帳號
本地端Active Directory
DirSync 工具
使用者
登入
ADFS驗證
驗證
使用 Identity Synchronization 工具將使用者帳戶的屬性同步到雲端,使用者身份驗證由 ADFS 轉回本地端 Active Directory 處理
64/122 15:25
密碼同步 ADFS SSO
使用一致的使用者密碼來存取應用程式
在本地端控制密碼原則
支援多因子驗證
不需要重覆輸入密碼
由本地端進行身份驗證
進一步進行用戶端存取過濾
65/122 15:25
http://www.microsoft.com/en-us/download/details.aspx?id=44225
https://msdn.microsoft.com/en-us/library/azure/dn790204.aspx
66/122 15:25
67/122 15:25
68/122 15:25
69/122 15:25
70/122 15:25
71/122 15:25
72/122 15:25
73/122 15:25
74/122 15:25
75/122 15:25
76/122 15:25
77/122 15:25
78/122 15:25
79/122 15:25
80/122 15:25
81/122 15:25
82/122 15:25
83/122 15:25
使用 Identity Synchronization 工具將使用者帳戶的屬性同步到雲端,使用者身份驗證由 ADFS 轉回本地端 Active Directory 處理
84/122 15:25
85/122 15:25
86/122 15:25
ADFS 組成元件
網域控制站(屬性儲存區)
提供宣告屬性
ADFS
Web Application Proxy
Federation Service Proxy應用程式伺服器Relying Party
網域控制站(屬性儲存區)
ADFS
提供宣告屬性Relying-Party
Trust
Claims-Provider Trust
內部網路 伙伴網路
adfs.adatum.com
adfs.adatum.com
87/122 15:25
外部用戶端
ADFS
Federation
Service
Proxy
Web伺服器
網域控制站
DMZ 企業內部網路
3
2
4
77
6 5
1
8
88/122 15:25
ADFS – B2B SSO
A 公司 (Account Partner) B 公司 (Resource Partner)
內部用戶端
ADFS
ADFS
Web 伺服器
網域控制站
聯邦式信任
7
6
8
5
4
3
2
1 11
9
10
89/122 15:25
ADFS –微軟線上服務 SSO
ADFS (IP)
你的企業 微軟
內部用戶端
微軟線上 ADFS
Office 365, Azure
網域控制站
聯邦式信任
7
6
8
4
3
2
1 11
10
9
5
90/122 15:25
91/122 15:25
92/122 15:25
http://go.microsoft.com/fwlink/?LinkID=286152
http://go.microsoft.com/fwlink/p/?linkid=236297
$cred=Get-Credential
Connect-MsolService –Credential $cred
93/122 15:25
Set-MsolAdfscontext –Computer adfs.demo.com
以下指令擇一執行:
New-MsolFederatedDomain -DomainName demo.com
Convert-MsolDomainToFederated –DomainName demo.com
94/122 15:25
按指示,在 contoso.com 中建立以下記錄(擇一)
DNS TXT 記錄@,值為 MS=ms24458965
MX 記錄@,值為 ms24458965.msv1.invalid、優先順序值設為 32767
增加記錄之後,等 15min ~ 72 hr,再執行一次 (擇一):
New-MsolFederatedDomain -DomainName demo.com
Convert-MsolDomainToFederated –DomainNamedemo.com
95/122 15:25
96/122 15:25
企業應用程式與 Azure AD 整合
97/122 15:25
98/122 15:25
99/122 15:25
100/122 15:25
101/122 15:25
102/122 15:25
103/122 15:25
Entity Query Query result
Users https://graph.windows.net/contoso.com/users?api-version=2013-
04-05List all users
https://graph.windows.net/contoso.com/users/[email protected]
omGet a specific user by user
principal name
https://graph.windows.net/contoso.com/users?$filter=surname
eq 'Smith'Find users by surname
https://graph.windows.net/contoso.com/users/[email protected]
m/managerGet manager for the specified user
https://graph.windows.net/contoso.com/users/[email protected]
m/directReportsList the direct reports for the
specified user
https://graph.windows.net/contoso.com/users/[email protected]
m[/$links]/memberOfList the group memberships for the
specified user (non-transitive)
Roles https://graph.windows.net/contoso.com/roles List all roles
Groups https://graph.windows.net/contoso.com/groups List all groups
https://graph.windows.net/contoso.com/groups/3f575eef-bb04-
44a5-a9af-eee9f547e3f9/membersList members for the specified
group
Contacts https://graph.windows.net/contoso.com/contacts List all contacts
104/122 15:25
105/122 15:25
106/122 15:25
107/122 15:25
108/122 15:25
109/122 15:25
https://msdn.microsoft.com/en-us/library/azure/dn195587.aspx
110/122 15:25
111/122 15:25
112/122 15:25
113/122 15:25
Azure AD PowerShell 管理
114/122 15:25
https://msdn.microsoft.com/zh-tw/library/azure/jj151815.aspx
https://admodify.codeplex.com/
115/122 15:25
https://technet.microsoft.com/zh-tw/library/dn750846.aspx
https://testconnectivity.microsoft.com
http://support.microsoft.com/kb/2684395
https://technet.microsoft.com/en-us/library/jj710171.aspx
116/122 15:25
安裝Microsoft Azure PowerShell (用WPI 裝)
Azure Active Directory Module
救回不小心刪除的使用者Get-MsolUser -ReturnDeletedUsers
| ? {$_.UserPrincipalName -like "tim*"} | Restore-MsolUser
參考:
http://technet.microsoft.com/library/jj151815.aspx
117/122 15:25
手動啓動 Azure AD 同步Import-Module DirSyncStart-OnlineCoexistenceSyncSet-FullPasswordSync
停用同步$msolcred = Get-CredentialConnect-MsolService -Credential $msolcred
Set-MsolDirSyncEnabled –EnableDirSync $false
$ci = Get-MSOLCompanyInformation$ci.DirectorySynchronizationEnabled
AAD 同步每 3 小時一次、密碼每 2 分鐘一次 !
118/122 15:25
-SupportMultiDomain
-SupportMultipleDomain
-SupportMultipleDomain
119/122 15:25
檢查同步工具版本,使用 PowerShellGP ('hklm:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft Online Directory Sync').DisplayVersion
使用 AAD Sync 做為 ADFS 的備援機制http://social.technet.microsoft.com/wiki/contents/articles/17857.dirsync-how-to-switch-from-single-sign-on-to-password-sync.aspx
120/122 15:25
Azure AD Free Azure AD PremiumMulti-factor
authentication
Directory as a service Up to
500,000 objects No limit
User and group management
Single sign-on for pre-integrated SaaS and custom
applications
10 apps per
user No limit
Microsoft Directory Synchronization Tool
(Windows Server Active Directory extension)
User-based access management and provisioning
Group-based access management and provisioning
Self-service group management for cloud users
Self-service password change for cloud users
Self-service password reset for cloud users
Security reports ( MFA )
Advanced security reporting (based on machine learning)
Usage reporting
Company branding
(logon pages and Access Panel customization)
Multi-factor authentication (all available features on
Windows Azure and on-premises environments)
Service-level agreement (SLA)
Forefront Identity Manager CAL + Forefront Identity
Manager Server
121/122 15:25
結論
PC 與行動裝置
微軟雲端應用程式
非微軟雲端應用程式
Active Directory
其它身份提供者
122/122 15:25
http://azure.microsoft.com/en-us/documentation/services/active-directory/
http://azure.microsoft.com/en-us/documentation/services/active-directory/
https://msdn.microsoft.com/en-us/library/azure/jj205462.aspx
![user1@contoso.com (mailbox or mail user [preferred]) targetAddress=SMTP:user1@contoso.mail.onmicrosoft.com user1@contoso.com EmailAddresses=SMTP:user1@contoso.com](https://img.dokumen.tips/doc/110x75/56649d705503460f94a51e9c/user1contosocom-mailbox-or-mail-user-preferred-targetaddresssmtpuser1contosomailonmicrosoftcom.jpg)
