Alexander Göhring

Azure Active Directory – oder kurz: Azure AD – ist ein Verzeichnisdienst zur Benutzerverwaltung in Azure. Er ermöglicht User-Authentifizierung und Single-Sign-On (SSO)-Zugriff für eine Vielzahl cloudbasierter Anwendungen.

 

Dabei kann Azure AD in drei unterschiedlichen Arten eingerichtet und betrieben werden:

  • Stand-Alone
  • Synchronisiert mit lokalem ADDS-Verzeichnis
  • Im Verbund mit Hilfe der Active Directory Federation Services

Azure AD im Stand-Alone-Betrieb

Im Stand-Alone-Betrieb erfolgt die Authentifizierung über ein klassisches Benutzername/Passwort-Modell, wobei sämtliche Benutzerdaten in der Cloud gespeichert sind. Die Verwaltung der Nutzer erfolgt ausschließlich im Azure AD. Dabei stehen eine Reihe von Self-Services bereit, wie etwa eine Passwortverwaltung oder eine Gruppenverwaltung. Auch mehrstufige Authentifizierungen oder eine rollenbasierte Zugriffssteuerung lässt sich verwirklichen.

Synchronisation mit lokalem Verzeichnisdienst

Mithilfe des Microsoft-Tools Azure AD Connect kann ein lokal vorhandener Active-Directory-Verzeichnisdienst mit dem Azure AD synchronisiert werden. So stehen lokal vorhandene Benutzer in der Cloud zur Verfügung. Die optionale Passwort-Synchronisierung ermöglicht Anwendern außerdem, sich mit ihren vertrauten Benutzerdaten bei cloudbasierten Lösungen anzumelden. Das steigert die Effizienz und Akzeptanz.

Die Konfigurationsmöglichkeiten sind dabei vielfältig. Zu synchronisierende Objekte lassen sich eingrenzen. Bei aktivierter Passwort-Synchronisation kann auch ein Passwort-Writeback aktiviert werden. Auf diese Weise vewaltet der Nutzer sein Active-Directory-Passwort bequem in der Cloud. Die Device-Writeback-Funktion ermöglicht schließlich eine Synchronisierung aller im Azure AD registrierten Geräte zurück in das lokale AD.

Azure Active Directory und Azure AD Connect

Synchronisierung und Authentifizierung beim Einsatz von Azure AD Connect

 

Betrieb im Verbund

Mit den Active Directory Federation Services (ADFS) lassen sich On-Premise AD und Azure AD perfekt miteinander verbinden, Die Dienste sind Bestandteil der Windows-Server-Betriebssysteme. Seit Version Windows Server 2012 R2 liegen die Federation Services in Version 3.0 vor.

Durch die Verknüpfung erreicht man ein echtes SSO-Erlebnis. Die lokalen Windows-Login-Daten werden an die zu nutzenden Services weitergereicht. Die eigentliche Authentifizierung erfolgt bei einem Web-Service, der durch ADFS bereitgestellt wird. Er gleicht die Login-Daten mit den Benutzerdaten vollautomatisch im lokalen AD ab. Dadurch kann der Nutzer die Webservices und Cloud-Anwendungen ohne erneute Eingabe von Credentials verwenden, was die Akzeptanz und Handhabung der cloudbasierten Anwendungen zusätzlich steigert. Natürlich sind auch in diesem Betriebsmodus die Vorteile des Self-Services oder mehrstufiger Authentifizierungrn verfügbar.

Azure AD – ein Alleskönner?

Trotz der Funktionsvielfalt ersetzt das Azure AD nicht die bekannten Active Directory Domain Services. Viele Funktionalitäten, die in einem On-Premise-Netzwerk unverzichtbar sind, stellt Azure AD nicht zur Verfügung. So gibt es keine Einteilung von Usern, Accounts und Computern in Organisationseinheiten. Auch eine  Verwaltung selbiger mittels Gruppenrichtlinienobjekten ist nicht möglich. Ebenso ist kein Verzeichniszugriff via LDAP vorhanden.

Azure Active Diretory ist dennoch ein hervorragendes Werkzeug, um auf einfachem Weg eine bestehende Nutzerstruktur in die Cloud zu portieren und beide Welten miteinander zu verknüpfen. Es erhöht die Usability und Akzeptanz cloudbasierter Lösungen erheblich und ist dabei leicht einzurichten und zu verwalten.