logo

Trabajemos juntos

Contanos más sobre tu proyecto, nos pondremos en contacto lo antes posible.

Email

info@genbyte.com.ar

,

¿Qué es Azure Active Directory?

  • By Ezequiel Godoy
  • octubre 13, 2020

Azure Active Directory (de ahora en más Azure AD) es la solución de Microsoft para la gestión de identidad y acceso en la nube. En Windows 2000 Microsoft introdujo los servicios de dominio de Active Directory (que con el fin de abreviar llamaremos AD) para brindar a las organizaciones la capacidad de administrar la infraestructura local utilizando una sola identidad por usuario. Azure AD lleva este enfoque al siguiente nivel brindando a las organizaciones “identidad como servicio” (IDaaS o “Identity as a Service”).

Active Directory en Windows 2000

En otras palabras, Azure AD  ayuda a los colaboradores a iniciar sesión y acceder a:

  • Recursos externos: como Microsoft Office 365, el portal de Azure y miles de aplicaciones SaaS
  • Recursos internos: aplicaciones dentro de las red corporativa en internet, así como también cualquier aplicación en la nube desarrollada por su organización.

Diferencias entre Azure AD y AD

Usuarios

ConceptoActive DirectoryAzure Active Directory
Gestión administrativaLas organizaciones utilizan una combinación de dominios, unidades organizativas y grupos para delegar privilegios administrativos y así administrar el directorio y sus recursosEn Azure AD existe roles incorporados (con soporte limitado de creación de roles personalizados) para delegar acceso con privilegios al sistema de identidad, aplicaciones y recursos. Esta administración puede ser mejorada utilizando “Privileged Identity Management (PIM)” para proporcionar acceso justo a tiempo, con restricciones de tiempo o basado en flujo de trabajo con roles privilegiados.
Gestión de credencialesLas credenciales en AD se basan en contraseñas (administradas mediante políticas que definen la cantidad de caracteres, complejidad y expiración), autenticación con certificados y autenticación con smartcard.Azure AD utilizada protección inteligente de contraseñas tanto en la nube como en sitio. La protección incluye bloqueo inteligente, bloqueo de frases, contraseñas comunes, etc. Azure AD aumenta significativamente la seguridad a través de la autenticación de múltiples factores (MFA ) y tecnologías sin contraseña, como FIDO2. Azure AD reduce los costos de soporte proporcionando a los usuarios un sistema de autoservicio para el restablecimiento de contraseñas.

Aplicaciones

ConceptoActive DirectoryAzure Active Directory
InfraestructuraActive Directory forma la base de muchos componentes de infraestructura local, por ejemplo, acceso a DNS, DHCP, IPSec, WiFi, NPS y VPN.En un nuevo mundo de los servicios en la nube, Azure AD es el nuevo plano de control para acceder a las aplicaciones. Cuando los usuarios se autentican, el acceso condicional (CA) controlará qué usuarios tendrán acceso a qué aplicaciones en las condiciones requeridas (por ejemplo nivel de seguridad del SO o del antivirus).
SaaSActive Directory no admite aplicaciones SaaS de forma nativa y requiere sistemas de federación, como AD FS.Las aplicaciones SaaS que admiten la autenticación OAuth2, SAML y WS-* se pueden integrar para usar Azure AD. Es decir, casi todas las aplicaciones SaaS de hoy en día.

Dispositivos

ConceptoActive DirectoryAzure Active Directory
MóvilesActive Directory no es compatible de forma nativa con dispositivos móviles sin soluciones de terceros.La solución de administración de dispositivos móviles de Microsoft, Microsoft Intune, está integrada con Azure AD. Microsoft Intune proporciona información sobre el estado del dispositivo al sistema de identidad para que la evalúe durante la autenticación.
EscritorioAD brinda la capacidad de unir al dominio dispositivos Windows para administrarlos mediante directivas de grupo, System Center Configuration Manager (SCCM) u otras soluciones de terceros.Los dispositivos con Windows 10 se pueden unir a Azure AD. El acceso condicional puede comprobar si un dispositivo está unido omo parte del proceso de autenticación. También se pueden administrar con Microsoft Intune. En este caso, el acceso condicional considerará si un dispositivo cumple los requisitos (por ejemplo, parches de seguridad actualizados y firmas de virus) antes de permitir el acceso a las aplicaciones.

¿Qué  es Azure Active Directory?

La definición de Azure AD no se reduce a decir que es la versión en la nube de AD como el nombre puede sugerir. Aunque realiza algunas de las mismas funciones, es bastante diferente.

Azure AD es un almacén de autenticación en línea seguro, que puede contener usuarios y grupos. Los usuarios tienen un nombre y contraseña que se usan cuando inician sesión en una aplicación que usa Azure AD para la autenticación. Por ejemplo, todos los servicios de Microsoft Cloud utilizan Azure AD para la autenticación: Office 365, Dynamics 365 y Azure. Si utilizamos Office 365, ya estamos usando Azure AD.

Además de administrar usuarios y grupos, Azure AD administra el acceso a aplicaciones que funcionan con mecanismos de autenticación modernos como SAML y OAuth. Las aplicaciones son un objeto que existe en Azure AD y esto le permite crear una identidad para sus aplicaciones (o de terceros) a la que puede otorgar acceso a los usuarios. Con Azure AD no solo puede conectarse sin problemas a cualquier servicio en línea de Microsoft, sirve también para miles de aplicaciones SaaS (por ejemplo, Salesforce, Slack, ZenDesk, etc.) mediante un inicio de sesión único.

Diagrama de Azure AD Connect. Un un nuevo agente de Microsoft diseñado para cumplir objetivos de identidad híbrida para la sincronización de usuarios, grupos y contactos en Azure AD. Fuente: Documentación de Microsoft.

En comparación con AD, en Azure AD no existen:

  • Funciones de unir equipos de la misma manera
  • Política de grupo
  • Soporte para LDAP, NTLM o Kerberos
  • Unidades organizativas ni bosques, es una estructura de directorio plana

Ninguno de los puntos anteriores es un desventaja, son simplemente diferencias.

¿Cuándo usar AD en la nube?

Si nuestra organización utiliza aplicaciones y servicios que necesitan  acceso a mecanismos de autenticación tradicional como Kerberos o NTLM, vamos a necesitar utilizar AD. Hay dos formas de hacerlo en la nube:

  • Dominio administrado: se crea utilziando Azure Active Directory Domain Services (Azure AD DS, no confundir con Azure AD). Con este servicio, Microsoft crea y administra los recursos necesarios.
  • Dominio autoadministrado: se crea y configura utilizando recursos tradicionales como máquinas virtuales, Windows Server y los servicios de dominio de Active Directory. Tal como lo haríamos en sitio.

¿No está seguro de que alternativa se ajusta a su organización? Contáctenos y reciba la asistencia de nuestros técnicos.

Con la primer solución, Azure AD DS, Los servicios son implementados y administrador por Microsoft como parte de una experiencia de dominio administrado. No existe la necesidad de aplicar parches de seguridad ni administrar la infraestructura necesaria por nuestra parte. Como contrapartida, ofrece solo un subconjunto de las características que tradicionalmente tendríamos disponibles. Esto también reduce parte del diseño y complejidad asociados. Por ejemplo no existen los bosques, sitios, replicación, etc.

Para las aplicaciones y servicios que se ejecutan en la nube y necesitan acceso a mecanismos de autenticación tradicionales como Kerberos o NTLM, Azure AD DS proporciona una experiencia de dominio administrado con la mínima cantidad de gastos administrativos.

Cuando implementamos y ejecutamos un entorno AD autoadministrado, debemos mantener toda la infraestructura asociada y los componentes de directorio. Hay una carga adicional de mantenimiento, pero como beneficio se pueden aprovechar funcionalidades adicionales como extender el esquema o crear relaciones de confianza.

¿Cuándo usar AD y cuándo Azure Active Directory?

Si tenemos una configuración local tradicional con AD y también utilizamos Azure AD para administrar el acceso a las aplicaciones en la nube (por ejemplo, Office 365 o cualquiera de las miles de aplicaciones SaaS), entonces podemos usar ambas. En este caso la mejor opción tal vez sea sincronizar AD con Azure AD para que los usuarios solo tengan un conjunto de credenciales que usen tanto para el inicio de sesión en la red como para el acceso a Office 365.

Si en cambio administramos una empresa nueva o una que está buscando dejar de tener una infraestructura local tradicional y usar aplicaciones puramente basadas en la nube, entonces puede operar únicamente con Azure AD sea la mejor opción.

Si nuestro objetivo es migrar completamente a la nube, pero no todas nuestras aplicaciones funcionan como SaaS y algunas aún deben ejecutarse servidores propios, tenemos la opción de migrarlas a máquinas virtuales (VM) en Azure. Esas máquinas virtuales pueden utilizar Azure Active Directory Domain Services (Azure AD DS), que es un servicio PaaS (no tiene lo tiene que administrar el sector de TI) para unirse al dominio de máquinas virtuales de Azure. Azure AD DS se sincroniza automáticamente con Azure AD para que todos sus usuarios obtengan el acceso a la aplicación que desea.

En cualquier escenario, tener solo AD localmente deja de ser una opción para casi cualquier organización mdoerna.

Conclusión

En resumen, Azure AD no es simplemente una versión en la nube de AD, hacen cosas bastante diferentes. AD es excelente para administrar la infraestructura y las aplicaciones locales tradicionales. Azure AD es excelente para administrar el acceso de los usuarios a las aplicaciones en la nube. Puede usar ambos juntos, o si desea tener un entorno puramente basado en la nube usando Azure AD.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.