Pilar 1 – Autenticação

Escolha o método de autenticação certo para sua solução de identidade híbrida do Azure Active Directory

Nesta postagem vamos explorar sobre os diversos cenários de autenticação hibrida e assim vamos analisar o nosso primeiro pilar, AUTENTICAÇÃO.

O Microsoft 365 usa o Azure Active Directory (Azure AD), um serviço de autenticação e identidade de usuário baseado em nuvem que está incluído em sua assinatura do Microsoft 365, para gerenciar identidades e autenticação para Microsoft 365. Configurar sua infraestrutura de identidade corretamente é essencial para gerenciar Microsoft 365, acesso de usuário e permissões para sua organização.

Autenticação, Identidade – não existe segurança cibernética sem esses controles.

A escolha do método de autenticação correto é a primeira preocupação de segurança que as organizações deveriam ter.

Podemos citar as seguintes razões para embasar nossas decisões técnicas sobre autenticação:

  1. É o primeiro assunto, a primeira preocupação, para uma organização que quer se mover ou continuar com serviço de nuvem.
  2. Autenticação é um componente crítico da presença da organização no ambiente de nuvem, com a autenticação correta podemos controlas todos os acessos aos dados e recursos que a organização possui
  3. É a base de todos os outros recursos de segurança cibernética.

A identidade é o novo plano de controle da segurança de TI, por isso a autenticação é um protetor de acesso de uma organização ao novo mundo da nuvem. As organizações precisam de um plano de controle de identidade que fortaleça sua segurança e mantenha seus aplicativos em nuvem a salvo de intrusos.

Modelos de identidade de nuvem da Microsoft

As contas de usuários precisam ser planejadas e para isso é necessário entender os dois modelos de identidade no Microsoft 365.

Você pode manter as identidades da sua organização somente na nuvem ou manter suas identidades do AD DS (Serviços de Domínio do Active Directory local) e usá-las para autenticação quando os usuários acessarem Microsoft 365 serviços de nuvem.

Aqui estão os dois tipos de identidade e seus melhores benefícios e ajuste.

AtributoIdentidade somente na nuvemIdentidade híbrida
DefiniçãoA conta de usuário só existe no locatário do Azure AD para sua Microsoft 365 assinatura.A conta de usuário existe no AD DS e uma cópia também está no locatário do Azure AD para sua Microsoft 365 assinatura. A conta de usuário no Azure AD também pode incluir uma versão com hash da senha de conta de usuário do AD DS já com hash.
Como Microsoft 365 autentica as credenciais do usuárioO locatário do Azure AD para sua assinatura Microsoft 365 executa a autenticação com a conta de identidade de nuvem.O locatário do Azure AD para sua assinatura Microsoft 365 manipula o processo de autenticação ou redireciona o usuário para outro provedor de identidade.
Melhor paraOrganizações que não têm ou precisam de um AD DS local.Organizações que usam o AD DS ou outro provedor de identidade.
Maior benefícioSimples de usar. Nenhuma ferramenta de diretório adicional ou servidores é necessário.Os usuários podem usar as mesmas credenciais ao acessar recursos locais ou baseados em nuvem.


Identidade somente na nuvem

Aqui estão os componentes básicos da identidade somente na nuvem.

A identidade apenas na nuvem utiliza a conta do usuário apenas no Azure AD, normalmente utilizada por pequenas empresas que não possuem ou não precisam de um ambiente local com AD DS para gerenciar as identidades locais.

A identidade apenas na nuvem utiliza a conta do usuário apenas no Azure AD, normalmente utilizada por pequenas empresas que não possuem ou não precisam de um ambiente local com AD DS para gerenciar as identidades locais

Os usuários locais e remotos (online) usam suas contas de usuário e senhas do Azure AD para acessar Microsoft 365 de nuvem. O Azure AD autentica credenciais de usuário com base em suas contas de usuário e senhas armazenadas.

Identidade híbrida

A identidade híbrida usa contas originadas em um AD DS local e tem uma cópia no locatário do Azure AD. A maioria das alterações, com exceção de atributos de conta específicos, flui apenas de uma maneira. As alterações feitas nas contas de usuário do AD DS são sincronizadas com a cópia no Azure AD.

O Azure AD Connect fornece a sincronização de conta contínua. Ele é executado em um servidor local, verifica se há alterações no AD DS e encaminha essas alterações para o Azure AD. Azure AD Connect fornece a capacidade de filtrar quais contas são sincronizadas e se deseja sincronizar uma versão com hash de senhas de usuário, conhecida como PHS (sincronização de hash de senha).

Quando você implementa a identidade híbrida, seu AD DS local é a fonte autoritativa para informações da conta. Isso significa que você executa tarefas de administração principalmente locais, que são sincronizadas com o Azure AD.

Aqui estão os componentes da identidade híbrida.

1 – Active Directory Domain Services

2 – Azure AD Connect

3 – Usuários Locais

4 – Usuários Remotos

5 – Azure AD

Identidade híbrida e sincronização de diretório para Microsoft 365

A depender das necessidades de negócios e obviamente dos requisitos técnicos a identidade híbrida e o caminho mais claro para todos.

A sincronização de diretório permite gerenciar identidades no Active Directory Domain Services (AD DS) e todas as atualizações de contas de usuário, grupos e contatos são sincronizadas com o locatário do Azure Active Directory (Azure AD) de sua assinatura do Microsoft 365.

Autenticação para identidade híbrida

Há dois tipos de autenticação ao usar o modelo de identidade híbrida:

  • Autenticação gerenciada

O Azure AD utiliza o processo de autenticação utilizando Hash de senha e\ou envia as credencias para um agente local a ser autenticada pelo AD DS.

  • Autenticação federada

O Azure AD redireciona o computador cliente solicitando autenticação para outro provedor de identidade.

Autenticação gerenciada

Há dois tipos de autenticação gerenciada:

  • Sincronização de hash de senha (PHS)
  • Autenticação de passagem (PTA)

Sincronização de hash de senha (PHS)

O PHS é o modelo mais simples para habilitar a autenticação dos usuários, com ele as contas locais são sincronizadas com o ambiente de nuvem (Azure AD) e você gerencia suas contas com o ambiente local (AD DS).

Autenticação de passagem (PTA)

O PTA fornece uma validação de senha simples para serviços de autenticação do Azure AD usando um agente de software em execução em um ou mais servidores locais para validar os usuários diretamente com o AD DS. Com o PTA, você sincroniza contas de usuário do AD DS com Microsoft 365 e gerencia seus usuários locais.

Exploramos um pouco os metodos de autenticação mais conhecidos do ambiente de nuvem Microsoft, nas proximas postagens vamos mostrar passo a passo como configurar esses metodos de autenticação.

Aguardo vocês na proxima, se achou interessante não esqueça de compartilhar!


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s