Azure Active Directory – käyttäjätietojen hallintaa pilvessä

Pilvi-infrastruktuuri

Yksi modernin IT-ympäristön keskeisiä komponentteja on hakemisto, johon tallennetaan käyttäjätiedot ja jonka avulla käyttäjä myös tunnistetaan eli autentikoidaan. Perinteisessä paikallisessa Microsoft-ympäristössä tätä tehtävää on Windows 2000:sta lähtien hoitanut Active Directory –hakemisto. Active Directorystä eli AD:sta on muodostunut organisaation IT-infrastruktuurin keskeinen komponentti, ja se on käytössä useimmissa organisaatioissa.

Microsoftin pilvipalveluissa samat tehtävät, eli käyttäjätietojen (ja myös monien palvelujen kokoonpanoon liittyvien tietojen) tallentamisen ja käyttäjän tunnistamisen, hoitaa Azure Active Directory –hakemisto (Azure AD). Azure AD on Active Directoryn kaltainen, jaettu pilvihakemisto, johon Microsoftin antamien tietojen mukaan on tallennettu useita satoja miljoonia käyttäjäobjekteja ja joka hoitaa miljardeja yksittäisiä tunnistustapahtumia päivittäin.

Azure AD:hen on Microsoftin antamien tietojen mukaan on tallennettu useita satoja miljoonia käyttäjäobjekteja, ja se hoitaa miljardeja yksittäisiä tunnistustapahtumia päivittäin.

Azure AD:sta lohkaistaan kullekin asiakkaalle oma asiakaskohtainen hakemisto, jota kutsutaan Azure AD -tenantiksi. Tämä tenantti on varattu vain tämän asiakkaan käyttöön, ja kunkin tenantin käyttäjät näkevät vain samassa tenantissa olevat tiedot, ja tenantin pääkäyttäjä voi hallita vain oman tenanttinsa tietoja. Asiakkaalla voi myös olla useita Azure AD -tenantteja eri tarkoituksiin.

Monet asiakkaat hyödyntävät jo Azure AD -hakemistoa: jokainen Office 365-, CRM Online- tai Intune-ympäristö rakentaa käyttäjähallintansa Azure AD:n varaan, ja lisäksi palvelut tallentavat Azure AD:hen myös erilaisia kokoonpanotietoja. Useimmissa ympäristöissä Azure AD ja paikallinen Active Directory yhdistetään toisiinsa, vähintäänkin hakemistosynkronoinnin kautta, eli synkronoimalla paikalliseen AD:hen määritetyt käyttäjätiedot Azure AD:hen. Tämän lisäksi hakemistojen välille voidaan määrittää myös federointi käyttämällä Windows-palvelimen ADFS-palvelua (Active Directory Federation Service), jolloin käyttäjätiedot tarkistetaan ja käyttäjä tunnistetaan paikallisesta AD-hakemistosta.

Näitä perustoimintoja laajentamaan Azure AD:hen on viimeisen puolen vuoden aikana tuotu runsaasti lisätoiminnallisuutta. Nämä lisätoiminnot voidaan karkeasti jakaa kolmeen eri ryhmään:

  • Käyttäjän itsepalvelutoiminnot – jos käyttäjä unohtaa salasanansa, voi hän itse resetoida sen käyttämällä Azure AD:n resetointipalvelua. Ja käyttäjän itselleen määrittämä uusi salasana voidaan myös synkronoida takaisin paikalliseen AD:hen. Kirjoitin salasanan resetoinnista erillisen blogiartikkelin viime vuoden lopulla. Käyttäjän itsepalvelutoimintoihin kuuluu myös ryhmien hallinta, jonka avulla käyttäjä voi itse luoda uusia käyttäjäryhmiä ja hallita niitä.

  • Käyttäjän tunnistustoiminnot – käyttäjän tunnistustoimintoa voidaan laajentaa käyttämällä MFA-tunnistusta (Multi-Factor Authentication), jonka avulla perinteiseen käyttäjätunnukseen ja salasanaan perustuvaan tunnistukseen voidaan liittää esimerkiksi tekstiviestiin tai mobiilisovellukseen perustuva lisätunnistus.

    MFA-tunnistusta voidaan hyödyntää sekä pilvisovellusten, kuten Office 365:n yhteydessä, että paikallisten sovellusten, kuten SSL-VPN-yhteyksien kanssa. Azure AD –hakemistoon voidaan myös määrittää sovelluksia, joiden käyttäjätunnistus tehdään Azure AD:n avulla. Nämä sovellukset voivat olla pilvisovelluksia (kuten Office 365, ServiceNow tai SalesForce) tai asiakkaan omia liiketoimintasovelluksia.

  • Raportointitoiminnot – pääkäyttäjä voi hakea Azure AD:n käytöstä monenlaisia raportteja. Näiden raporttien avulla voidaan myös tunnistaa erilaisia käyttäjätunnusten käyttöön liittyviä tietoturvariskejä.

Azure AD –hakemistoon voidaan myös liittää laitteita, esimerkiksi erilaisia mobiililaitteita. Microsoftin Intune-mobiilihallintapalvelu hyödyntää tätä ominaisuutta mobiililaitteiden rekisteröintiin ja laitteisiin kokoonpanotietojen tallentamiseen. Laitteeseen voidaan Intunen kautta kohdistaa erilaisia määrittelytiedostoja eli policyjä. Laitetietoja voidaan käyttää yhdessä käyttäjän tunnistuksen kanssa määrittämään, pääseekö käyttäjä laitteella käyttämään jotain tiettyä palvelua.

Tätä kutsutaan ehdollistetuksi käytöksi, eli Conditional Accessiksi, ja sen avulla voidaan esimerkiksi määrittää, että Office 365:n Exchange-sähköpostiin tai SharePoint-palveluita voi käyttää ainoastaan laitteella, johon on määritetty nelinumeroinen PIN-koodi ja jossa laitteen tallennustila on salattu. Ja Windows 10:n myötä uudella Windowsilla varustettuun työasemaan voidaan myös kirjautua käyttämällä Azure AD –käyttäjätunnusta.

Azure AD -hakemisto ei myöskään ole rajattu vain yksittäisen organisaation käyttöön. Hakemistoon voidaan tallentaa myös organisaation ulkopuolisille käyttäjille tarjottavan sovelluksen käyttäjätietoja. Lähitulevaisuudessa Azure AD:sta tulee erityisesti tähän tarkoitukseen suunnattu versio, Azure AD B2C (Business to Consumer), mutta B2C-toiminnoista lisää myöhemmin.

Azure AD:sta on olemassa useita eri versiota, ja näiden versioiden välillä on eroja niin kustannuksissa kuin toiminnallisuudessakin. Lisätietoja eri versioista ja niiden tarjoamasta toiminnallisuudesta löydät täältä.

Azure AD tarjoaa monipuoliset mahdollisuudet käyttäjä-, laite- ja kokoonpanotietojen tallentamiseen ja hyödyntämiseen pilviympäristöissä. Jos haluat lisää tietoa Azure AD.n tarjoamista mahdollisuuksista, ota yhteytttä – kerromme mielellämme lisää!