Проектирование гибридной идентификации — стратегия внедрения Azure — Microsoft Entra
- Статья
- Чтение занимает 10 мин
В этой статье вы определяете стратегию внедрения гибридной идентификации для гибридных решений идентификации, которая соответствует бизнес-требованиям, выработанным вами с помощью таких статей:
- Определение потребностей бизнеса
- Определение требований к синхронизации каталога
- Определение требований к многофакторной проверке подлинности
Определение стратегии потребностей бизнеса
Первой задачей является определение бизнес-потребностей организации.
Эта задача может быть широкой и ползучесть области может возникнуть, если вы не будете осторожны. Старайтесь не усложнять процесс в начале, но обязательно помните, что проект должен допускать изменения в будущем и способствовать им. Независимо от того, является ли это простой или сложный дизайн, Azure Active Directory — это платформа удостоверений Майкрософт, которая поддерживает Microsoft 365, Microsoft Online Services и облачные приложения.
Определение стратегии интеграции
Корпорация Майкрософт имеет три основных сценария интеграции: облачные удостоверения, синхронизированные удостоверения и федеративные удостоверения. Вам нужно выбрать одну из этих трех стратегий интеграции. Выбранная стратегия может отличаться. Решения при выборе могут включать в себя, какой тип пользовательского интерфейса вы хотите предоставить, имеется ли у вас инфраструктура и что является наиболее экономичным.
На рисунке выше указаны такие сценарии:
- Облачные удостоверения: удостоверения, которые существуют исключительно в облаке.
Для Azure AD они будут находиться в каталоге Azure AD. - Синхронизированные: удостоверения, существующие в локальной среде и в облаке. С помощью Azure AD Connect пользователи создаются или присоединяются к существующим учетным записям Azure AD. Хэш пароля пользователя передается из локальной среды в облако в виде хэша пароля. Помните, что если пользователь отключен в локальной среде, для отображения состояния учетной записи в Azure AD может потребоваться до трех часов. Это связано с интервалом времени синхронизации.
- Федеративные: удостоверения существуют как в локальной среде, так и в облаке. С помощью Azure AD Connect пользователи создаются или присоединяются к существующим учетным записям Azure AD.
Для Azure AD они будут находиться в каталоге Azure AD.Примечание
Дополнительные сведения о вариантах синхронизации см. в статье Интеграция локальных каталогов с Azure Active Directory.
Следующая таблица помогает определить преимущества и недостатки каждой стратегии.
| Стратегия | Преимущества | Недостатки |
|---|---|---|
| Облачная идентификация | Проще управлять в небольшой организации. Не нужно ничего устанавливать локально. Дополнительное оборудование не требуется Легко отключить пользователя, когда он покидает компанию. | Пользователи должны вводить учетные данные при обращении к рабочей нагрузке в облаке. Пароли для облака и для локальных удостоверений могут совпадать или различаться. |
| синхронизировано; | Локальный пароль используется для аутентификации как локальных, так и облачных каталогов. Проще управлять в небольших, средних и крупных организациях. Пользователи могут применять единый вход (SSO) к некоторым ресурсам. Является предпочтительным методом синхронизации, рекомендуемым корпорацией Майкрософт. Упрощает управление. | Некоторые клиенты настороженно относятся к синхронизации своих каталогов с облаком в силу корпоративных политик. |
| Федеративные | Пользователи могут применять единый вход (SSO). Когда пользователь прекращает работу в организации, его учетную запись и доступ к ресурсам можно отключить немедленно. Поддерживает расширенные сценарии, которые не могут быть выполнены с помощью синхронизации | Для установки и настройки требуется больше шагов. Более высокие требования к обслуживанию. Может потребоваться дополнительное оборудование для инфраструктуры STS Для установки сервера федерации может потребоваться дополнительное оборудование. Если используется AD FS, требуется другое программное обеспечение Для реализации единого входа (SSO) требуется расширенная настройка. Критическая точка отказа: если сервер федерации выйдет из строя, пользователи не смогут выполнять аутентификацию. |
Взаимодействие с клиентом
Выбранная стратегия влияет на режим взаимодействия с клиентом при выполнении входа. В следующих таблицах представлена информация о том, какие процессы и действия ожидают пользователей.
Не все поставщики федеративных удостоверений поддерживают единый вход для любых сценариев.
Приложения, объединенные в домен, и приложения частной сети:
| Приложение | Синхронизированная идентификация | Федеративная идентификация |
|---|---|---|
| Веб-браузеры | Проверка подлинности с помощью форм | Единый вход, иногда требуется указывать идентификатор организации |
| Outlook | Запрос учетных данных | Запрос учетных данных |
| Skype для бизнеса (Lync) | Запрос учетных данных | Единый вход для Lync, запрос учетных данных для Exchange |
| OneDrive для бизнеса | Запрос учетных данных | Единый вход |
| Подписка Office Pro Plus | Запрос учетных данных | Единый вход |
Внешние или ненадежные источники:
| Приложение | Синхронизированная идентификация | Федеративная идентификация |
|---|---|---|
| Веб-браузеры | Проверка подлинности с помощью форм | Проверка подлинности с помощью форм |
| Outlook, Skype для бизнеса (Lync), OneDrive для бизнеса, подписка Office | Запрос учетных данных | Запрос учетных данных |
| Exchange ActiveSync | Запрос учетных данных | Единый вход для Lync, запрос учетных данных для Exchange |
| Мобильные приложения | Запрос учетных данных | Запрос учетных данных |
Если у вас есть сторонний поставщик удостоверений или вы собираетесь использовать его для обеспечения федерации с Azure AD, необходимо учитывать следующие поддерживаемые возможности:
- Во-первых, любой поставщик SAML 2. 0, который соблюдает условия для профилей SP-Lite, может поддерживать проверку подлинности в Azure AD и связанных приложениях.
- Во-вторых, поддерживается пассивная проверка подлинности, которая упрощает проверку подлинности в службах Outlook Web Access, SPO и т. д.
- Клиенты Exchange Online могут поддерживаться с использованием расширенных клиентских профилей (ECP) SAML 2.0.
0, который соблюдает условия для профилей SP-Lite, может поддерживать проверку подлинности в Azure AD и связанных приложениях.Вы также должны знать, какие возможности будут недоступны:
- Все активные клиенты не могут работать без поддержки WS-Trust/Federation.
- В их число входят Lync, клиент OneDrive, подписка Office и Office Mobile версий, вышедших раньше версии Office 2016.
- Переход с Office на пассивную проверку подлинности обеспечивает совместимость с поставщиками удостоверений SAML 2.0, но только отдельно для каждого клиента.
Примечание
Последнюю версию списка см. в статье Список совместимости с федерацией Azure AD.
Стратегия управления синхронизацией
Эта задача определяет средства, которые будут использоваться для синхронизации локальных данных организации с облаком, и топологию, которую следует использовать.
Большинство организаций используют Active Directory, поэтому мы предоставим некоторые сведения о том, как использовать Azure AD Connect для решения описанных выше задач. Для сред, в которых нет Active Directory, есть сведения об использовании FIM 2010 R2 или MIM 2016 для планирования этой стратегии. Но следующие версии Azure AD Connect будут поддерживать каталоги LDAP, поэтому, в зависимости от того, когда вы читаете эту статью, эта информация может оказаться полезной для вас.
Средства синхронизации
За последние годы создано несколько средств синхронизации, которые использовались для различных сценариев. В настоящее время лучшим инструментом для всех поддерживаемых сценариев является Azure AD Connect. Azure AD Sync и DirSync по-прежнему доступны и могут даже присутствовать в вашей среде.
Примечание
Последние сведения о поддерживаемых возможностях каждого из этих средств вы найдете в статье Сравнение инструментов интеграции каталогов .
Поддерживаемые топологии
Когда вы выбираете стратегию синхронизации, нужно сначала определить используемую топологию.
Сценарий с одним лесом. Как правило, крупные и даже небольшие организации имеют несколько лесов, как показано на рис. 5.
Примечание
Дополнительные сведения о синхронизации с применением Azure AD Connect в различных топологиях локальной среды и Azure AD вы найдете в статье Топологии Azure AD Connect.
Сценарий с несколькими лесами
Топология с одним Azure AD с несколькими лесами следует учитывать, если выполняются следующие элементы:
- У пользователей есть только 1 удостоверение во всех лесах. Этот сценарий описан в разделе об уникальной идентификации пользователей ниже.
- Пользователь проходит аутентификацию в том лесу, в котором расположено его удостоверение.
- Имя участника-пользователя и привязка к источнику (неизменяемый идентификатор) будут поступать из этого леса.
- Все леса доступны Azure AD Connect. Это означает, что они не должны быть присоединены к домену и могут быть помещены в сеть периметра.
- У каждого пользователя есть только один почтовый ящик.
- Лес, в котором размещаются почтовые ящики пользователей, характеризуется наилучшим качеством данных для атрибутов, отображаемых в глобальном списке адресов Exchange (GAL).
- Если у пользователя нет почтового ящика, то для внесения значений можно использовать любой лес.
- Если у вас есть связанный почтовый ящик, то в другом лесу, используемом для входа, также есть другая учетная запись.
Примечание
Объекты, которые существуют как локально, так и в облаке, «связаны» по уникальному идентификатору. В контексте синхронизации каталогов такой уникальный идентификатор называется привязкой к источнику (SourceAnchor).
В контексте единого входа этот идентификатор называется ImmutableId. Концепции разработки для Azure AD Connect содержит дополнительные сведения об использовании SourceAnchor.
Если приведенное выше не соответствует действительности и у вас есть несколько активных учетных записей или несколько почтовых ящиков, Azure AD Connect выберет одну из них и проигнорирует другую. Если у вас есть связанные почтовые ящики, но нет другой учетной записи, учетные записи не будут экспортированы в Azure AD и этот пользователь не будет членом каких-либо групп. Это поведение отличается от предыдущего в DirSync и предназначено для лучшей поддержки сценариев с несколькими лесами. На рисунке ниже показан сценарий с несколькими лесами.
Сценарий «несколько лесов, несколько экземпляров Azure AD»
Рекомендуется иметь только один каталог в Azure AD для организации. Однако он поддерживается, если между сервером синхронизации Azure AD Connect и каталогом Azure AD сохраняется связь 1:1.
Для каждого экземпляра Azure AD требуется одна установка службы Azure AD Connect. Кроме того, Azure AD, по умолчанию изолированы, и пользователи в одном экземпляре Azure AD не смогут видеть пользователей в другом экземпляре.
Можно подключить один локальный экземпляр Active Directory к нескольким каталогам Azure AD, как показано на рисунке ниже.
Сценарий фильтрации с одним лесом
Следующие операторы должны иметь значение true:
- На серверах синхронизации Azure AD Connect необходимо настроить правила фильтрации. Каждый сервер должен обрабатывать взаимоисключающие наборы объектов. Например, каждый сервер может обслуживать определенный домен или подразделение.
- DNS-домен может быть зарегистрирован только в одном каталоге Azure AD. При этом имена участников-пользователей в локальном каталоге AD должны использовать отдельные пространства имен.
- Пользователи в каждом экземпляре Azure AD будут видеть только других пользователей этого же экземпляра. Они не смогут видеть пользователей в других экземплярах
- Вы можете включить гибридное развертывание Exchange с локальным каталогом Active Directory только для одного каталога Azure AD.
- Взаимная исключительность применяется также к обратной записи. Таким образом, некоторые функции обратной записи не поддерживаются в этой топологии, так как предполагается, что это одна локальная конфигурация.
- групповая обратная запись в конфигурации по умолчанию;
- обратная запись для устройств.
Они не смогут видеть пользователей в других экземплярахСледующие элементы не поддерживаются и не должны выбираться в качестве реализации:
- Не поддерживается подключение нескольких серверов синхронизации Azure AD Connect к одному и тому же каталогу Azure AD, даже если они настроены для синхронизации взаимоисключающего набора объектов.
- Синхронизация одного пользователя с несколькими каталогами Azure AD не поддерживается.
- Кроме того, не поддерживается изменение конфигурации, чтобы пользователи в одном Azure AD отображались в качестве контактов в другом каталоге Azure AD.
- Кроме того, не поддерживается изменение синхронизации Azure AD Connect для подключения к нескольким каталогам Azure AD.
- Каталоги Azure AD являются изолированными по своей природе. Изменение конфигурации синхронизации Azure AD Connect для чтения данных из другого каталога Azure AD не поддерживается при попытке создать общий и унифицированный глобальный список адресов между каталогами. Экспорт пользователей в качестве контактов в другую локальную службу AD с помощью синхронизации Azure AD Connect также не поддерживается.
Примечание
Если ваша организация запрещает подключение к Интернету с компьютеров в сети, вам пригодится список конечных точек (который содержит полные доменные имена и диапазоны адресов IPv4 и IPv6) из этой статьи. Включите их в списки разрешения исходящих соединений и в зону надежных сайтов Internet Explorer на клиентских компьютерах, чтобы эти компьютеры могли использовать Microsoft 365. Дополнительные сведения см. в статье URL-адреса и диапазоны IP-адресов Office 365.
Определение стратегии многофакторной проверки подлинности
В этой задаче вы определите используемую стратегию многофакторной проверки подлинности. Многофакторная идентификация Azure Active Directory доступна в двух версиях. Одна из них реализована на основе облака, а вторая — локально с использованием сервера Azure MFA. На основе оценки, которую вы выполняли выше, можно выбрать правильное решение для вашей стратегии. Воспользуйтесь следующей таблицей, чтобы определить вариант, который лучше всего соответствует потребностям вашей компании.
Варианты многофакторной структуры:
| Защищаемый ресурс | MFA в облаке | Локальная Многофакторная идентификация (MFA) |
|---|---|---|
| Приложения Майкрософт | да | да |
| Приложения SaaS в коллекции приложений | да | да |
| Приложения IIS, опубликованные через прокси приложения Azure AD | да | да |
| Приложения IIS, опубликованные не через прокси приложения Azure AD | Нет | да |
| Удаленный доступ, например VPN или RDG | Нет | да |
Несмотря на то, что вы, возможно, остановились на решении для своей стратегии, вам все равно нужно использовать оценку, приведенную выше.
Это решение может привести к изменению решения. Чтобы принять это решение, воспользуйтесь приведенной ниже таблицей:
| Местонахождение пользователей | Предпочтительный вариант |
|---|---|
| Azure Active Directory | Multi-Factor Authentication в облаке |
| Azure AD и локальная служба AD с использованием федерации в AD FS | Оба |
| Azure AD и локальная служба AD с использованием Azure AD Connect без синхронизации паролей | Оба |
| Azure AD и локальная служба AD с использованием Azure AD Connect с синхронизацией паролей | Оба |
| Локальная служба AD | Сервер Многофакторной идентификации |
Примечание
Следует убедиться, что выбранный вариант многофакторной проверки подлинности поддерживает функции, которые вы считаете обязательными для вашей сети. Подробнее об этом см. в статье Выбор решения многофакторной безопасности.
поставщик Multi-Factor Authentication.
Многофакторная проверка подлинности доступна по умолчанию для администраторов гибридных удостоверений, имеющих клиент Azure Active Directory. Однако если вы хотите расширить многофакторную проверку подлинности для всех пользователей и (или) хотите, чтобы администраторы гибридных удостоверений могли воспользоваться такими функциями, как портал управления, пользовательские приветствия и отчеты, необходимо приобрести и настроить поставщик Многофакторной идентификации.
Примечание
Следует убедиться, что выбранный вариант многофакторной проверки подлинности поддерживает функции, которые вы считаете обязательными для вашей сети.
Дальнейшие действия
Определение требований к защите данных
См. также раздел
Обзор рекомендаций по проектированию
Определение сетей водотоков—ArcGIS Pro | Документация
Доступно с лицензией Spatial Analyst.
Сети водотоков могут быть выделены из цифровой модели рельефа ЦМР (DEM) с использованием выходных данных инструмента Суммарный сток (Flow Accumulation).
Суммарный сток в самой простой форме — это количество ячеек вверх по уклону, с которых осуществляется сток в каждую ячейку. Применяя пороговое значение к результатам инструмента Суммарный сток (Flow Accumulation) с помощью инструмента Условие (Con) или Установить ноль (Set Null), вы можете выделить сеть водотоков. Например, чтобы создать растр, где значение, равное единице, представляет сеть водотоков, а все остальные ячейки имеют значение NoData (Нет данных), параметры инструмента могут быть следующими:
- С помощью инструмента Условие (Con):
Входной растр, удовлетворяющий условиям (Input conditional raster) : flowacc
Выражение (Expression) : «Value > 100»
Входной истинный растр или константное значение (Input true raster or constant value) : 1
Входной растр значения «ложь» или константа (Input false raster or constant value) : «»
Выходной растр (Output raster) : stream_net
или
- С помощью инструмента Установить ноль (Set Null):
Входной растр, удовлетворяющий условиям (Input conditional raster) : flowacc
Выражение (Expression) : «Value <= 100»
Входной растр значения «ложь» или константа (Input false raster or constant value) : «1»
Выходной растр (Output raster) : stream_net
В обоих примерах, всем ячейкам, в которые осуществляется сток из более, чем 100 ячеек, присваивается значение, равное единице; всем остальным ячейкам присваивается значение NoData (Нет данных).
Для последующей обработки является существенным представление сети водотоков, как набора растровых линейных объектов, в виде числовых значений на фоне значений NoData. После создания сеть водотоков в дальнейшем можно проанализировать с помощью инструментов Порядок водотоков (Stream Order), Идентификация водотоков (Stream Link) и Водоток в пространственный объект (Stream to Feature), чтобы упорядочить (ранжировать) водотоки, присваивая уникальные идентификаторы водотокам, или создавая набор классов объектов соответственно. На определение порогового значения, которое идентифицирует, где начинается постоянный водоток или канал водотоков, влияет не только способствующие области, но также климат, уклон и характеристики почвы. Более подробно о введении канала водотоков, обратитесь к Tarboton and Bras (1991).
Порядок водотоков
Инструмент Порядок водотоков (Stream Order) имеет два метода присвоения числового порядка связям в сети водотоков. Хотя метод Страхлера, используемый по умолчанию, является наиболее распространенным, преимущество метода Шреве состоит в том, что он не так чувствителен к добавлению и удалению связей при дальнейшем анализе.
Идентификация водотоков
Инструмент Идентификация водотоков (Stream Link) позволяет присваивать уникальные значения каждой связи в линейной сети растров. Он наиболее полезен в качестве входных данных для инструмента Водораздел (Watershed) для быстрого создания водоразделов на основе соединения водотоков. Он также может быть полезен для присоединения связанной атрибутивной информации к отдельным сегментам водотока.
Векторизация сети водотоков растра
Линейная сеть растра может быть точно конвертирована в векторные данные с помощью инструмента Водоток в пространственный объект (Stream to Feature).
Литература
Tarboton D. G., R. L. Bras, I. Rodriguez–Iturbe. 1991. Определение сети каналов по цифровым данным рельефа. Гидрологические процессы. 5: 81–100.
Связанные разделы
Отзыв по этому разделу?
Идентификация Определение и значение | Британский словарь
идентификация /aɪˌdɛntəfəˈkeɪʃən/ существительное
множественное число отождествления
идентификация
/aɪˌdɛntəfəˈkeɪʃən/
существительное
множественное число отождествления
Британское словарное определение ИДЕНТИФИКАЦИИ
1
:
акт выяснения, кто кто-то или что-то
:
акт идентификации кого-либо или чего-либо
[не в счет]
Член семьи доставлен на опознание тела.
Птицы помечены для легкой идентификации .
[+] больше примеров [-] скрыть примеры [+] Примеры предложений [-] Скрыть примеры
[число]
[+] больше примеров [-] скрыть примеры [+] Примеры предложений [-] Скрыть примеры
2
[не в счет]
:
что-то, что показывает, кто человек
:
документ, карточка и т. д., на которых указано ваше имя и другая информация о вас, часто включая вашу фотографию
Нам сказали всегда иметь при себе (некоторые) личные удостоверения личности .
Ему нужно было показать (свое) удостоверение личности , прежде чем они обналичат чек.
Вам нужны две формы идентификации.
[+] больше примеров [-] скрыть примеры [+] Примеры предложений [-] Скрыть примеры
3
[не в счет]
:
ощущение, что вы разделяете и понимаете проблемы или переживания другого человека
:
акт идентификации с кем-то
кинозрители отождествление с хорошими парнями
У них было/чувствовалось (сильное) чувство идентификации со своими соседями.
[+] больше примеров [-] скрыть примеры [+] Примеры предложений [-] Скрыть примеры
Идентификация— Глоссарий | CSRC
- Проекты
- Публикации Развернуть или свернуть
- Темы Развернуть или свернуть
- Новости и обновления
- События
- Глоссарий
- О CSRC Развернуть или свернуть
Поиск
Сортировать по
Релевантность (наилучшее совпадение)Срок (A-Z)Срок (Z-A)
Пункты на странице 100200500Все
- Глоссарий
А | Б | С | Д | Е | Ф | г | ЧАС | я | Дж | К | л | М | Н | О | п | Вопрос | р | С | Т | U | В | Вт | Икс | Д | Z
Идентификация
Аббревиация (S) и синоним (S):
ID
FIPS 201-3
NIST SP 1800-13B
NIST SP 1800-13C
NIST SP 1800-17B
9
9 9000 2 NIST SP 1800-13C
NIST SP 1800-17B
.
NIST SP 800-83 Ред.
Процесс выявления личности (т. е. происхождения или первоначальной истории) человека или предмета из всей коллекции подобных лиц или предметов.
Источник(и):
ФИПС 201-3
под идентификацией
Процесс выявления подлинной личности (т. е. происхождения, первоначальной истории) человека или предмета из всей коллекции подобных лиц или предметов.
Источник(и):
ЦНССИ 4009-2015
НИСТ СП 800-79-2
под идентификацией
Процесс проверки личности пользователя, процесса или устройства, обычно в качестве предварительного условия для предоставления доступа к ресурсам в ИТ-системе.
Источник(и):
NIST SP 800-82 Ред. 2
под идентификацией
Битовая строка, обозначающая идентификатор, связанный с объектом.
Источник(и):
NIST SP 800-56B Ред. 2
под удостоверением личности
процесс использования заявленных или наблюдаемых атрибутов объекта для выделения объекта среди других объектов в наборе идентификаторов
Источник(и):
НИСТИР 8053
от
ИСО/ТС 25237:2008
Уникальное, поддающееся проверке представление идентичности в системе, обычно в виде простой строки символов для каждого отдельного пользователя, машины, программного компонента или любого другого объекта.