top of page
Buscar
Foto do escritorigor assunção soares
31 de ago. de 20234 min de leitura

Conheça mais sobre o Azure Active Directory (Entra ID)





O que é o Azure Active Directory?

O Azure Active Directory, que está se tornando o Microsoft Entra ID, é um serviço em nuvem de diretório da Microsoft, semelhante ao Active Directory, mas com diferenças estruturais. Esse serviço de diretório provê funcionalidades que auxiliam na gestão de identidades e acessos que acessam os recursos da própria Azure, Microsoft 365 e também aplicações externas integradas a Azure.

Para prover a segurança do ambiente e fazer uma boa gestão de identidades e acessos o Azure AD disponibiliza os seguintes recursos:

  • Azure AD SSO: o Azure AD Single Sign-On (SSO) é um recurso que permite acesso a serviços em nuvem e locais, usando um único conjunto de credenciais de autenticação. Com o SSO os usuários não precisam fazer o login separadamente em cada aplicativo, uma vez autenticados no Azure AD, os usuários podem acessar os recursos da própria Azure e os aplicativos integrados de forma automática, sem a necessidade de inserir suas credenciais novamente;

  • Conditional Access: o acesso condicional é um recurso que permite a aplicação de políticas de acesso com base em diversos fatores, como: tipo de dispositivo utilizado, usuários e grupos específicos, riscos dos acessos, geolocalização, lista de reputação de IP e outros fatores. Baseado nesta análise é possível exigir desde múltiplos fatores de autenticação (MFA) até o bloqueio do acesso de forma definitiva;

  • Self Service Password Reset (SSPR): é um portal de redefinição de senha por autoatendimento que reduz o volume operacional das solicitações de redefinição de senhas de usuários e aumenta a segurança por prover, de forma tempestiva, a redefinição de senha em casos de suspeitas e esquecimentos;

  • Identidade híbrida: esse recurso é uma das maiores vantagens do Azure AD para os clientes Microsoft que já possuem um ambiente on-premise, estruturado e com o AD DS (Active Directory Services Domains) implementado. A Microsoft desenvolveu um agente chamado Azure AD Connect que possibilita o provisionamento e sincronização das identidades do AD DS para Azure AD de forma automática. Com isso, é possível manter um ambiente híbrido (cloud e on-premise) com as identidades híbridas autenticando em serviços de nuvem ou serviços on-premises em um portal único de acesso (SSO);

  • Identidades Externas (B2B e B2C): é a possibilidade de interação com parceiros, fora da organização, de forma mais segura e fácil. Para usufruir desse recurso é necessário que uma organização confie em um parceiro externo através da federação moderna. Após a relação de confiança estabelecida, parceiros externos podem ser convidados a fazer parte do diretor da organização (Azure AD) sem a necessidade da criação de identidades por parte da organização que convida.


Por que o Azure AD Connect é tão importante?

O Azure AD Connect é um agente da Microsoft, configurado em um servidor Windows, que permite a sincronização de identidades entre um ambiente on-premise (Active Directory Domain Services) e o Azure AD. Isso permite que as contas de usuário, grupos e outros objetos sejam sincronizadas automaticamente, facilitando a autenticação, experiência do usuário e o gerenciamento de identidades e acessos. Ele também ajuda a garantir que as informações das contas e identidade estejam consistentes em ambos os ambientes, possibilitando o uso de uma única credencial para acessar recursos locais e em nuvem, desde que o PTA (Pass-through Authentication) esteja configurado.


Como aproveitar os recursos de um ambiente Microsoft híbrido?

Na figura abaixo, foi desenhado um cenário bastante comum em pequenas e médias organizações, onde é possível observar duas estruturas: uma estrutura cloud e outra on-premise. Essas estruturas estão integradas e sincronizadas de forma coesa e consistente com o auxílio do Azure AD Connect. Para manter essa estrutura de sincronização disponível e resiliente é muito importante garantir que os controles de segurança das redes internas, redes externas e os recursos tecnológicos estejam bem implementados.

Abaixo, será explorada, de forma resumida, cada ação que normalmente ocorre em um ambiente híbrido da Microsoft (Azure AD + AD DS):



Ambiente local (on-premise)

  1. Fonte Autoritativa: os atributos necessários para a composição das identidades são enviados pelo sistema de Pessoas (RH) para o sistema de governança de identidades e acessos (IGA - Identity and Governance Access);

  2. IGA: o serviço de governança de identidades e acessos forma as identidades e cria contas de usuários no serviço de diretório local (AD DS);

  3. AD DS: o serviço de diretório local faz o papel de autenticação e autorização para os serviços on-premise;

  4. Azure AD Connect (1): o Azure AD Connect atua como agente de sincronização entre o Azure AD e AD DS;

  5. Azure AD Connect (2) : o agente de sincronização envia informações das contas de usuários e grupos locais para o Azure AD;

  6. VPN Site to site: para manter a sincronização e acessos a serviços de forma segura, o túnel VPN é ativado;

  7. Autenticação: o usuário on-premise tenta autenticar no Azure AD e o desafio de MFA é acionado;

  8. Acesso Condicional: a política de acesso condicional identifica o IP dentro da faixa corporativa e autoriza o acesso às aplicações do O365 e aos serviços hospedados no Azure ou algum outro critério condicional definido;

  9. Autorização: o usuário on-premise é autorizado a usar as aplicações do O365 e os serviços hospedados no Azure.

Ambiente cloud (Azure)

  1. Autenticação: o usuário em home office autêntica no Azure AD e o desafio de MFA é acionado;

  2. Acesso Condicional: a política de acesso condicional identifica IP fora da faixa corporativa e autoriza apenas o acesso às aplicações do O365;

  3. Autorização: o usuário em home office é autorizado a usar apenas os aplicativos do O365.

Quais os benefícios em utilizar o Azure AD?

No cenário acima, é importante ressaltar que a utilização do Azure AD em um ambiente híbrido pode agregar muitos benefícios a uma organização como:

  • Redução de custos por utilizar tecnologias e serviços de IAM da Microsoft já embutidos no licenciamento;

  • Permite que se centralize o gerenciamento de identidade de seus usuários e grupos, independente de onde essas identidades estejam localizadas (locais, nuvem, aplicativos SaaS etc.);

  • Oferece recursos avançados de segurança, como autenticação multifator (MFA), que adiciona uma camada adicional de proteção além das senhas tradicionais. Ele também suporta autenticação baseada em políticas, controle de acesso condicional e detecção de comportamento suspeitos das identidades;

  • Oferece recursos de relatórios e auditoria que ajudam a monitorar atividades de acesso, detectar possíveis violações de segurança e manter a conformidade com regulamentos;

  • Redução da carga operacional da equipe de IAM e infraestrutura por permitir autosserviço e sincronização de fácil implementação;

  • Ambiente mais seguro por utilizar protocolos criptografados para integração e sincronização dos serviços de IAM entre as plataformas;

  • Ambiente com maior disponibilidade por permitir a utilização de tecnologias de sincronização modernas para ambientes híbridos;

  • Melhor experiência ao permitir que os usuários trabalhem de forma prática, colaborativa, segura e em qualquer lugar.


0 comentário

Posts recentes

Ver tudo

Comments

bottom of page