ra2 studio - stock.adobe.com
Wie unterscheiden sich Active Directory und Azure AD?
Viele Firmen glauben, sich zwischen einem lokalen Active Directory und Azure AD entscheiden zu müssen. Dabei gibt es verschiedene Kombinationsmöglichkeiten, die sie nutzen können.
Was ist besser, ein On-Premises eingerichtetes Active Directory oder Azure AD? Weil sich immer mehr Cloud-Dienste auch in traditionellen Data-Center-Umgebungen ausbreiten, ist die Entscheidung bei dieser Frage nicht leicht zu treffen.
Auch wenn die Active Directory Domain Services (AD DS) und Microsoft Azure Active Directory sehr ähnlich aussehen, sind sie nicht austauschbar und es gibt ein paar wesentliche Abweichungen. Administratoren, die einen Wechsel zum Azure Active Directory (Azure AD) für die von ihnen benötigte Authentifizierung und Autorisierung in Erwägung ziehen, müssen genau verstehen, wie sich die Cloud-basierte Plattform von einem traditionellen, von-lokal eingerichteten Active Directory (AD) unterscheidet.
Unterscheidungsmerkmale zwischen einem lokalen AD und Azure AD
Ein lokales Active Directory ist zunächst eine Kombination aus mehreren Diensten, um Nutzer und Systeme zu verwalten. Zu diesen gehören unter anderem die Active Directory Domain Services sowie die Active Directory Federation Services (AD FS). AD DS ist dabei die zentrale Datenbank, die alle Verzeichnisdienste zur Verfügung stellt. AD DS ist also der eigentliche Kern eines Active Directory.
AD nutzt ein auf X.500 aufsetzendes hierarchisches Framework und bekannte Werkzeuge wie das Domain Name System (DNS), um Assets aufzuspüren und zu managen. Das Lightweight Directory Access Protocol (LDAP) dient dabei dazu, sowohl lokale als auch im Internet verfügbare Verzeichnisse zu verwalten. Kerberos und der NT LAN Manager (NTLM) werden wiederum eingesetzt, um für eine sichere Authentifizierung zu sorgen. AD unterstützt darüber hinaus die Nutzung von Organizational Units (OUs) und Gruppenrichtlinien-Objekten (Group Policy Objects, GPOs), um die vorhandenen Bestandteile und Untereinheiten zu organisieren und zu managen.
Das Azure Active Directory ist dagegen ein Verzeichnisdienst aus der Cloud, den Microsoft anbietet. Das Identitäts-Management wird dabei über das Internet und die Protokolle HTTP (Hypertext Transfer Protocol) sowie HTTPS (Hypertext Transfer Protocol Secure) abgewickelt. Die flache Struktur von Azure AD bietet jedoch keine OUs und GPOs. Dadurch ist es nicht möglich, eine Struktur auf Basis mehrerer Organisationen zu nutzen, wie es mit einem lokalen AD umsetzbar ist.
Anstelle von Kerberos verwendet Azure AD Authentifizierung und Security-Protokolle wie die Security Assertion Markup Language und Open Authorization. Dazu kommt, dass die AD Graph API den Cloud-Dienst Azure AD anstelle von LDAP nutzt.
Strukturelle Unterschiede zwischen Azure AD und AD DS
Microsoft Azure Active Directory kann nicht dieselben Domains, Trees und Forests erstellen und verwalten, wie es mit AD DS möglich ist. Stattdessen behandelt Azure AD jede Organisation wie einen eigenen Mieter, der auf Azure AD über das Azure-Portal zugreift, um dort seine Mitarbeiter, Passwörter und Zugriffsrechte zu verwalten.
Unternehmen, die sich für einen der Cloud-Dienste von Microsoft entscheiden, seien es Office 365 oder Exchange Online, sind Mieter beziehungsweise Abonnenten von Azure AD. Dabei unterstützt der Dienst auch ein Single Sign-On, so dass die Anwender die verschiedenen angebotenen Services direkt nach dem Login nutzen können.
Zudem unterscheidet sich auch Microsoft Azure Active Directory von den Azure Active Directory Domain Services. So hat Azure AD eindeutig weniger Funktionen als ein On-Premises eingerichtetes Active Directory. Azure AD DS ist aber ein umfassender Domänen-Controller, der unter anderem LDAP, Domain Joining sowie eine Authentifizierung via Kerberos und NTLM unterstützt. Azure AD DS ist deswegen die vollständigere Version von Active Directory in der Azure-Cloud.
Wann eine Kombination aus AD DS und Azure AD sinnvoll ist
Administratoren haben zwei Möglichkeiten: Sie können AD DS und Azure Active Directory entweder separat oder auch gemeinsam als ein AD nutzen. So kann zum Beispiel eine in der Cloud gehostete Anwendung auf ein lokales AD zugreifen. Das kann aber zu Verzögerungen im Netzwerk führen, wenn Authentifizierungsanfragen zwischen Azure und dem lokalen AD DS hin und her gesendet werden.
Es bietet sich für Unternehmen mehrere Wege an, wenn es darum geht, AD in Azure zu integrieren. So können sie etwa Azure AD Connect nutzen, um eine Domäne in Azure einzurichten, die mit der lokalen AD-Domäne zusammenarbeitet. Dadurch entsteht eine gemeinsame Vertrauensbasis für die beiden Domänen.
Alternativ kann eine IT-Abteilung ihr lokales AD DS nach Azure erweitern, indem sie den bisherigen Domänen-Controller in eine virtuelle Maschine (VM) in Azure migriert. Das ist eine der häufiger genutzten Methoden für Unternehmen, die sowohl lokale als auch in Azure vorhandene Ressourcen haben, die mit einem VPN (Virtual Private Network) oder einer dedizierten Verbindung via ExpressRoute miteinander verknüpft sind.
Darüber hinaus gibt es noch weitere Möglichkeiten, um eine Kombination aus Cloud-basierten und On-Premises vorhandenen Verzeichnisdiensten zu nutzen. Beispielsweise können Admins eine Domäne in Azure einrichten und dann mit ihrem lokalen AD Forest verbinden. Ein Unternehmen kann auch einen eigenen Forest in Azure einrichten, dem dann der lokale Forest vertraut. Nicht zuletzt können die Admins auch AD FS verwenden, um ein lokales AD DS nach Azure zu replizieren.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!