Articoli

Differenze ed integrazione tra i servizi di identità ed autenticazione di Microsoft

,
Differenze ed integrazione tra i servizi di identità ed autenticazione di Microsoft

Differenze tra i servizi Active directory Domain Services (AD DS), Azure Active Directory (Azure AD o AAD) ed Azure Active Domain Service (Azure AD DS o AAD DS) e come integrarli tra di loro

Il servizio storico che permette l’autenticazione degli utenti all’infrastruttura informatica conosciuto da tutti i professionisti del settore Microsoft oriented è Active Directory Domain Services (AD DS).

Con l’avvento del cloud Azure, Microsoft mette a disposizione tre distinte tipologie di identity services:

  • Active Directory Domain Services (AD DS)
  • Azure Active Directory (Azure AD o AAD)
  • Azure Active Directory Domain Service (Azure AD DS o AAD DS)

Questo può portare confusione nella scelta della soluzione da adottare in quanto il nome Active Directory compare in tutti e tre i servizi, nonostante le tre soluzioni siano differenti tra di loro.

In questo post analizzerò i servizi sopra elencanti tramite le loro caratteristiche principali, come si integrano tra di loro e quando adottarli.

Active Directory Domain Services (AD DS)

Active Directory Domain Services è la versione tradizionale del servizio per la gestione centralizzata delle risorse.

Tra le caratteristiche del servizio:

  • gestione gerarchiale delle risorse;
  • gestione di utenze e risorse tramite group policies;
  • on-premises idendity & authenitcation;
  • autenticazione tramite Kerberos, NTLM o LDAP;
  • trust di domini e foreste

AD DS, dominio autogestito, richiede un alto utilizzo di risorse per la gestione del servizio stesso: gestione dei backup, patching del sistema, upgrade, repliche, etc.

Per maggiori informazioni è possibile consultare la documentazione ufficiale Microsoft di Active Directory Domain Services.

Azure Active Directory (Azure AD)

Se sono utilizzati servizi di Microsoft 365 (posta elettronica, OneDrive, etc.) o di Azure, Azure AD è utilizzata.

A differenza del servizio AD DS, che utilizza l’autenticazione network-based, Azure AD utilizza l’autenticazione web-based.

Tra le caratteristiche del servizio :

  • cloud-based identification & authentication;
  • servizio di gestione account per:
      • accesso al portale Azure
      • Office 365
      • applicazioni SaaS
  • Mobile Device Management (MDM)

Con Azure AD non è possibile:

  • joinare computer al dominio;
  • effettuare autenticazione tramite protocollo Kerberos o NTLM;
  • implementare organization unit;
  • utilizzare implementare\utilizzare account di tipo domain o enterprise admin

Il servizio è garantito, gestito ed ospitato da Microsoft. La gestione delle risorse avviene tramite portale web.

Per maggiori informazioni è possibile consultare la documentazione ufficiale di Azure Active Directory.

Azure Active Directory Domain Services (Azure AD DS)

Azure AD DS è una soluzione simile alla soluzione on-premise AD DS, con la differenza che è erogato come servizio PaaS in Azure.

Tra le caratteristiche del servizio:

  • servizio PaaS;
  • autenticazione tramite Kerberos, NTLM o LDAP (read only);
  • trust di domini e foreste non supportata;
  • nessun account “domain admin” o “enterprise admin”

Azure AD DS è integrato con Azure AD: creando un utente in Azure AD automaticamente sarà replicato in Azure AD DS.

Per maggiori informazioni è possibile consultare la documentazione ufficiale Microsoft su Azure Active Directory Domain Services.

Quando implementare AD DS, Azure AD o Azure AD DS

Come visto sopra, ogni servizio è studiato per soddisfare determinate esigenze. Di seguito, vediamo quindi quando è necessario configurare uno specifico servizio piuttosto che un altro.

Active Directory Domain Services è un servizio gestito interamente dall’organizzazione. E’ utilizzato quando si hanno le seguenti necessità:

  • necessità di configurare relazioni di trust;
  • necessità di estendere lo schema;
  • la connettività internet è limitata o instabile;
  • necessità di utilizzare account domain enterprise admin

Azure Active Directory è dedicato alla gestisce degli accessi alle risorse cloud, come Microsoft 365 o la gestione degli accessi del portale Azure. Verrà quindi implementato se:

  • l’infrastruttura è interamente sul cloud, senza server configurati on premise;
  • vengono utilizzati solo servizi di tipo PaaS o SaaS;
  • vengono utilizzati solo sistemi di modern authentication

Azure Active Directory Domain Services è studiato per gestire esclusivamente un ambiente nativo su Azure. Verrà quindi scelto se:

  • l’infrastruttura è cluod native;
  • utilizzo di servizi IaaS

Integrazione dei servizi

Come visto, ogni servizio ha un utilizzo ben specifico ed è installato in base alla tipologia di elementi che compongono l’infrastruttura informatica.

Proprio per l’unicità dei servizi che erogano i tre servizi in oggetto, è possibile integrarli tra di loro per avere una gestione completa del sistema.

Vengono riportati di seguito i flussi logici con cui è possibile integrare i servizi tra di loro.

Come detto sopra, Azure Active Directory è in costante replica con Azure Active Directory Services, quindi:

Azure Active Directory

Azure AD, a sua volta, può essere sincronizzato con l’ambiente on premise di Active Directory Domain Services tramite AD Connect

Active Directory Domain Services

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Scopri Azure,
il Cloud di Microsoft

 

Emanuele Pansecco

Azure Engineer

 

/da