ANMELDEVERFAHREN AUS DER MICROSOFT WELT

Als Benutzer eines Arbeitplatzes möchte man einen Service nutzen (klassisches SaaS Szenario). Mit dem Start des Browser z.B. mit der URL https://portal.office.vom wird man automstisch an die URL https://login.microsoftonline.com weitergeleitet. Dort stehen folgende Möglichkeiten der Anmeldung zur Verfügung

  • Microsoft Live Identität      <Username>@live.com
  • Cloud Identity     <Username>@[Tenant].onmicrosoft.com
  • Hybride Identität                  <Username>@Domäne.de

Übrigens: Bei den Benutzern – Kontodaten spricht man mitlerweile von Identitäten

Auswahl der zur Verfügung stehenden Konten: Cloud- Identität und hybride Identität

Microsoft Live Identität

Wie du dir wahrscheinlich denken kannst, passiert hier alles bei Microsoft, das bedeutet es werden keinerlei Credentials mit der On Premise Umgebung ausgetauscht, sondern du authentifizierst dich über das Microsoft Account Verfahren.


Anmeldung via Microsoft Live ID

Azure Cloud Identität

Beim Modell der Cloud Identität werden Benutzer komplett über das Office 365 Admin Center / Azure erstellt und verwaltet.

Vorteile:

  • Die Azure AD Domänendienste können verwendet werden um Zugriffe auf Ressourcen innerhalb der Azure Services zu verwalten
  • das gesamte Update- Management der AD Dienste wird hierbei von Microsoft verwaltet.
  • die Umgebung läuft unabhängig von der On-Premises Umgebung und bietet eine hohe Verfügbarkeit und Ausfallsicherheit
  • es wird keine zusätzliche Infrastruktur benötigt.

Nachteile:

  • eigenständiges Benutzerkonto und Passwort (keine Synchronisation mit der lokalen Domäne)
  • Passworthash des Benutzers wird in Azure gehostet.
  • die Autorisierung erfolgt nur in Azure und ist damit eigenständig .

Nach erfolgreicher Anmeldung können die verfügbaren Service genutzt werden.


Anmeldung via Azure Cloud Identität

Hybride Identiäten

Bei den Hybriden Anmeldeverfahren handelt es sich um Methoden, die sowohl das Azure AD wie aber auch das AD DS benutzen. Gemeinsam ist diesen Verfahren, das sie zunächst prüfen, ob eine Anmeldung direkt durch Azure AD durchgeführt werden kann, oder ob die Anmeldung durch das ADDS authentifiziert wird.

Dazu ist es notwendig, die ADDS Konten in das Azure AD zu speigeln. Mit diesen syncronisierten Konten- Informationen ist diese Überprüfung möglich.

Damit besteht eine hybride Anmelungsmethode immer aus der Synchronisation der notwendigen Konten und dem eigentlichen Anmeldeverfahren. Bei den so behandelten Konten spricht man von einer Synchronisierten Identität (“Synchronized Identity“).

Bei der Synchronisierten Identität wird die Benutzeridentität in einem ADDS. Das Tool Azure AD Connect synchronisiert die definierten Benutzerattribute zwischen der lokalen Domäne und Azure AD.
Dabei wird in der Regel nur vom lokalen AD in Richtung Azure AD synchronisiert (Ausnahme bspw. Azure User-Self-Service Password-Reset-Portal).

Folgende hybride Anmeldeverfahren sind in Verbindung mit der Synchronisierten Identität nutzbar.

  • Password Hash Synchronisierung / PHS
  • Password Through Authentication / PTA
  • Verbundidentität / Federation

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert