Differenze ed integrazione tra i servizi di identità ed autenticazione di Microsoft
Differenze tra i servizi Active directory Domain Services (AD DS), Azure Active Directory (Azure AD o AAD) ed Azure Active Domain Service (Azure AD DS o AAD DS) e come integrarli tra di loro
Il servizio storico che permette l’autenticazione degli utenti all’infrastruttura informatica conosciuto da tutti i professionisti del settore Microsoft oriented è Active Directory Domain Services (AD DS).
Con l’avvento del cloud Azure, Microsoft mette a disposizione tre distinte tipologie di identity services:
- Active Directory Domain Services (AD DS)
- Azure Active Directory (Azure AD o AAD)
- Azure Active Directory Domain Service (Azure AD DS o AAD DS)
Questo può portare confusione nella scelta della soluzione da adottare in quanto il nome Active Directory compare in tutti e tre i servizi, nonostante le tre soluzioni siano differenti tra di loro.
In questo post analizzerò i servizi sopra elencanti tramite le loro caratteristiche principali, come si integrano tra di loro e quando adottarli.
Active Directory Domain Services (AD DS)
Active Directory Domain Services è la versione tradizionale del servizio per la gestione centralizzata delle risorse.
Tra le caratteristiche del servizio:
- gestione gerarchiale delle risorse;
- gestione di utenze e risorse tramite group policies;
- on-premises idendity & authenitcation;
- autenticazione tramite Kerberos, NTLM o LDAP;
- trust di domini e foreste
AD DS, dominio autogestito, richiede un alto utilizzo di risorse per la gestione del servizio stesso: gestione dei backup, patching del sistema, upgrade, repliche, etc.
Per maggiori informazioni è possibile consultare la documentazione ufficiale Microsoft di Active Directory Domain Services.
Azure Active Directory (Azure AD)
Se sono utilizzati servizi di Microsoft 365 (posta elettronica, OneDrive, etc.) o di Azure, Azure AD è utilizzata.
A differenza del servizio AD DS, che utilizza l’autenticazione network-based, Azure AD utilizza l’autenticazione web-based.
Tra le caratteristiche del servizio :
- cloud-based identification & authentication;
- servizio di gestione account per:
-
- accesso al portale Azure
- Office 365
- applicazioni SaaS
-
- Mobile Device Management (MDM)
Con Azure AD non è possibile:
- joinare computer al dominio;
- effettuare autenticazione tramite protocollo Kerberos o NTLM;
- implementare organization unit;
- utilizzare implementare\utilizzare account di tipo domain o enterprise admin
Il servizio è garantito, gestito ed ospitato da Microsoft. La gestione delle risorse avviene tramite portale web.
Per maggiori informazioni è possibile consultare la documentazione ufficiale di Azure Active Directory.
Azure Active Directory Domain Services (Azure AD DS)
Azure AD DS è una soluzione simile alla soluzione on-premise AD DS, con la differenza che è erogato come servizio PaaS in Azure.
Tra le caratteristiche del servizio:
- servizio PaaS;
- autenticazione tramite Kerberos, NTLM o LDAP (read only);
- trust di domini e foreste non supportata;
- nessun account “domain admin” o “enterprise admin”
Azure AD DS è integrato con Azure AD: creando un utente in Azure AD automaticamente sarà replicato in Azure AD DS.
Per maggiori informazioni è possibile consultare la documentazione ufficiale Microsoft su Azure Active Directory Domain Services.
Quando implementare AD DS, Azure AD o Azure AD DS
Come visto sopra, ogni servizio è studiato per soddisfare determinate esigenze. Di seguito, vediamo quindi quando è necessario configurare uno specifico servizio piuttosto che un altro.
Active Directory Domain Services è un servizio gestito interamente dall’organizzazione. E’ utilizzato quando si hanno le seguenti necessità:
- necessità di configurare relazioni di trust;
- necessità di estendere lo schema;
- la connettività internet è limitata o instabile;
- necessità di utilizzare account domain o enterprise admin
Azure Active Directory è dedicato alla gestisce degli accessi alle risorse cloud, come Microsoft 365 o la gestione degli accessi del portale Azure. Verrà quindi implementato se:
- l’infrastruttura è interamente sul cloud, senza server configurati on premise;
- vengono utilizzati solo servizi di tipo PaaS o SaaS;
- vengono utilizzati solo sistemi di modern authentication
Azure Active Directory Domain Services è studiato per gestire esclusivamente un ambiente nativo su Azure. Verrà quindi scelto se:
- l’infrastruttura è cluod native;
- utilizzo di servizi IaaS
Integrazione dei servizi
Come visto, ogni servizio ha un utilizzo ben specifico ed è installato in base alla tipologia di elementi che compongono l’infrastruttura informatica.
Proprio per l’unicità dei servizi che erogano i tre servizi in oggetto, è possibile integrarli tra di loro per avere una gestione completa del sistema.
Vengono riportati di seguito i flussi logici con cui è possibile integrare i servizi tra di loro.
Come detto sopra, Azure Active Directory è in costante replica con Azure Active Directory Services, quindi:
Azure AD, a sua volta, può essere sincronizzato con l’ambiente on premise di Active Directory Domain Services tramite AD Connect
Azure Engineer
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!