Windows Azure újdonságok – Identitás-kezelés a felhőben V.

Ahogy korábban olvasóinknak ígértük, igyekszünk folyamatosan frissíteni a blogot a könyv megjelenése után bejelentett Azure frissítésekkel és új szolgáltatásokkal, amik bizonyos időközönként bekerülnek majd a könyv elektronikus kiadásaiba is.Sok újdonsággal bővültek az Azure autentikációs szolgáltatásai is, így egy több részes blogbejegyzés sorozatban mutatjuk be az újdonságokat:

Az előző bejegyzések:

Hagyományos Windows Server AD telepítése IaaS virtuális gépekre

Ahogy a 8. ábrán láthatod, létre kell hozni egy virtuális hálózatot az Azure IaaS gépeink fölött és telepítenünk kell a felhőben lévő VM-einkre a Domain Controller-eket (DC). Az így létrehozott virtuális hálózatot biztonságos VPN kapcsolat segítségével tudjuk összekapcsolni a földi adatközpontunkkal.  A VPN-nel összekapcsolt földi és Azure-os gépeket egységbe foglaló hálózatban a DC-k különböző módokon kapcsolódhatnak egymáshoz:

  • lehetnek ugyanannak az AD domain-nek
  • létrehozhatsz külön domain-eket a saját adatközpontodban és a felhőben, melyek egy közös erdőhöz (forest) tartoznak
  • létrehozhatsz külön erdőket a felhőben és az adatközpontban, amiket később összekapcsolsz (cross-forest trust megoldásokkal vagy akár ADFS-sel)
8.ábra

8.ábra

Bármelyik lehetőséget is választjuk, a lehető legjobb teljesítmény elérése érdekében a hálózat üzemeltetőjének gondoskodnia kell arról, hogy a telephelyről indított autentikációs kérések először a helyben futó AD-hoz jussanak el és itt legyenek kiszolgálva – majd csak akkor forduljunk a felhőhöz, ha a telephelyen futó AD nem elérhető.

A hagyományos AD-k felhőbe telepítése többek közt az alábbi problémákra lehet jó megoldás:

  • Meglévő hibrid vállalati infrastruktúra esetében teljesítmény-okok miatt hasznos lehet, ha a felhőben futó VM-eiken is üzemeltetünk domain controller-t. Például egy felhőbe telepített SharePoint farm tipikusan olyan rendszer, ami gyakran intéz kéréseket az AD felé. Ezért sokat tud profitálni abból, ha az AD-t közvetlen a felhőből éri el és nem kell minden kérésével a földi adatközpont AD-jéhez fordulnia.
  • Egy, a világ minden táján sok irodát működtető vállalat esetében előfordulhat, hogy kisebb, eldugottabb irodáiban nem gazdaságos helyben saját DC-t üzemeltetnie. Ilyen esetekben gyorsabb lehet egy, az egy nagyobb régióban elszórtan működő irodához földrajzilag közelebb eső Azure adatközpontban futtatni egy Active Directory-t, mint ha minden AD-hez intézett kérés a távoli saját fő adatközpont felé kellene továbbítani
  • Adatközpontjaink hibatűrő képességét növelhetjük. A meghibásodásokra felkészülve a felhőben is tarthatunk fenn VM-eket, amiken az adatközpontban bekövetkező hiba esetén azonnal üzembeléptethető AD installáció van.

Ahogy a fenti három használati esetből is láthatod, a virtuális hálózatok kialakításával és konfigurálásával ez a megoldás a saját meglévő infrastruktúránk kiterjesztését valósítja meg. Így elsősorban üzemeltetők számára érdekes. Részletesebben ezért itt nem is foglalkozunk ezzel a témával. A következő URL-en olvashatsz a témáról bővebben:

http://msdn.microsoft.com/en-us/library/windowsazure/jj156090.aspx

Windows Azure Active Directory

A directory alapú rendszerek sokéves múlttal bíró, bevált megoldásokat jelentenek a nagyvállalati felhasználókezelésre. Ezért hasznos lenne, ha a felhőalkalmazásokból is hasonló hatékonysággal tudnánk használni őket, mint pl. a belső intranetről. A könyvben és az előző bekezdésekben olvashattál róla, hogy milyen kihívásokkal kell szembesülnünk, ha a hagyományos, telephelyünkön futó Windows Server AD-t szeretnénk rábírni a felhővel való együttműködésre. Láthattál erre megoldásokat is, mint az AD userek federálása az ADFS komponens segítségével, ill. az előző bekezdésben olvashattál a teljes Windows Server AD felhőbe költöztetéséről. Nagy vonalakban megismerhetted ezeknek az eljárásoknak a hiányosságait is, láthattad, milyen gyakorlati problémákra nem kínálnak megoldást.

Ha megnézzük, hogy mik a leggyakoribb funkciók, amiket egy enterprise felhőalkalmazás használni szeretne egy Active Directory-ból, akkor a kirajzolódó minta egészen egyszerű lesz. Két elkülönőlü használati esetet fogunk látni:

  1. Felhasználók autentikációja (Single Sign On élménnyel)
  2. Felhasználó-menedzsment, lekérdezések indítása az AD felé

A fenti két feladat megoldására jött létre a Windows Azure Active Directory (WAAD) szolgáltatás. Nevében szerepel az “Active Directory” kifejezés, és a legtöbb hagyományos AD-ből már ismert fogalom változatlanul él a WAAD-ban. Ugyanakkor fontos megérteni, hogy a WAAD maga is egy felhőszolgáltatás. Kialakításában az elsődleges szempont az volt, hogy az Azure egyszerűen provizionálható, PaaS-jellegű identitás-kezelési megoldást tudjon nyújtani a felhőalkalmazásaink számára. A két fő célja az autentikáció és a user-menedzsment megvalósítása. A hangsúly tehát a funkciókon van, a WAAD nem egy infrastruktúra-szolgáltatás. Látni fogod, hogy hasonlóan a Windows Server AD-hez felhasználókat tudsz felvenni, csoportokat alakíthatsz ki köztük stb. De fontos szem előtt tartani, hogy a WAAD nem egy felhőben üzemeltetett Domain Controller. Ennek eredményeként nincs lehetőséged arra, hogy egy fizikai PC-t csatlakoztass egy WAAD domain-hez. Ha “machine fleet management” megoldásra van szükséged, akkor a WAAD nem a számodra megfelelő megoldás – ebben az esetben a hagyományos Windows Server AD-t kell választanod.

 

Ezeket az újdonságokat Te is kipróbálhatod! Regisztrálj az ingyenes, 90 napos Azure előfizetésre!

Advertisements

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

Gravatar
WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kilépés

Kapcsolódás: %s