混合基础结构包括云组件和本地组件。 混合身份验证允许用户使用源自本地的标识访问基于云的资源,或者使用基于云的标识访问本地资源。
- 云组件包括 Microsoft Entra ID、Azure 资源和服务、组织的基于云的应用和 SaaS 应用程序。
- 本地组件包括本地应用程序、资源(例如 SQL 数据库)和标识提供者(例如 Windows Server Active Directory)。
重要
规划混合基础结构的复原能力时,关键是要尽量减少依赖项和单一故障点。 本地和云连接中断的原因有很多,包括硬件故障、停电、自然灾害和恶意软件攻击。
Microsoft为连接到 Microsoft Entra 的应用程序提供多种混合身份验证机制。 如果组织一直依赖 Active Directory 密码和直通身份验证或联合身份验证对用户进行身份验证,则建议尽可能实现密码哈希同步。
- 密码哈希同步(PHS) 使用 Microsoft Entra Connect 将密码的标识和哈希从 Windows Server AD 同步到Microsoft Entra ID。 它使用户能够登录 Microsoft Entra,以使用与 Active Directory 中设置的密码相同的密码访问基于云的资源。 PHS 仅在同步期间(而不是身份验证期间)依赖于 AD。
- 直通份验证 (PTA) 可将用户重定向到 Microsoft Entra ID 进行登录。 然后,通过部署在企业网络中的代理,根据本地 Active Directory 来验证用户名和密码。 PTA 在本地服务器上驻留 Microsoft Entra PTA 代理所占用的空间。 这些服务器必须在身份验证期间可访问,并且必须能够访问域控制器。
- 联合 客户会部署联合服务,例如 Active Directory 联合身份验证服务(AD FS),以作为身份提供者。 Microsoft Entra ID 将用户重定向到标识提供者联合身份验证服务,然后验证联合身份验证服务生成的 SAML 断言。 用户必须能够连接到标识提供者,标识提供者也可能依赖于 Active Directory。
- Microsoft Entra基于证书的身份验证(CBA)使Microsoft Entra能够使用企业公钥基础设施(PKI)颁发的X.509证书对用户进行身份验证,证书存储在Active Directory、Microsoft Entra ID或两者中。 通过 Microsoft Entra CBA,客户可以简化系统,减少对本地组件的依赖性,因为不再需要使用 Active Directory 联合身份验证服务(AD FS)。
你可能会在组织中使用这些方法中的一种或多种。 有关详细信息,请参阅为 Microsoft Entra 混合标识解决方案选择正确的身份验证方法。 本文包含一个决策树,可帮助你决定如何选择这些方法。
密码哈希同步
Microsoft Entra ID 的最简单、最灵活的混合身份验证方式是密码哈希同步。 处理身份验证请求时,它没有任何本地标识基础结构依赖项。 将具有密码哈希的标识同步到 Microsoft Entra ID 后,用户可以对 Microsoft Entra 和云资源进行身份验证,且不依赖于本地标识组件。
如果选择此身份验证选项,即使本地标识组件不可用,您对 Microsoft Entra 和其他云资源的访问也不会中断。
如何实现 PHS?
若要实现 PHS,请参阅以下资源:
如果你的某些要求导致你不能使用 PHS,则可以使用直通身份验证。
直通身份验证
直通身份验证依赖于位于服务器上本地的身份验证代理。 持久性连接(或称为服务总线)存在于 Microsoft Entra ID 与本地 PTA 代理之间。 防火墙、承载身份验证代理的服务器以及本地 Windows Server Active Directory(或其他标识提供者)都是潜在的故障点。
如何实现 PTA?
为了实现直通身份验证,请参阅以下资源。
如果使用的是 PTA,请定义一个高度可用的拓扑。
联合
联合身份验证涉及在 Microsoft Entra ID 与联合身份验证服务之间创建信任关系,其中包括终结点、令牌签名证书和其他元数据的交换。 请求进入 Microsoft Entra ID 时,它会读取配置,并将用户重定向到配置的终结点。 此时,用户将与联合身份验证服务进行交互,后者会发出由 Microsoft Entra ID 验证的 SAML 断言。
下图显示了企业 AD FS 部署的拓扑,该部署包含跨多个本地数据中心的冗余联合身份验证和 Web 应用程序代理服务器。 此配置依赖于企业网络基础结构组件,例如 DNS、具有地理关联功能的网络负载均衡和防火墙。 所有本地组件和连接都容易出现故障。 有关详细信息,请访问 AD FS 产能规划文档。
注意
联合身份验证存在大量本地部署的依赖项。 虽然此图显示的是 AD FS,但其他本地标识提供者可能会根据类似的设计注意事项来实现高可用性、可伸缩性和故障转移。
如何实现联合身份验证?
如果要实现联合身份验证策略,或者想使其更易复原,请参阅以下资源。
- 什么是联合身份验证
- 联合身份验证的工作原理
- Microsoft Entra 联合身份验证兼容性一览
- 遵循 AD FS 产能规划文档
- 在 Azure IaaS 中部署 AD FS
- 同时启用 PHS 和联合
后续步骤
面向管理员和架构师的复原能力资源
- 利用凭据管理构建复原能力
- 使用设备状态构建复原能力
- 使用连续访问评估 (CAE) 构建复原能力
- 构建外部用户身份验证的复原能力
- 使用并置用户为联合应用程序构建复原能力
- 利用应用程序代理构建应用程序访问的复原能力