【云计算 | Azure】微软 Azure 基础解析(九)Azure 标识、身份管理、Azure AD 的功能与用途

news2024/11/26 9:36:51

在这里插入图片描述

本系列博文还在更新中,收录在专栏:「Azure探秘:构建云计算世界」 专栏中。

本系列文章列表如下:

【Azure】微软 Azure 基础解析(三)云计算运营中的 CapEx 与 OpEx,如何区分 CapEx 与 OpEx
【Azure】微软 Azure 基础解析(四)Azure核心结构组件之数据中心、区域与区域对、可用区和地理区域
【Azure】微软 Azure 基础解析(五)核心体系结构之管理组、订阅、资源和资源组以及层次关系
【Azure】微软 Azure 基础解析(六)计算服务中的虚拟机 VM、虚拟机规模集、Azure 函数 与 Azure 容器
【Azure】微软 Azure 基础解析(七)Azure 网络服务中的虚拟网络 VNet、网关、负载均衡器 Load Balancer
【Azure】微软 Azure 基础解析(八)Azure 存储服务:探索Blob存储、队列存储、文件存储特性与适用场景
【Azure】微软 Azure 基础解析(九)Azure 标识、身份管理、Azure AD 的功能与用途

文章目录

    • 一、前言
    • 二、前提知识:Identity(身份)、Authentication(身份验证)与 Authentication(身份验证)
    • 三、Azure 目录服务(AD)
      • 3.1 什么是 Azure AD
      • 3.2 Azure AD 的外部标识
        • 3.2.1 企业对企业 (B2B) 协作
        • 3.2.2 B2B 直连
        • 3.2.3 Azure AD 企业对客户 (B2C)
    • 四、Azure 身份验证方法
      • 4.1 单点登录(SSO)
      • 4.2 多重身份验证
      • 4.3 无密码身份验证
    • 五、文末总结

一、前言

在当今数字化时代,身份和访问管理成为了组织和企业中不可或缺的重要组成部分。随着云计算和在线服务的普及,确保用户身份的安全性、便捷性和授权的精确性变得尤为重要。在这个领域,Azure作为一种领先的云平台,提供了丰富而强大的身份和访问管理解决方案。

本文将带领读者深入了解Azure的身份和访问管理相关的核心概念和服务,重点介绍Azure目录服务(Azure Active Directory)以及与之相关的功能和特性。通过了解Azure AD的基本原理和工作机制,读者将能够更好地理解如何使用Azure来管理用户身份、控制访问权限,并实现集中化的身份验证和授权管理。

二、前提知识:Identity(身份)、Authentication(身份验证)与 Authentication(身份验证)

这几个词或多或少你都会听到过,但是会不会傻傻分不清,在本章前半部分,这里来讲解一下这几个基础知识点

  • Identity(身份):身份是指在系统中标识和表示一个实体(如用户、设备或应用程序)。每个实体都有一个唯一的身份标识符,通常是一个用户名、电子邮件地址或数字标识。身份提供了对实体的唯一标识,以便系统可以识别和跟踪该实体的操作和权限。

比如我们的注册的一个账户,被视为一个 Identity(身份),当我们登陆 Azure portal 门户的时候,我们使用自己的身份,我们通常使用用户名和密码来标识自己;注意:Identity(身份)也可以意味着应用程序或者服务器。

  • Authentication(身份验证):身份验证是确认一个实体的身份是否有效的过程。它通常涉及验证实体提供的凭据(例如用户名和密码)与其事先注册的身份信息是否匹配。身份验证可确保只有经过身份验证的用户或实体才能访问系统或资源。常见的身份验证方法包括用户名/密码、多因素身份验证(如短信验证码、令牌或生物识别)等。

一句话简单来说:在验证身份的过程中使用秘钥或者证书来标识自己,这就被称为身份验证。

关键点总结:

  • 对希望访问资源的人或服务的验证
  • 向一方询问合法凭证,并为创建用于身份和访问控制的安全主体提供基础。
  • 有时称为 az AuthN

在这里插入图片描述

  • Authorization(授权):授权是指为经过身份验证的实体分配特定的权限和访问权限。授权确定实体能够执行的操作和访问的资源范围。通过授权,系统可以确保只有经过身份验证且获得授权的实体才能执行特定的操作或访问受保护的资源。授权可以基于角色、组织结构、特定权限或其他策略进行管理。

授权可以理解为:确保只有经过身份验证的身份才能访问已授予其访问权限的资源

关键点总结:

  • 确定经过身份验证的人员或服务具有的访问级别。
  • 指定允许访问哪些数据,以及可以用这些数据做什么。
  • 有时缩写为AuthZ

在这里插入图片描述

这里值得注意的是:在 Azure 中, Azure 通过 Azure Active Directory 来管理 Authentication(身份验证)和 Authorization(授权)。

三、Azure 目录服务(AD)

3.1 什么是 Azure AD

Azure Active Directory (Azure AD) 是一种目录服务,可用于登录并访问开发的 Microsoft 云应用程序和云应用程序。 Azure AD 还可助你维护本地 Active Directory 部署。

简单来说,Azure 目录服务可以理解为组织的数字身份管理中心。它允许组织集中管理用户帐户、组织结构和应用程序访问权限。通过 Azure 目录服务,您可以创建和管理用户帐户、分配和撤销访问权限,并监控和审计用户的活动。

使用 Azure 目录服务,您可以实现单点登录(Single Sign-On),这意味着用户只需要一次登录凭据即可访问多个应用程序和服务,提高了用户体验和工作效率。它还提供多因素身份验证,以加强安全性,例如使用短信验证码、令牌或生物识别。

Azure 目录服务还与其他 Azure 服务和第三方应用程序集成,可以作为身份验证和授权的中心,使组织能够轻松地扩展和管理其云资源。此外,Azure 目录服务还支持混合环境,可以与本地 Active Directory 集成,使组织能够在云和本地之间建立信任关系。

在这里插入图片描述

关键点总结

  • 常见一般被叫做 Azure AD
  • 是基于云的 Identity(身份)服务
  • 可以与现有的本地 Active Directory 同步,也可以独立使用。 允许在云(例如 Microsoft 365)、移动本地应用程序中共享身份。
  • 免费套餐无 SLA,标准和高级套餐为 99.9%
  • 可以常见的服务有:
    • Authentication(身份验证)
      • 自助密码重置
      • 多重验证 Multi-factor authentication (MFA/2FA)
      • 自定义禁止密码列表和智能锁定服务。
    • 单点登录(SSO)
    • 应用程序管理。使用 Azure AD 应用程序代理、SSO、我的应用程序门户(也称为访问面板)和 SaaS 应用程序管理云和本地应用程序。
    • 企业对企业 (B2B) 身份服务:管理来宾用户和外部合作伙伴。
    • 企业对客户 (B2C) 身份服务:自定义和控制用户在使用应用程序和服务时如何注册、登录和管理他们的个人资料。
    • 进行设备管理
      • 管理您的云或本地设备访问公司数据的方式。

3.2 Azure AD 的外部标识

外部标识是组织外部的人员、设备、服务等。 Azure AD 外部标识是指可以安全地与组织外部用户交互的所有方式。

外部标识听起来类似于单一登录。 借助外部标识,外部用户可以“自带标识”。无论他们是具有公司或政府颁发的数字标识,还是具有 Google 或 Facebook 等非托管社交标识,他们都可以使用自己的凭据登录。 外部用户的标识提供者管理他们的标识,而你可以使用 Azure AD 或 Azure AD B2C 管理对应用的访问,以便保护资源。

3.2.1 企业对企业 (B2B) 协作

通过让外部用户使用其首选标识登录 Microsoft 应用程序或其他企业应用程序(SaaS 应用、自定义开发的应用等)来与之协作。 目录中通常以来宾用户形式展示 B2B 协作用户。
在这里插入图片描述

3.2.2 B2B 直连

与其他 Azure AD 组织建立双向信任以实现无缝协作。 B2B 直连目前支持 Teams 共享通道,让外部用户可以在其 Teams 本实例中访问你的资源。 你的目录中不显示 B2B 直连用户,但此类用户在 Teams 共享通道中可见,且能在 Teams 管理中心报告中对其进行监视。

3.2.3 Azure AD 企业对客户 (B2C)

向使用者和客户发布新式 SaaS 应用或自定义开发的应用(Microsoft 应用除外),同时使用 Azure AD B2C 进行标识和访问管理。

在这里插入图片描述

四、Azure 身份验证方法

Azure 支持多种身份验证方法,包括标准密码单一登录 (SSO)、多重身份验证 (MFA) 和无密码身份验证

在这里插入图片描述

这里无论是 Azure 还是我们普通开发的时候,或多或少都有接触到这几种身份验证方法,在很长一段时间里,安全性和便利性似乎相互矛盾。 值得庆幸的是,新的身份验证解决方案既提供了安全性,又提供了便利性。

无密码身份验证安全性高、便利性高,密码本身安全性低、便利性高。
在这里插入图片描述

4.1 单点登录(SSO)

Azure单点登录(SSO)是一种身份验证和访问管理机制,允许用户通过一次登录来访问多个相关应用程序和服务,而无需在每个应用程序中单独进行身份验证。

具体而言,Azure SSO使用一组标准和协议(如SAML、OAuth和OpenID Connect),使用户在通过一次身份验证后,可以无缝地访问多个与Azure AD集成的应用程序和服务。

以下是Azure单点登录的工作原理:

  1. 用户登录:用户通过身份验证提供凭据(如用户名和密码)登录到Azure AD(Azure Active Directory)。

  2. 颁发令牌:一旦用户通过身份验证,Azure AD将颁发一个安全令牌,该令牌包含有关用户身份验证成功的信息。

  3. 令牌传递:用户尝试访问需要身份验证的应用程序时,他们的浏览器或应用程序将令牌传递给应用程序。

  4. 令牌验证:应用程序接收到令牌后,会将其发送到Azure AD进行验证。Azure AD验证令牌的签名和有效性,并确认用户的身份。

单点登录:如果令牌验证成功,用户将被视为已经通过身份验证,并且可以无需再次登录即可访问应用程序。这样,用户可以在不需要重新输入凭据的情况下无缝切换和访问其他与Azure AD集成的应用程序。

单点登录仅与初始验证器一样安全,因为后续连接都基于初始验证器的安全性。

4.2 多重身份验证

多重身份验证是在登录过程中提示用户提供额外形式(或因素)的身份验证的过程。 MFA 有助于防范密码泄露(在密码已泄露但第二个因素未被泄露的情况下)。

多重身份验证通过限制凭据暴露(例如,用户名和密码被盗)的影响来提高标识安全性。 启用多重身份验证后,拥有用户密码的攻击者还需拥有用户手机或指纹才能进行完整验证。

比较多重身份验证和单因素身份验证。 在单点身份验证下,攻击者只需用户名和密码即可进行验证。 应尽可能地启用多重身份验证,因为这样可以极大地提高安全性。

4.3 无密码身份验证

MFA 等功能是保护组织的一种好方法,但用户通常对必须记住密码之外的其他安全保护感到沮丧。 当这样做简单方便时,用户更有可能遵守这一点。 无密码身份验证方法更为方便,因为密码会被删除并替换为你指定的内容,以及你自己的或你已知的内容。

比较常见的例子是,你登陆windows的时候,除了使用密码验证登录外,你还可以使用 PIN 或者指纹登陆。

当涉及身份验证时,每个组织都有不同的需求。 Microsoft 全球 Azure 和 Azure 政府提供了下面 3 个与 Azure Active Directory (Azure AD) 集成的无密码身份验证选项:

  • Windows Hello 企业版
  • Microsoft Authenticator 应用
  • FIDO2 安全密钥

五、文末总结

本文介绍了与Azure相关的身份和访问管理的概念和服务。首先,我们了解了"Identity"、"Authentication"和"Authorization"的含义和区别。接着,我们深入探讨了Azure目录服务(Azure Active Directory)及其功能,包括Azure AD、Azure AD的外部标识、企业对企业(B2B)协作和Azure AD企业对客户(B2C)等方面。

在身份验证方面,我们了解了Azure提供的不同身份验证方法,包括单点登录(SSO),它允许用户通过一次登录来访问多个与Azure AD集成的应用程序和服务,以提高用户体验和工作效率。此外,还介绍了多重身份验证和无密码身份验证等安全措施。

总的来说,Azure提供了强大而灵活的身份和访问管理解决方案,帮助组织确保安全、高效地管理用户和应用程序的访问。通过Azure目录服务和不同的身份验证方法,组织可以实现集中的身份管理、单点登录和强化的安全性,从而提升用户体验和数据保护的水平。

[ 本文作者 ]   bluetata
[ 原文链接 ]   https://bluetata.blog.csdn.net/article/details/131012518
[ 最后更新 ]   06/20/2023 2:42
[ 版权声明 ]   如果您在非 CSDN 网站内看到这一行,
说明网络爬虫可能在本人还没有完整发布的时候就抓走了我的文章,
可能导致内容不完整,请去上述的原文链接查看原文。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/665841.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

12. WebGPU 矩阵数学

在最近的 3 篇文章中,介绍了如何平移、旋转和缩放顶点位置。平移、旋转和缩放都被认为是一种变换。这些变换中的每一个都需要对着色器进行修改,并且 3 个转换中的每一个都依赖于顺序。 在之前的示例中,先缩放,然后旋转&#xff0…

第十章 STM32+ESP8266接入机智云 实现小型IOT智能家居项目

前言 最近有不少小伙伴私信留言,想要我推出一章能够通过APP进行远程控制并获取传感器信息的实验教程。说实话在嵌入式毕设里边,这算是中等偏上水平的了。刚好我也有兴趣写写。全篇4700多字,我写的很详细,按着文章一步一步操作即可…

arm64架构的linux中断分析(二)

文章目录 3. GICv3中断控制器3.1 GICv3中断控制器设备树3.2 GICv3中断控制器驱动 3. GICv3中断控制器 gic在soc中的位置如下: GICv3(Generic Interrupt Controller Version 3)是一种基于ARM Cortex-A架构的中断控制器,它提供了…

联邦元学习综述

联邦元学习综述 张传尧1,2, 司世景1, 王健宗1,肖京1 1 平安科技(深圳)有限公司,广东 深圳 518063 2 中国科学技术大学,安徽 合肥 230026 摘要:随着移动设备的普及,海量的数据在不断产生。数据隐…

express的使用(六) 中间件的理解

原文链接 express的使用(六) 中间件的理解") 不要脸的求关注,希望能让大家批评我的不足点,方便学习,一键三连最好不过了~另外,乌鸦玩心之钢是真的爽! 看前提示 本篇主要讲的是关于express中间件的一些基础概念…

商品支付金额篡改测试-业务安全测试实操(16)

商品支付金额篡改测试,商品订购数量篡改测试 商品支付金额篡改测试 测试原理和方法 电商类网站在业务流程整个环节,需要对业务数据的完整性和一致性进行保护,特别是确保在用户客户端与服务、业务系统接口之间的数据传输的一致性,通常在订购类交易流程中,容易出现服务器端未…

如何在纺织服装行业运用IPD?

纺织服装行业是我国的传统支柱产业,对促进国民经济发展、解决就业、增加国民收入、促进社会和谐发展等方面具有十分重要的意义。纺织服装行业属于劳动密集型产业,产业链上下游关联度较大。产业链上游原材料主要包括棉花、麻、蚕茧丝等天然纤维以及人造纤…

艾默生CE4001S2T2B4控制模块

​ 艾默生CE4001S2T2B4控制模块 艾默生CE4001S2T2B4控制模块 集散控制系统简称dcs,也可直译为“分散控制系统”或“分布式计算机控制系统”。它采用控制分散、操作和管理集中的基本设计思想,采用多层分级、合作自治的结构形式。其主要特征是它的集中管理…

spring boot 校运会赛事管理系统-计算机毕设 附源码87890

spring boot校运会赛事管理系统 摘 要 科技进步的飞速发展引起人们日常生活的巨大变化,电子信息技术的飞速发展使得电子信息技术的各个领域的应用水平得到普及和应用。信息时代的到来已成为不可阻挡的时尚潮流,人类发展的历史正进入一个新时代。在现实运…

TC8:ICMPv4_TYPE_18-22

ICMPv4_TYPE_18: Send ICMP Destination Unreachable for unknown protocol 目的 主机收到IP Header中协议字段不支持的IP数据包时,回复ICMP目的不可达报文(未知协议) 协议不可达报文的Type为3,Code为2 测试步骤 Tester:发送一条IP报文,其中协议字段值为无效值DUT:发送…

MySQL数据库基础 14

第十四章 视图 1. 常见的数据库对象2. 视图概述2.1 为什么使用视图?2.2 视图的理解 3. 创建视图3.1 创建单表视图3.2 创建多表联合视图3.3 基于视图创建视图 4. 查看视图5. 更新视图的数据5.1 一般情况5.2 不可更新的视图 6. 修改、删除视图6.1 修改视图6.2 删除视图…

软考高级系统架构设计师(三) 基础知识之操作系统2(分页/分段/段页存储)

目录 存储管理 页式存储 段式存储 段页式存储 存储管理 存储管理的主要目的:解决多个用户共同使用主存的问题(怎么分配内存??) 主要包括分区存储管理、分页存储管理、分段存储器管理、段页式存储管理以及虚拟存储…

eNSP中对NAT的配置(网络地址转换)

地址转换是把局域网的私有地址转换为公有地址,如果想要上外网,而公有地址是有限的,则需要将私有地址转换成公有地址,用端口号进行区分。 一.基本原理 NAT是改变IP报文中的源或目的地址的一种处理方式;让局域网用户…

清微智能TX5368A与飞桨完成Ⅱ级兼容性测试,助力全行业智能化升级

近日,清微智能的高性能视觉芯片TX5368A与飞桨完成Ⅱ级兼容性测试(基于Paddle2ONNX工具)。测试结果显示,双方兼容性表现良好,整体运行稳定。这是清微智能加入“硬件生态共创计划”后取得的又一阶段性成果。 产品兼容性证…

差分信号隔离放大变送模块光电转换器0-10mV/0-20mV/0-±10mV/0-±20mV转0-5V/0-10V/4-20mA

概述: DIN11 IPO 压力应变桥信号处理系列隔离放大器是一种将差分输入信号隔离放大、转换成按比例输出的直流信号导轨安装变送模块。产品广泛应用在电力、远程监控、仪器仪表、医疗设备、工业自控等行业。此系列模块内部嵌入了一个高效微功率的电源,向输…

软考高级系统架构设计师(三) 基础知识之操作系统1进程

目录 概要 操作系统 概述 ​编辑 进程管理 进程的状态 进程管理-PV操作 利用PV操作实现进程的同步 进程管理-前趋图 进程管理-死锁 概要 操作系统 概述 操作系统的功能: 进程管理、存储管理、文件管理、作业管理、设备管理 操作系统的特征 并发性共享性虚拟性不…

竞逐对话式AI,百度、字节各有千秋

随着OpenAI陆续发布的ChatGPT引发了AI界热议,新一代的AI热度便开始持续走高。与此同时,以ChatGPT模型为代表的大型预训练模型的出现,也使得对话式AI的生成能力和智能水平得到了飞跃式的提升,得益于此,对话式AI的发展又…

FPGA_学习_10_IP核_PLL

1 PLL IP核配置步骤 (Vivado 赛灵思) 我看的教程里面,那个兄弟是选的下面这个。 看来还是比较注重开发效率。 下面按照截图路径打开这个veo文件,学习如何在FPGA程序中例化IP核(有点像C你创建了一个类,然后你实例化一个&#xff…

MES生产管理系统简介与实践经验分享,一篇就够了

MES系统是制造业企业数字化转型的重要组成部分,也是实现智能制造的基础。本文将从MES系统的定义、功能和应用实践等方面进行介绍和分享。 一、MES系统简介 MES系统(Manufacturing Execution System)又称生产执行系统,是在企业信…

JS自定义打印网页内容(详细全面)

浏览器自身打印 (不在赘述,重点是讲述打印自定义的几种方法与常见的问题) 使用 window.print() 调起浏览器自带的打印预览弹框打印默认会打印 body 里面所有内容const handlePrintPdf = () => {window.print(); }方式一:通过 iframe 打印部分区域 动态创建一个不可见的 i…