Office 365中活動目錄ADFS的重要性
當微軟***在Windows Server 2003 R2中引入活動目錄聯合服務(ADFS)時,該功能并沒有得到太多的喝彩。有些功能理論上聽起來很好,但是出現的時間有些早,ADFS就是這些功能中的一個。
微軟在Windows Server 2008和Windows 2008 R2中囊括了活動目錄聯合服務,甚至還提供了可下載的2.0版本。但是,似乎沒有人在生產環境中使用ADFS。這種情況也許要改變了。
ADFS提供管理在線身份和提供單點登錄(single sign-on)功能的方法。由于從運行本地應用到運行云中應用的轉變,ADFS變得越來越重要。
當應用程序在本地運行時,所有應用一般都直接安裝在用戶桌面、終端服務器或應用服務器上。在任意一種這些情況中,應用程序的權利都由活動目錄對象(如用戶和群組)保證。一旦用戶登錄到活動目錄,他們在整個林中被識別,不管他們連接到哪臺服務器來訪問應用和其它資源。
盡管這種訪問控制模式已經良好地運用了十年,但當云托管的應用進入到畫面,它開始倒塌。例如,當用戶早上登錄到他們的電腦,他們登錄到一個活動目錄域。這建立了一個他們在企業中訪問資源時會用到的身份。
但是,如果一個人從瀏覽器中打開Netflix,它無法識別該用戶。這個網站,雖然技術上是一個云應用,并不在乎用戶登錄到活動目錄域。Netflix管理他們的用戶帳戶信息,所以人們必須提供一套明確針對該網站的憑證。
登錄到Netflix的行為不只是確認我是已付款的用戶。同樣地,每個用戶都有必要擁有唯一的憑證,因為就像任何其它應用一樣,Netflix保持人性化的設置,如演員表信息和電影順序。例如,盡管一名用戶也許只有一次簡單的Netflix訂閱,家庭中的每個人都有自己獨立的登錄,所以他們能夠管理自己的電影順序。
記住,相同的概念可以應用到企業環境。越來越多的組織開始在云中運行應用。而且,就像Netflix,這些應用中的大部分需要一套唯一的憑證,盡管記住Netflix密碼很簡單,這個概念確實沒有在企業中擴展得很好。
為什么基于云的身份管理會是如此大的挑戰?這有很多原因。首先,每個基于云的應用都可能由不同的提供商托管。例如,除了擁有Netflix帳戶之外,用戶還能擁有亞馬遜帳戶。這兩者彼此沒有關第,它們需要兩套不同的憑證。試想一下,與這相同的概念如何能在企業環境中實施。如果一個組織購買了20個托管應用,接著用戶就有20套不同的憑證要記住,不管是對于管理人員還是技術支持人員來說,這都是一場運維的噩夢。
管理人員面對設置所有這些帳戶的負擔,而技術支持人員面對管理密碼重設的艱難任務。對于用戶來說,打電話或說他們需要密碼重設已經不夠了。現在,他們必須指出他們訪問出問題的應用是哪個,且幫助臺必須重設用于該應用的密碼。
也正是這類運維挑戰讓ADFS得到更廣泛地采用。 現在,微軟正在使用ADFS來為那些想遷移某些網絡服務的用戶引向一條朝向Office 365的道路。
Office 365包括微軟的Exchange、SharePoint和Lync。所有這些應用都需要一個活動目錄(AD)環境,但是不能只是將Office 365加入到域中。相反地,要使用ADFS來安裝目錄同步化。
因為Office 365應用程序需要一個活動目錄環境,微軟為你的Office 365購買創建了專用域。該目錄同步化程序自動地在微軟域中創建帳戶 ,它與本地林中現存的帳戶匹配(用戶選擇他們想同步化哪個帳戶)。當然,還是有與同步化帳戶相關的密碼,這也正是ADFS起作用的地方。
當用戶試圖訪問Office 365時,ADFS向微軟服務器提交一次請求。該請求包括用戶的身份信息。微軟服務器驗證請求真實后提取帳戶信息。接著,該用戶自動地登錄到微軟域中的帳戶并獲得到請求應用的訪問權。在整個過程中,用戶除了像往常一樣登錄本地林不用再做其它事情。
ADFS解決了云身份管理的挑戰。現在還不是所有云應用提供商都支持ADFS。但隨著著越來越多的組織采用Office 36***DFS會成為將企業連接到托管Web應用的標準機制,這只是時間的問題。
【編輯推薦】
