Articoli

Azure AD B2C

Autenticazione con credenziali personali alle applicazioni aziendali tramite Azure Active Directory B2C

Spesso la gestione delle identità e degli accessi è un problema e un costo significativo per le applicazioni aziendali.

Gestire le credenziali degli utenti finali, anche in ottica GDPR, è tutto tranne che una passeggiata, le credenziali vanno conservate in luoghi sicuri, i sistemi “backuppati”, tracciata la loro gestione, gli utenti hanno il diritto di poter cambiare password, gli utenti dimenticano le loro credenziali e quindi si spende tempo per gestione e manutenzione, difficilmente fatturabile.

La gestione e la manutenzione dell’autenticazione è solo un costo aziendale e un problema per la parte legale di cui però non si può fare a meno. Con il servizio Azure AD B2C il costo può essere azzerato.

Come Azure Active Directory B2C può aiutare le aziende

Le nuove applicazioni “consumer” che usiamo tutti i giorni ci permettono di autenticarci ai servizi usando la “nostra” identità pubblica legata ai servizi aziendali come Microsoft 365 o personali come Google, Facebook, Twitter o altro social.

È possibile utilizzare la stessa metodologia di autenticazione web based anche sulle applicazioni aziendali sia commerciali che sviluppate internamente grazie al supporto di Azure AD B2C.

Come funziona Azure Active Directory B2C

Azure AD B2C fa da connettore di autenticazione tra le applicazioni e le fonti di autenticazione.

Le fonti di autenticazione supportate (Identity Provider) sono Azure AD, Microsoft 365, Google, Facebook, Twitter, Linkedin, GitHub, Amazon, cioè i principali PLAYER mondiali.

Azure AD B2C comunica con l’applicazione tramite protocolli standard OAuth2, SAML, OIDC cioè gli standard di mercato, interponendosi tramite browser in fase di autenticazione quindi in modo totalmente trasparente all’utilizzatore a cui viene proposta una pagina di accesso personalizzabile.

Azure AD B2C non è in alcun modo vincolato all’infrastruttura su cui risiede l’applicazione poiché agisce a livello di servizio di autenticazione interna all’applicazione per cui gli è totalmente indifferente se si tratta di un’applicazione pubblicata su Internet tramite Cloud o on-premise.

Gli unici requisiti sono accesso tramite Internet del servizio da autenticare, utilizzo di protocolli standard e una sottoscrizione Microsoft Azure.

Azure Active Directory B2C: Pricing

Oltre a cancellare i costi legati alla manutenzione e gestione dell’infrastruttura di autenticazione Azure AD B2C è un servizio a costo zero sino a 50.000 accessi al mese.

Azure AD B2C start from 0 €

Oltre questo limite, già molto generoso per normali applicazioni aziendali, i prezzi sono calcolati per accesso utente e consultabili sul sito Microsoft: https://azure.microsoft.com/it-it/pricing/details/active-directory/external-identities/

Azure AD B2C gestisce l’autenticazione degli utenti che poi verranno autorizzati e profilati a livello applicativo con le logiche proprie dell’azienda e dell’applicazione.

Conclusioni

Grazie al servizio Azure AD B2C è possibile aiutare le aziende a proporre applicazioni con un miglior approccio utente che potrà utilizzare la propria identità digitale per accedere a più servizi e riducendo i costi di infrastruttura e gestione.

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Azure Team Leader

 

hybrid Cloud - Microsoft Azure

Un viaggio nel mondo dell’Hybrid Cloud

Il Mondo è cambiato.

Forse prima non lo comprendevamo chiaramente ma da ormai un anno è chiaro a tutti che c’è una forte connessione tra lavoro e vita privata: l’uno influenza l’altra, spesso senza soluzione di continuità. Adesso questo fenomeno è ancora più evidente dopo che la Pandemia ha cambiato le prospettive in tutti i settori sociali e lavorativi.

La percezione è che l’inter-dipendenza tra aziende e lavoratori, ma anche tra le stesse aziende nel mercato, sarà molto più forte e marcata.

Gli eco-sistemi che prima si sviluppavano tra privato e personale e tra aziende e mercati, sono diventati sempre più sovrapposti.

La velocità nel prendere scelte e riconfigurare servizi ed intere aziende è notevolmente aumentata e tutta l’infrastruttura informatica ed organizzativa ha subito una rivoluzione: scuola, lavoro, vita personale tutto ora è sovrapposto in giornate sempre più complesse da governare ed abilità che ancora dobbiamo in molti casi sviluppare.

La promessa del Cloud

La promessa del cloud è fondata su un concetto di grande elasticità di risorse, innovazione e risparmio nei costi di gestione. Nonostante questo la maggior parte delle società ha ancora solo una minima quantità delle proprie infrastrutture in cloud perché spesso l’adozione è difficoltosa e non è semplice capire in che direzione muoversi.

Questo è dovuto al fatto che per strutturare completamente i benefici del cloud vanno sviluppate strategie per modernizzare anche il proprio parco applicativo e la gestione dei propri asset di dati.

Il vero potenziale del cloud infatti si raggiunge quando si sono create le condizioni per un’evoluzione che non miri solo all’ottimizzazione di costi con risorse flessibili, ma anche all’innovazione dei propri modelli di business e la valorizzazione dei dati nel servizio alla clientela.

Quando le aziende investono in programmi di questo tipo, molte decidono di sviluppare strategie di cloud ibrido, bilanciando i propri workload tra cloud privati e pubblici.

I fattori di successo in una strategia di Hybrid Cloud

Il mondo è Ibrido; lo è nella continua contaminazione di razze e culture che convivono e contribuiscono alla comune crescita, e lo è quando si parla di cloud poiché la continua disponibilità di servizi innovativi offerti dai vendor impone un cambio di rotta nelle strategie delle aziende che sempre più spesso hanno sistemi ibridi da governare e più di un cloud con cui disegnare la propria evoluzione.

Un’infrastruttura disegnata per essere flessibile ed interconnessa è quella che oggi risponde meglio alle dinamiche del mercato dove le aziende operano e nel quale la capacità di reagire velocemente, integrando risorse e competenze, è diventata la chiave del successo ed un fattore abilitante della crescita.

Nello sviluppo di una strategia ibrida, ci sono 3 fattori di cui tenere conto:

1)   Scegliere un Hyper Scaler di riferimento di norma ripaga

I cloud provider internazionali che gestiscono infrastrutture estese e scalabili (Hyper scaler) sono di norma in grado di offrire ampissima capacità di scalare con risorse disponibili in molteplici piattaforme.

Il vero valore però di questi provider è relativo all’innovazione dei servizi offerti in modalità server-less e le soluzioni PaaS fornite che sono in grado di consentire molteplici evoluzioni, inclusa l’integrazione dell’AI a supporto dei processi.

2)   Il confine tra public e private cloud è sempre più labile

Mentre in passato c’era una netta distinzione ed il mondo era di fatto diviso tra chi proponeva cloud privati ed i public cloud provider, negli ultimi anni per supportare tematiche di performance, sistemi regolati e data sovereignty il confine si è quasi annullato e molti cloud provider hanno sviluppato servizi in grado di integrare i due mondi.

VMware on AWS ed Azure VMware Services sono solo alcuni esempi di soluzioni di gestione di workload applicativi cross cloud, mentre piattaforme come Red Hat Openshift sono di fatto soluzioni native-ibride in grado di connettere molteplici piattaforme cloud indipendentemente dall’hardware di riferimento.

3)   Il Cloud Ibrido offre il meglio dei due mondi

Se si pensa a società che operano in mercati complessi e regolamentati o anche solo a gruppi di aziende che sviluppano attività tramite filiere integrate, le stesse avranno sicuramente dei vantaggi nell’utilizzo di un public cloud che sia in grado di offrire servizi innovativi e scalabili on demand, ma in molti casi avranno anche applicazioni legacy che rendono la scelta di un private cloud più funzionale al loro obiettivo qualora non siano disposte a ridefinire il landscape applicativo o far evolvere le proprie soluzioni.

Creare un’architettura ibrida in grado di far evolvere i propri workload, bilanciando il cloud mix e gestendo al meglio i workload in base alla loro criticità e natura, è la vera sfida delle società con infrastrutture estese che spesso sono costrette a fare i conti anche con la latenza quando devono gestire grandi data set.

Quali ostacoli e quali prospettive di sviluppo nell’adozione del cloud da parte delle aziende italiane

Il principale ostacolo all’adozione delle tecnologie cloud rimane la disponibilità di banda e la velocità di connessione. Ad oggi l’Italia copre ancora posti di rincalzo nella classifica degli stati per velocità di connessione offerta mentre ancora un buon numero delle famiglie non dispone di un accesso ad internet veloce.

Queste limitazioni sono comunque destinate ad essere superate con l’avvento del 5G che di fatto consentirà di aumentare in maniera importante la disponibilità di banda per le applicazioni che grazie allo sviluppo costante delle tecnologie EDGE ed IOT, diverranno sempre di più hub distribuiti di raccolta di dati.

L’interconnessione di queste fonti dati al cloud consentirà un’analisi dei comportamenti sempre più puntuale ed in tempo reale che aprirà nuovi scenari e servizi a valore per tutte le aziende e consumatori.

L’accesso immediato a molteplici applicazioni daranno all’utente la possibilità di avere a disposizione servizi innovativi come bots ed assistenti virtuali in grado di rendere la loro esperienza di acquisto unica e personalizzata e talvolta anche anticipare le esigenze grazie all’adozione dell’AI.

Cosa può fare Var Group per te

Var Group ha dedicato una divisione – il Digital Cloud – a questo specifico ambito per supportare la strategia di crescita delle aziende e fornire loro i migliori strumenti e risorse del mercato.

Grazie a team dedicati per ogni vendor ed all’esperienza maturata nella gestione ed evoluzione di Data Center proprietari, aiutiamo i clienti a disegnare una strategia “Tailor Made” basata sulle loro esigenze specifiche e forniamo soluzioni innovative per estrarre valore dai dati in scenari Ibridi e Multi Cloud.

Insieme a Digital Cloud, in Var Group opera anche Digital Work che supporta l’estensione della tecnologia ai processi di governance dei team per massimizzare l’efficacia dello smart working e bilanciare al meglio il confine tra lavoro e vita privata grazie ai più moderni strumenti tecnologici ed una consulenza specializzata.

Come prepararsi al viaggio

Se dovessi pensare ad una metafora, io mi preparerei a gestire il cambiamento, proprio come mi preparerei a gestire un viaggio intorno al mondo… perché alla fine quello che succederà è che vincerà chi saprà integrare tutte le esperienze, adattandosi e gestendo un continuo spostamento verso nuove mete ed obiettivi, e sfruttando al meglio tutto ciò che ogni luogo/servizio offre, integrandolo nella sua esperienza.

Essere aperti e flessibili e condividere tutto in un diario per rendere l’esperienza conoscenza disponibile a tutti consentirà di avere compagni preparati ad ogni evenienza… e soprattutto il principale consiglio che mi sentirei di dare è quello di viaggiare leggeri, per non avere troppi vincoli e cogliere tutte le opportunità, tenendo sempre tutto quello che serve a portata di…cloud! 🙂

Buon viaggio a tutti!

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Head of Microsoft Competence Center & Hybrid Cloud | Managing Partner @VAR Group

VM_Azure

La vasta disponibilità di configurazioni di Virtual Machines su Azure non aiuta a capire immediatamente quale sia la migliore per le nostre esigenze. Conoscere le differenze delle diverse offerte agevolerà nell’identificare meglio quale dimensionamento potrà fare al caso nostro.

Tipologia e sizing delle VM

Microsoft ha suddiviso le tipologie di virtual machine per tipologia di utilizzo. Quindi, in base a quello che è il workload da configurare, possiamo avere un’idea di quale taglio di macchina andare ad utilizzare.

TypeSizesDescription
General purposeB, Dsv3, Dv3, Dasv4, Dav4, DSv2, Dv2, Av2, DC, DCv2, Dv4, Dsv4, Ddv4, Ddsv4Balanced CPU-to-memory ratio. Ideal for testing and development, small to medium databases, and low to medium traffic web servers.
Compute optimizedF, Fs, Fsv2High CPU-to-memory ratio. Good for medium traffic web servers, network appliances, batch processes, and application servers.
Memory optimizedEsv3, Ev3, Easv4, Eav4, Ev4, Esv4, Edv4, Edsv4, Mv2, M, DSv2, Dv2High memory-to-CPU ratio. Great for relational database servers, medium to large caches, and in-memory analytics.
Storage optimizedLsv2High disk throughput and IO ideal for Big Data, SQL, NoSQL databases, data warehousing and large transactional databases.
GPUNC, NCv2, NCv3, NCasT4_v3 (Preview), ND, NDv2 (Preview), NV, NVv3, NVv4Specialized virtual machines targeted for heavy graphic rendering and video editing, as well as model training and inferencing (ND) with deep learning. Available with single or multiple GPUs.
High performance computeHB, HBv2, HC, HOur fastest and most powerful CPU virtual machines with optional high-throughput network interfaces (RDMA).

Fonte: https://docs.microsoft.com/en-us/azure/virtual-machines/sizes

Il taglio delle VM identifica le “caratteristiche hardware” della macchina virtuale.
Dal nome del taglio della macchina è possibile risalire alle caratteristiche ed alle feature che caratterizzano la VM. Infatti, tutti I nomi utilizzano la seguente nomenclatura:
[Family] + [Sub-family]* + [# of vCPUs] + [Additive Features] + [Accelerator Type]* + [Version]

Dove:

Value Explanation
Family Indicates the VM Family Series
*Sub-family Used for specialized VM differentiations only
# of vCPUs Denotes the number of vCPUs of the VM
Additive Features One or more lower case letters denote additive features, such as:
a = AMD-based processor
d = disk (local temp disk is present); this is for newer Azure VMs, see Ddv4 and Ddsv4-series
h = hibernation capable
i = isolated size
l = low memory; a lower amount of memory than the memory intensive size
m = memory intensive; the most amount of memory in a particular size
t = tiny memory; the smallest amount of memory in a particular size
r = RDMA capable
s = Premium Storage capable, including possible use of Ultra SSD (Note: some newer sizes without the attribute of s can still support Premium Storage e.g. M128, M64, etc.)
*Accelerator Type Denotes the type of hardware accelerator in the specialized/GPU SKUs. Only the new specialized/GPU SKUs launched from Q3 2020 will have the hardware accelerator in the name.
Version Denotes the version of the VM Family Series

Differenze tra CORE e vCPU in Azure e Azure Compute UNIT (ACU)

Con la serie V3, Microsoft ha introdotto l’utilizzo dell’hyper-trading per la virtualizzazione delle VM andando così ad abbattere leggermente i costi (e un po’ anche le prestazioni). Dove è utilizzato l’hypertrading, c’è un rapporto 2:1 vCPU/CORE.
Per sapere su quali serie di VM è abilitato l’hyper-trading, è possibile andare su questo link ed identificare dove il valore nella colonna vCPU:Core è 2:1.
Un modo per valutare le performance di una virtual machine su Azure rispetto ad un’altra, è andare a vedere il valore ACU delle VM.
Microsoft ha introdotto il concetto di Azure Compute Unit (ACU) per poter compare le prestazioni di calcolo dei vari tagli delle VM in Azure. Il parametro è statao standardizzato su una VM Standard_A1 alla quale è stato assegnato il punteggio ACU 100. In base a questi valori è possibile capire approssimativamente la velocità di calcolo degli altri SKU. In questa pagina è possibile verificare le ACU dei vari SKU.

Conclusioni

Scegliere la VM giusta non è immediato, come hai visto. Fortunatamente lavorando con Azure si ha la possibilità di essere elastici in alcune scelte. Questo permette di rivedere le scelte fatte inizialmente. Si può così pensare di partire con taglio leggermente più basso rispetto a quello che si è pensato o a quello che si ha on-premise (nel caso si stia effettuando una migrazione), anche per ottimizzare i costi, ed effettuare uno scaling delle risorse in caso di necessità.

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer

 

Mettere in sicurezza VM e applicazioni è possibile grazie a diversi servizi attivabili sulle Virtual Network di Microsoft Azure: mostriamo le loro possibili combinazioni e integrazioni attraverso una serie di architetture e scenari.

I servizi che possiamo attivare su Azure sono sempre di più e molti di essi sono connessi a Virtual Network o anche esposti pubblicamente su Internet. Sono quindi in aumento le tipologie di workload che necessitano di protezione, e dobbiamo proteggere tutte le relative risorse da attacchi che diventano sempre più sofisticati.

Per rispondere a questa sfida, possiamo però contare su diversi strumenti che Microsoft Azure ci mette a disposizione per difenderci: essendo però questi piuttosto eterogenei, non sempre è immediato orientarsi nella scelta di quelli più adatti.

In questa guida mostriamo diversi scenari che possiamo incontrare nel mondo reale andando a pubblicare applicazioni in cloud e quali servizi Azure o loro combinazioni possiamo adottare di volta in volta per avere una protezione efficace e “mirata” sulle nostre esigenze.

Scenario 1: Nessuna Applicazione Web

Nello scenario che stiamo per descrivere ci basterà implementare solo Azure Firewall. Questo servizio offre tutte le funzionalità di un firewall di ultima generazione, quindi è in grado di effettuare packet filtering sia sugli indirizzi IP che sulle porte dei protocolli TCP/UDP, ma anche di operare a un livello più alto, cioè sugli attributi delle applicazioni HTTPS o SQL.

Descrivendo il flusso: il client che stabilisce una connessione chiamerà l’IP pubblico di Azure Firewall come IP di destinazione. Azure Firewall effettua quindi un Destination Network Address Translation (DNAT) “traducendo” l’IP di destinazione con quello privato del server che esegue l’applicazione e un Source NAT traducendo l’IP sorgente del client con il proprio IP privato. Quando l’applicazione risponde, il flusso viene ripetuto con la logica inversa.

Scenario 2: Solo Applicazioni Web

In questo scenario è sufficiente la sola presenza di Application Gateway, servizio che offre le funzionalità di un web load balancer e che a differenza di Azure Firewall funziona come un vero e proprio Reverse Application Proxy. I bilanciatori tradizionali operano al livello 4 della pila OSI, ovvero di Transport, effettuando il bilanciamento in base a indirizzo IP sorgente e porta. Application Gateway può invece smistare il traffico effettuando decisioni di livello più avanzato, per es. in base agli attributi della richiesta http, in quanto opera a livello OSI 7 (Application)

AG non effettua nessun NAT (Network Address Translation), ma inoltra al server di backend anche l’indirizzo IP originale del client, aggiungendolo nell’http header. Questo può essere utile nel caso di applicazioni web che necessitano di conoscere l’indirizzo sorgente del client per fornire contenuto specifico in base alla geolocalizzazione: per questo motivo in questo scenario abbiamo preferito Application Gateway ad Azure Firewall.

Scenario 3: Mix di Applicazioni Web e Applicazioni non-web

Finora abbiamo visto Azure Firewall e Application Gateway come servizi complementari, ma a seconda del contesto possono anche essere usati assieme per incrementarne l’efficacia.

In questo nuovo scenario la soluzione migliore è l’utilizzo di Application Gateway e Azure Firewall in parallelo: è il caso in cui ad esempio vogliamo pubblicare sia applicazioni web che non-web, dunque può essere utile sfruttare i vantaggi di entrambi i servizi. Quindi Azure Firewall si occuperà di ispezionare il traffico in ingresso per le applicazioni non web, mentre Application Gateway proteggerà quello diretto alle applicazioni web.

Per ottenere lo stesso livello di protezione su entrambi i tipi di applicazioni, sull’Application Gateway oltre alle feature già descritte prima potremmo abilitare un ulteriore servizio: WAF (Web Application Firewall). Si tratta di un device con funzionalità da firewall, specializzato per le applicazioni web: consente di proteggere in maniera centralizzata le applicazioni dai più diffusi tipi di attacchi e vulnerabilità.

Scenario 4: Applicazioni che necessitano di gestione dell’IP sorgente o destinazione

A seconda delle esigenze sulla gestione dell’IP sorgente, possiamo ipotizzare due nuove architetture dove anzichè collocare Application Gateway e Azure Firewall in parallelo, li mettiamo in serie.

Nel primo caso andiamo a gestire quelle applicazioni che necessitano di conoscere l’IP sorgente del client, a prescindere che siano web based o no. Collocheremo quindi come primo servizio che il client contatterà l’Application Gateway con l’aggiunta di WAF, in modo che offra protezione per le web application e possa preservare anche l’IP originale del client, mentre Azure Firewall verrà messo a valle come secondo livello di ispezione e si occuperà di controllo centralizzato e raccolta log.

Nel secondo caso gestiamo quelle situazioni in cui non ci interessa preservare l’IP sorgente ma vogliamo che sia Azure Firewall, con i suoi filtri più avanzati, a bloccare il traffico malevolo prima che raggiunga Application Gateway. In tal caso invertiremo la configurazione mettendo Azure Firewall come primo punto di accesso e Application Gateway dopo di esso.

Scenario 5: Protezione a layer 3+4 con DDoS Protection Standard

Introduciamo ora un altro interessante servizio Azure per la security: il DDoS Protection Standard, creato appositamente per proteggere le risorse dagli attacchi di tipo “Distributed denial of service (DDoS)”. Le risorse Azure, quando sono esposte su internet, possono essere facilmente oggetto di questi attacchi che consistono nel saturare tutte le risorse dell’applicazione fino a renderla indisponibile. Attacchi di questo tipo sfruttano di solito vulnerabilità nei livelli 3 e 4 della pila OSI, e la protezione del servizio DDoS si concentra quindi su queste.

Mentre la rete globale di Azure è protetta di default attraverso la DDoS Protection livello Basic, offerta quindi gratuitamente, il servizio Standard offre una protezione aggiuntiva attraverso delle policies che possono essere adattate alle applicazioni specifiche del cliente, il tutto in maniera intelligente in quanto il servizio è in grado di analizzare il traffico tipico dell’applicazione in modo da profilarlo e potere così più facilmente riconoscere le attività anomale. In più offre una serie di report e alert sugli attacchi rilevati, e la possibilità di essere integrato con Azure Security Center per potenziare ulteriormente il monitoraggio.

Scenario 6: Protezione a layer 3+4+livello Application

Possiamo ipotizzare un’ulteriore combinazione di due servizi di Azure Security appena visti per ottenere un doppio livello di protezione: Azure DDos e WAF. Essendo quest’ultimo basato su Application Gateway come mostrato nei precedenti scenari, otterremmo quindi una protezione completa ai livelli 3, 4 e 7 della pila OSI aggregando le feature di questi servizi.

Come mostrato nello screenshot, questi 2 servizi potrebbero lavorare assieme proteggendo la rete centrale nell’ambito di una particolare architettura di rete denominata “hub and spoke”.

Descrivendo in breve questa topologia standard: distribuiamo delle risorse condivise in una virtual network centrale denominata “hub”, che potranno connettersi a specifiche applicazioni isolate in apposite virtual network grazie ai virtual network peering. In questa architettura quindi, Azure Firewall e Application Gateway insieme a DDoS Protection verranno attivati nella virtual network con ruolo hub, anche se i server di backend che pubblicheranno possono stare nelle reti spoke, ottenendo quindi un ulteriore livello di isolamento e quindi protezione.

Conclusioni

Abbiamo visto una serie di servizi che sono tra loro complementari e possono quindi essere usati da soli o integrati tra loro: gli scenari mostrati sono solo alcuni esempi possibili tra le varie combinazioni che possono essere ipotizzate sulla base delle peculiari esigenze del cliente.

Partendo dai primi due scenari più semplici e dal costo più ridotto in quanto adottiamo un solo tipo di servizio, arriviamo fino a quelli (5 e 6) con la presenza di servizi dal costo più elevato come la DDoS Protection Standard, di conseguenza più adatti per aziende con un volume più elevato di workload da proteggere.

Infine consideriamo che gli strumenti visti presentano potenziali integrazioni con ulteriori servizi. Un esempio può essere Azure Kubernetes, nel caso in cui vogliamo proteggere i workload contenuti negli AKS cluster, oppure Azure Front Door che è un servizio molto simile a Application Gateway ma che anziché essere collocato in una Virtual Network, è disponibile a livello globale e decentralizzato.

 

Fonti e approfondimenti:

Firewall and Application Gateway for virtual networks – Azure Example Scenarios | Microsoft Docs

Azure DDoS Protection Standard Overview | Microsoft Docs

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer

 

Azure Shared Disk

Azure Shared Disk è una nuova funzionalità che permette di usare lo stesso disco gestito da più Virtual Machines sia con sistema operativo Windows che con sistema operativo Linux.

Il grosso vantaggio è che è possibile migrare tutte quelle applicazioni ancora presenti sulle infrastrutture on premises che dipendono dai servizi cluster e che sono sensibili a livello di latenza, senza compromettere l’alta affidabilità e il fast failover.

Queste includono database in cluster, scale-out File Server, SAP Workload, containers persistenti e applicazioni di Machine Learning.

Fatta questa promessa, andremo ora a configurare Windows Failover Cluster usando gli Azure Shared Disk.

Prerequisiti:

  • Sottoscrizione attiva Azure
  • Un dominio Active Directory già creato in precedenza
  • Proximity Placement Group

La scelta del disco deve ricadere su uno di tipo Premium o Ultra SSD, gli unici subset attualmente disponibili e ogni tipo di disco ha le sue limitazioni che potete trovare sulle docs di Microsoft (Share an Azure managed disk across VMs – Azure Virtual Machines | Microsoft Docs)

Durante la creazione del disco, nelle opzioni avanzate, ci verrà chiesto se si tratta di uno shared disk.

inoltre, dobbiamo indicare anche il numero massimo di shares (in poche parole il numero delle Virtual Machines che condivideranno il disco) questo valore varia in base al tipo di disco: più il disco è prestante più è possibile condividerlo con più Virtual Machines.

Ora possiamo procedere con l’aggiunta del disco a due nodi (precedentemente creati), al momento dell’aggiunta i nodi devono essere spenti.

Una volta aggiunto il disco, possiamo procedere con la semplice formattazione dal disk management di Windows.

In questo momento abbiamo entrambe le VM con il disco condiviso, ma ognuna di esse non condivide nessuna informazione con l’altra.

Procediamo quindi con l’installazione del ruolo Failover Cluster in entrambi i nodi che comporranno il cluster.

Per fare questo lanciamo tramite PowerShell il seguente comando e successivamente procediamo con il riavvio di ogni singolo nodo:

Una volta ripartite le VM, procediamo con la creazione del cluster tramite questo comando PowerShell in cui verrà anche specificato l’indirizzo Ip assegnato al cluster stesso (nel mio caso ho creato un ILB Azure).

Collegandoci al Failover Cluster Manager, possiamo verificare che il cluster sia correttamente configurato, In particolare, nella sezione storage, possiamo vedere che il nostro Shared Disk precedentemente creato:

Per rendere il cluster più stabile, possiamo procedere con la configurazione del Quorum, configurandolo in uno storage account:

Quando richiesto, andremo ad impostare il nome dello storage account e la Key di autenticazione che possiamo trovare nei settings dello storage account.

Il cluster è ora online e disponibile per installazioni quali SQL Server Failover Cluster necessarie per installazioni di applicazioni legate al mondo delle SAN on premise che hanno necessità di bassissima latenza pur conservando tutti i dogmi dell’alta affidabilità.

 

Fonti e approfondimenti:

Share an Azure managed disk across VMs – Azure Virtual Machines | Microsoft DocsEnable

shared disks for Azure managed disks – Azure Virtual Machines | Microsoft Docs

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer

 

Modern Data Warehousing

La soluzione Microsoft per il Modern Data Warehousing

Enterprise data warehouse, big data e advance analytics integrati in unica piattaforma su Azure

Il 3 dicembre, nell’evento “Shape Your Future with Azure Data and Analytics digital event”. Satya Nadella, Ceo Microsoft, ha annunciato la strategia sul mondo Data Analytics e la disponibilità in General Availability di Azure Synapse Analytics, la soluzione “Modern Data Warehousing” su cloud Azure.

“Shape Your Future with Azure Data and Analytics digital event: https://azure.microsoft.com/en-us/blog/digital-event-explore-how-data-and-analytics-will-impact-the-future-of-your-business/

Azure Synapse Analytics è la piattaforma abilitante per soddisfare a 360 gradi le moderne esigenze di analisi dei dati delle aziende:

  • Analisi Descrittiva: “Cosa sta succedendo nella mia attività?” Per rispondere a questa domanda viene in genere implementato un Data Warehouse.
  • Analisi Diagnostica: “Perché sta accadendo?” Rispondere a questa domanda in genere comporta una ricerca più ampia sul patrimonio dati per trovare più dati a supporto di questo tipo di analisi.
  • Analisi Predittiva: “Cosa succederà probabilmente in futuro in base alle tendenze e ai modelli precedenti?” Rispondere a questa domanda comporta l’integrazione di modelli ML
  • Analisi Prescrittiva: “Cosa dovrei fare?” Questo tipo di analisi esamina l’esecuzione di azioni basate sull’analisi dei dati in realtime o near realtime, utilizzando i modelli dell’analisi predittiva.

Modern Data Warehousing

Con Azure Synapse Analytics, Microsoft integra in un unico tool, con una user experience unificata, le funzionalità di:

  • data integration (ingestion, data preparation, data transformation, batch e near realtime)
  • enterprise data warehousing e big data (archiviazione ed elaborazione di dati strutturati, semistrutturati, non strutturati con volumi dal MB a PB)
  • advanced analytics (Machine Learning, e Deep Learning)
  • presentation (dashboard Power BI)
  • monitoring
  • management
  • security

in parte integrando al suo interno ed evolvendo componenti esistenti della piattaforma Azure (es Azure Data Factory, Azure SQL Data Warehouse, Azure Databricks/Spark e Azure Data Lake) in parte abilitando una completa integrazione con componenti quali Power BI, Azure machine Learning, Azure Cosmos DB.

Modern Data Warehousing 2

Azure Synapse Analytics

L’adozione di Azure Synapse Analytycs consentirà alle aziende di disporre di un unico tool in grado di coprire le attuali e future esigenze di archiviazione, analisi e presentazione dei propri dati preservando gli investimenti in termini di risorse e competenze.

Grazie anche ad un sistema di costi modulare le aziende potranno iniziare gradualmente il loro percorso con le funzionalità data warehouse tradizionale su dati strutturati, migrando gli attuali data warehouse on premise nel cloud Azure, sfruttando le potenzialità di elaborazione e scalabilità del Dedicated SQL Poll (Massive Parellel Processing Engine)

Parallelamente potranno archiviare in uno storage virtualmente infinito e a basso costo (Data Lake Storage) tutti quei dati aziendali che al momento non sono in grado analizzare ma che rappresentano un patrimonio da cui estrarre in futuro contenuti informativi e analitici (es, file di testo generati dalle macchine industriali, serie temporali generate da sensori, log di sistemi, e-mail, documenti, foto, video, audio ecc).

Mediante l’integrazione di modelli di Machine Learning applicati all’analisi dei dati potranno gradualmente intraprendere il percorso di evoluzione delle proprie capacità advanced analytics (Analisi diagnostica, predittiva e prescrittiva), es: anomaly detection, demand planning, recommendation, customer segmentation, sentiment analysis.

Le tecnologie di Artificial Intelligence potranno anche essere utilizzate per estrarre ed interpretare informazioni da documenti ed e-mail (es. identificazione di parole chiave, interpretazione del testo, traduzione, analisi del sentiment, estrazione di coppie chiave valore: es numero di fattura, numero d’ordine), da file audio (es. trascrizione), da foto (es. analisi descrittiva, identificazione di soggetti) che potranno essere messi in relazione con il resto del patrimonio dati aziendale.

Microsoft ha adottato una politica dei costi che rende Azure Synapse Analytics oltremodo competitivo anche su questo piano rispetto ai principali ai competitor, Google BigQuery, Amazon AWS Redshift.

Puoi approfondire consultando le analisi comparativa disponibile nei report che trovi

  • GigaOm Analytics Field Test-H Benchmark Report
  • GigaOm Analytics Field Test-DS Benchmark Report

https://azure.microsoft.com/en-us/services/synapse-analytics/compare/#price-performance

• GigaOm Analytics Field Test-H Benchmark Report

In conclusione, con Azure Synapse Analytics Microsoft introduce una soluzione che integra in un unico strumento modulare funzionalità enterprise data warehouse tradizionali, big data e advance analytics, consentendo alle aziende di intraprendere un percorso graduale, salvaguardando gli investimenti e contenendo i costi.

Di seguito alcuni link di riferimento:

https://azure.microsoft.com/en-us/services/synapse-analytics/

https://docs.microsoft.com/en-us/azure/synapse-analytics/overview-what-is

I dati e l’intelligenza artificiale per la loro elaborazione rendono disponibili alle imprese nuovi modi per migliorare i processi e generare valore

AI Team Leader

Azure Automage

Gestiamo molte Azure Virtual Machines e vogliamo semplificare l’adozione delle best practice? Un nuovo servizio Azure è disponibile per aiutarci.

Gestire la conformità delle VM nel proprio ambiente Azure alle best practice di sicurezza, compliance e disaster recovery, grazie alla gamma in continuo ampliamento di servizi offerti da Azure diventa un task sempre più strutturato ma contemporaneamente anche più gravoso come effort amministrativo.
Presentiamo quindi un nuovo servizio Azure in preview pensato per gestire l’onboarding intelligente delle best practices di MS per le VM Azure e la loro configurazione automatica.

Azure Automanage consente di ottimizzare le operazioni di deploy delle VM Azure automatizzando la configurazione di Azure Backup, Update Management e Security Center con un approccio che favorisce la scalabilità.

Anche il monitoraggio viene reso più agevole da questo servizio, che può rilevare eventuali deviazioni dalla configurazione desiderata.

Un’ulteriore valore aggiunto è dato dalla possibilità di implementare best practices di sicurezza (cloud adoption framework) e adattarle ai requisiti della propria organizzazione, distribuendo di default il Windows Defender.

N.B Il servizio è attualmente in preview senza alcun costo, il prezzo verrà annunciato in futuro e verrà inviata una comunicazione prima che termini il periodo di preview.

Onboarding

Il servizio Automanage si può attivare con pochi e semplici passaggi, ne mostriamo i principali.

Dalla gallery del portale Azure cerchiamo la risorsa di tipo: “Automanage”.

Scegliamo quindi “Enable on existing VM”.

Scegliendo poi “Select Machines….” visualizziamo un elenco delle VM in uno stato idoneo per attivare la feature. Vediamo subito come l’esperienza d’uso sia stata orientata alla massima semplicità, consentendo di effettuare il deploy del servizio con un semplice click sulle VM, e alla scalabilità, in quanto è possibile selezionare contemporaneamente un numero qualsiasi di VM

Servizio Automanage

Attivando l’apposita flag è anche possibile evidenziare le VM in stato “Ineligible” con la relativa motivazione, per es. in questo caso troviamo delle VM spente o che hanno la feature già abilitata, quindi non disponibili:

Dopo aver selezionato la VM che intendiamo gestire, da Select configuration profile possiamo scegliere tra due template già presenti, ognuno contenente un determinato set di servizi abilitabili: Dev/Test e Production (all’interno di ogni profilo è poi possibile personalizzare le preferenze per i singoli servizi). Scegliamo per il momento il primo che presenta un elenco più minimale di servizi da gestire

Dev/Test e Production

Mentre il template Production contiene una serie più completa di servizi, aggiungendo anche “Backup” e “Virtual Machine Insights Monitoring”:

Infine nelle opzioni Avanzate possiamo creare l’account di tipo Azure Managed Identity, che rappresenta i il contesto di sicurezza di Azure Active Directory in cui verranno eseguite le azioni sulle VM: questo viene generato in automatico con possibilità di crearne uno nuovo:

La possibilità di creare un Automanage Account addizionale può essere utile nei contesti con grandi volumi di servizi, in cui operano diversi amministratori di sistema suddividendosi la gestione delle VM. Avendo account separati è possibile avere visibilità nei log di chi sta gestendo con Automanage un determinato gruppo di macchine.

A questo punto scegliendo “Enable” attiviamo il servizio: viene creato l’Automanage Account, il Configuration Profile e la sua assegnazione alla VM selezionata, il cui stato appare inizialmente come “In Progress” mentre i vari servizi vengono configurati.

Terminato il deploy, vengono evidenziate le VM su cui l’Automanaged è stato abilitato con successo, in stato “Configured”.

Possiamo andare a verificare come in Automanage abbia effettuato diverse configurazioni “dietro le quinte”, nonostante la rapidità del processo di onboarding.

Ad esempio, all’interno dei singoli blade nelle VM su cui è stato attivato, prima dell’aggiunta di Automanage alcune feature erano senza configurazione, per esempio “Insights”

Insights

Mentre dopo il deploy vediamo che è stata effettuata una configurazione e Insights ci mette a disposizione diversi dettagli sulla configurazione Azure della VM e del suo sistema operativo, con tanto di mappa interattiva:

mappa interattiva

Anche il servizio Azure Backup è stato configurato, con un’apposita vault per la VM e la Default Policy associata (mostreremo alla fine come personalizzare la policy e impostare una configurazione diversa da quella di default).

Allo stesso modo anche il Change Tracking, che ci consente di esaminare file del sistema operativo e degli applicativi per tenere traccia di modifiche al software e ai servizi, e così via per numerosi altri servizi.

Ad esempio Azure Security Center e Update Management, che ci consente di automatizzare e schedulare i Windows Update gestendone l’esecuzione da una dashboard centralizzata. Per questa feature Automanage si occupa anche di configurare tutti i prerequisiti, creando anche un apposito Automation Account collegato a un Log Analytics Workspace per

Personalizzazione e automatizzazione

E’ possibile effettuare un “tuning” delle configurazioni dei vari servizi per adattarle alle esigenze specifiche del proprio scenario. Durante il deploy, all’interno di un Configuration Profile (es. Production) basta seguire il link “Create new preferences” e si entrerà in una sezione che consente di modificare le policy dei vari servizi.

Vediamo qui ad esempio come per abbiamo integrato le impostazioni di default aggiungendo anche uno scan schedulato, impostandolo come tipologia Full anziché Quick e abbiamo modificato il giorno di esecuzione

Microsoft Antimalware

Per ottenere un’ulteriore livello di automatizzazione, è possibile riutilizzare la Preference così creata salvandola con un nome.

E’ anche possibile configurare in automatico Automanage tramite Azure Policy: all’interno del servizio è sufficiente aprire il blade “Definitions” e filtrare andando alla ricerca della Policy di tipo “Automanage”.

E scegliendo “Assign” nella schermata successiva, è possibile specificare l’ambito in cui distribuire la policy (sottoscrizione e Resource Group contenente le VM per cui vogliamo abilitare Automanage):

Nella sezione “Parameters” possiamo specificare l’Automanage Account e il Configuration Profile, e la Policy viene creata.

Verificando negli Assignements, abbiamo conferma che l’Automanage verrà abilitato di default a tutte le VM nei Resource Group elencati.

Conclusioni

Automanage sembra un servizio dalle interessanti potenzialità, per quanto sarebbe apprezzabile il miglioramento di alcuni aspetti, come la possibilità di avere una maggiore granularità e precisione nella personalizzazione di opzioni e policies delle singole feature configurate. Teniamo comunque conto che è un servizio in Preview e non resta che attendere il rilascio di nuove feature: ad esempio al momento è disponibile solo per VM Windows ma è previsto un futuro supporto anche per Linux.

Il prodotto potrebbe rivelarsi particolarmente utile nel contesto di un cliente che deve gestire un elevato volume di ambienti “Infrastructure as a Service”, oppure di un provider che deve gestire VM appartenenti a clienti diversi con un’elevato turnover di deployment e la necessità di mantenere dei requirement e livelli di best practice omogenei (ad esempio un partner Cloud Solution Provider).

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer

 

Gli ambienti dei clienti stanno diventando sempre più complessi nella gestione e nell’ottimizzazione, basti pensare ad ambienti Hybrid o multi-cloud. Azure Arc permette di estendere i servizi e i principi di gestione di Azure a qualsiasi infrastruttura e su qualsiasi ambiente (AWS e Google Cloud compresi!).

Azure ARC

Cosa offre Azure Arc

Azure Arc consiste in un insieme di differenti tecnologie e di componenti che permette di gestire Servers, Kubenertes clusters e data services, in particolare:

Arc for servers:

Possono essere gestite VMs sia Windows che Linux che fanno parte sia dell’ambiente Azure, sia di ambienti on premise ma anche su ambienti in cloud differenti quali Amazon EC2 o Google Compute Engine.

Una volta registrato il server sotto Arc si ha la possibilità di applicare le medesime policy indipendentemente dalla loro posizione, come per esempio policy di sicurezza, policy di encryption, gestione delle password e perfino update management di Azure può essere applicato tramite Hybrid runbook in automation account.

La registrazione della VM è semplice ed avviene tramite agent, il quale poi invierà periodicamente un heartbeat al control panel di Azure dichiarando la propria disponibilità.

L’agente di ARC può essere distribuito in una varietà di sistemi operativi tra cui Windows Server 2012 R2 o versioni successive, Ubuntu 16.04, SUSE Linux Enterprise Server 15, Red Hat Enterprise Linux 7 e persino Amazon Linux 2

Arc for Kubernetes clusters

Allo stesso modo dei servers, anche i cluster Kubernetes possono essere collegati ad Arc.

Registrando i cluster Kubernetes con Arc, i clienti ottengono tre vantaggi: gestione centralizzata dell’inventario, osservabilità e distribuzione coerente di applicazioni / configurazioni.

Quando un cluster Kubernetes viene registrato con Azure Arc, viene distribuito un agente (simile all’agente per i servers), che invia i log e le metriche al cloud, che può essere visto nel servizio di monitoraggio di Azure. L’agente ascolta anche le richieste di configurazione destinate al cluster.

Al momento Azure Arc è disponibile per le seguenti distribuzioni:

  • RedHat OpenShift 4.3
  • Rancher RKE 1.0.8
  • Canonical Charmed Kubernetes 1.18
  • AKS Engine
  • AKS Engine on Azure Stack Hub
  • Cluster API Provider Azure

Questa feature è attualmente in preview, ma Microsoft ha comunicato che presto verrà rilasciata in GA.

Azure Arc for data services

Azure Arc offre la possibilità di distribuire database SQL Azure o PostgreeSQL Hyperscale (al momento le uniche disponibili ma sono attese nuove piattaforme) dove lo desideri, in qualsiasi ambiente sia on premise o multicloud gestendo la sicurezza e la governance in maniera centralizzata. Altra importante caratteristica è la possibilità di estendere i propri dati di un cluster Kubernetes in locale su Azure in base all’esigenze.

Diventando dei servizi gestiti, sono continuamente sottoposti da parte di Microsoft ad aggiornamenti e patch di sicurezza ma garantendo al contempo il pieno controllo da parte dei clienti.

Un altro aspetto molto importante è che essendo servizi gestiti in sottoscrizione Azure i clienti non dovranno più affrontare situazioni di End-Of-Support del prodotto.

In conclusione, con ARC, Microsoft cambia il proprio approccio verso infrastruttura ibride e multicloud creando dei ponti fra gli ambienti locali e il cloud.

Con Azure Arc per i data services, i clienti avranno un enorme vantaggio dalla possibilità di eseguire servizi di database gestiti in qualsiasi cluster Kubernetes. Questa capacità emergerà come la caratteristica principale essendo unica nel panorama degli operatori Cloud.

Con Azure IoT Edge, Azure Stack Edge e Azure Arc, Microsoft copre l’intero spettro che comprende edge, data center e cloud.

Fonti e approfondimenti:

Azure Arc enabled serversAzure Arc enabled servers

Organize all your servers outside of Azure with Azure Arc

Managing K8 clusters outside of Azure with Azure Arc

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer

 

ERP Digital Transformation

Trasformarsi o scomparire

Viviamo e lavoriamo in Italia, il Paese in cui le piccole e medie imprese (Pmi) sono il cuore pulsante del tessuto imprenditoriale e rappresentano la quasi totalità delle imprese, generando il 75% del valore aggiunto totale del nostro Paese.

Prima del 2020, queste aziende in Italia erano circa 5,3 milioni – circa il 92% delle imprese attive –e impiegavano 15 milioni di lavoratori (82% del totale e valore che supera di molto la media Ue) e nel 2017 – ultimo dato Prometeia disponibile – generavano un fatturato complessivo di 2.000 miliardi di euro.

In Italia, quindi, la maggioranza delle aziende attive si trova oggi a dover iniziare o proseguire il percorso di trasformazione digitale, giocandosi una parte del proprio futuro sulla capacità di vivere l’era della proliferazione delle informazioni, dovendo gestire un’immensa mole di dati e provando ad estrarre valore da questi dati.

Solo con strumenti adeguati e partner affidabili è possibile gestire questa miniera di informazioni che aumenta con una progressione geometrica. Qualche anno fa si prevedeva che tra il 2013 e il 2020 la produzione di dati sarebbe cresciuta di 10 volte – passando da 4,4 milioni di miliardi di gigabytes a 44 – raddoppiando in volume ogni due anni: ma la realtà ci ha mostrato che la crescita è stata doppia rispetto alle previsioni.

Poiché la trasformazione digitale ha impatti rilevanti su ogni aspetto della strategia aziendale – dalla struttura organizzativa, all’esperienza del consumatore, alle strategie di marketing e comunicazione, così come l’integrazione dei processi back-end, della produzione e delle operations – le piccole e media imprese hanno di fronte a loro una decisione fondamentale e imprescindibile: trasformarsi o scomparire, perché se il software per la contabilità non ti consente di mantenerti al passo con le esigenze dei clienti, l’esistenza stessa della azienda è messa a rischio.

In che modo cambiare?

Adottando le giuste tecnologie, che permettano di monitorare ogni aspetto della catena del valore aziendale, offrendo strumenti di analisi aggregate, in grado di mostrare a chi deve prendere le decisioni di business dove andare a ottimizzare i processi – siano questi produttivi, finanziari o di vendita. E che siano versatili, adattabili alle esigenze specifiche dell’azienda ma facilmente scalabili qualora le necessità lo richiedano. Come permette di fare Dynamics 365 Business Central, un potente software gestionale all-in-one, perfettamente integrato con l’ecosistema di Microsoft, che semplifica e migliora il modo di gestire il business.

Soprattutto potendo sfruttare tutta la sicurezza, l’affidabilità e la scalabilità della piattaforma Microsoft Azure. Perché il cloud è certamente l’elemento chiave per abilitare la digital transformation nelle aziende medie e piccole.

Secondo Gartner, infatti, per quasi il 75% dei CEO è necessario aumentare il ritmo della digitalizzazione della loro azienda per restare competitivi.

Come riuscirci, oggi, senza sfruttare il cloud? Come ottenere i benefici di una soluzione ERP potente e completa senza dover sostenere disagi e costi di una installazione hardware locale?

Decidendo di adottare Dynamics 365 Business Central, perché aggiornare i sistemi scegliendo una soluzione cloud moderna è più semplice e più conveniente di quanto si possa credere.

Come Business Central cambia lo scenario della produttività aziendale?

 Microsoft Dynamics 365 Business Central è una soluzione che consente alle imprese di connettere dati finanziari, vendite, servizi e operazioni in modo da snellire i processi aziendali, migliorare le interazioni con i clienti e prendere decisioni migliori.

Attraverso i consueti strumenti di produttività di Office come Outlook, Word ed Excel, Dynamics 365 Business Central riunisce i processi aziendali in un’unica applicazione e consente di risparmiare tempo, aumentando l’efficienza con attività e workflow automatizzati; a questo si aggiunge l’integrazione con Microsoft Teams, che consente di integrare i dati del tuo ERP con gli strumenti di collaboration.

In qualunque luogo e in qualunque momento è possibile ottenere una visione end-to-end della propria azienda.

Dynamics 365 Business Central mette la flessibilità al centro della tua attività, consentendoti di iniziare rapidamente, crescere al ritmo che desideri e adattarti alle esigenze in tempo reale.

Potrai personalizzare e ampliare facilmente Dynamics 365 Business Central in modo da soddisfare le tue esigenze aziendali o specifiche del settore.

Semplifica i processi, prendi decisioni più informate e accelera la crescita con Dynamics 365 Business Central, una soluzione di gestione aziendale completa progettata per le piccole e medie imprese.

COO – Direttore Organizzativo

Differenze ed integrazione tra i servizi di identità ed autenticazione di Microsoft

Differenze tra i servizi Active directory Domain Services (AD DS), Azure Active Directory (Azure AD o AAD) ed Azure Active Domain Service (Azure AD DS o AAD DS) e come integrarli tra di loro

Il servizio storico che permette l’autenticazione degli utenti all’infrastruttura informatica conosciuto da tutti i professionisti del settore Microsoft oriented è Active Directory Domain Services (AD DS).

Con l’avvento del cloud Azure, Microsoft mette a disposizione tre distinte tipologie di identity services:

  • Active Directory Domain Services (AD DS)
  • Azure Active Directory (Azure AD o AAD)
  • Azure Active Directory Domain Service (Azure AD DS o AAD DS)

Questo può portare confusione nella scelta della soluzione da adottare in quanto il nome Active Directory compare in tutti e tre i servizi, nonostante le tre soluzioni siano differenti tra di loro.

In questo post analizzerò i servizi sopra elencanti tramite le loro caratteristiche principali, come si integrano tra di loro e quando adottarli.

Active Directory Domain Services (AD DS)

Active Directory Domain Services è la versione tradizionale del servizio per la gestione centralizzata delle risorse.

Tra le caratteristiche del servizio:

  • gestione gerarchiale delle risorse;
  • gestione di utenze e risorse tramite group policies;
  • on-premises idendity & authenitcation;
  • autenticazione tramite Kerberos, NTLM o LDAP;
  • trust di domini e foreste

AD DS, dominio autogestito, richiede un alto utilizzo di risorse per la gestione del servizio stesso: gestione dei backup, patching del sistema, upgrade, repliche, etc.

Per maggiori informazioni è possibile consultare la documentazione ufficiale Microsoft di Active Directory Domain Services.

Azure Active Directory (Azure AD)

Se sono utilizzati servizi di Microsoft 365 (posta elettronica, OneDrive, etc.) o di Azure, Azure AD è utilizzata.

A differenza del servizio AD DS, che utilizza l’autenticazione network-based, Azure AD utilizza l’autenticazione web-based.

Tra le caratteristiche del servizio :

  • cloud-based identification & authentication;
  • servizio di gestione account per:
      • accesso al portale Azure
      • Office 365
      • applicazioni SaaS
  • Mobile Device Management (MDM)

Con Azure AD non è possibile:

  • joinare computer al dominio;
  • effettuare autenticazione tramite protocollo Kerberos o NTLM;
  • implementare organization unit;
  • utilizzare implementare\utilizzare account di tipo domain o enterprise admin

Il servizio è garantito, gestito ed ospitato da Microsoft. La gestione delle risorse avviene tramite portale web.

Per maggiori informazioni è possibile consultare la documentazione ufficiale di Azure Active Directory.

Azure Active Directory Domain Services (Azure AD DS)

Azure AD DS è una soluzione simile alla soluzione on-premise AD DS, con la differenza che è erogato come servizio PaaS in Azure.

Tra le caratteristiche del servizio:

  • servizio PaaS;
  • autenticazione tramite Kerberos, NTLM o LDAP (read only);
  • trust di domini e foreste non supportata;
  • nessun account “domain admin” o “enterprise admin”

Azure AD DS è integrato con Azure AD: creando un utente in Azure AD automaticamente sarà replicato in Azure AD DS.

Per maggiori informazioni è possibile consultare la documentazione ufficiale Microsoft su Azure Active Directory Domain Services.

Quando implementare AD DS, Azure AD o Azure AD DS

Come visto sopra, ogni servizio è studiato per soddisfare determinate esigenze. Di seguito, vediamo quindi quando è necessario configurare uno specifico servizio piuttosto che un altro.

Active Directory Domain Services è un servizio gestito interamente dall’organizzazione. E’ utilizzato quando si hanno le seguenti necessità:

  • necessità di configurare relazioni di trust;
  • necessità di estendere lo schema;
  • la connettività internet è limitata o instabile;
  • necessità di utilizzare account domain enterprise admin

Azure Active Directory è dedicato alla gestisce degli accessi alle risorse cloud, come Microsoft 365 o la gestione degli accessi del portale Azure. Verrà quindi implementato se:

  • l’infrastruttura è interamente sul cloud, senza server configurati on premise;
  • vengono utilizzati solo servizi di tipo PaaS o SaaS;
  • vengono utilizzati solo sistemi di modern authentication

Azure Active Directory Domain Services è studiato per gestire esclusivamente un ambiente nativo su Azure. Verrà quindi scelto se:

  • l’infrastruttura è cluod native;
  • utilizzo di servizi IaaS

Integrazione dei servizi

Come visto, ogni servizio ha un utilizzo ben specifico ed è installato in base alla tipologia di elementi che compongono l’infrastruttura informatica.

Proprio per l’unicità dei servizi che erogano i tre servizi in oggetto, è possibile integrarli tra di loro per avere una gestione completa del sistema.

Vengono riportati di seguito i flussi logici con cui è possibile integrare i servizi tra di loro.

Come detto sopra, Azure Active Directory è in costante replica con Azure Active Directory Services, quindi:

Azure Active Directory

Azure AD, a sua volta, può essere sincronizzato con l’ambiente on premise di Active Directory Domain Services tramite AD Connect

Active Directory Domain Services

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer