在Office365身份管理中我们可以有几种交换权限的选择。在密码同步(Password Synchronization)和ADFS的对决中,哪种工具更胜一筹,更能满足您的需求呢? 去年,微软更新了它的Windows Azure Active Directory同步工具DirSync,它包含一项名为密码同步(Password Synchronization)的功能帮助组织同步最终用户的密码。然而在此次更新之前,Active Directory Federation Services(ADFS)是Office 365最终用户使用密码接入服务的唯一选择。 为了帮助大家决定到底哪种密码同步功能更加适……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在Office365身份管理中我们可以有几种交换权限的选择。在密码同步(Password Synchronization)和ADFS的对决中,哪种工具更胜一筹,更能满足您的需求呢?
去年,微软更新了它的Windows Azure Active Directory同步工具DirSync,它包含一项名为密码同步(Password Synchronization)的功能帮助组织同步最终用户的密码。然而在此次更新之前,Active Directory Federation Services(ADFS)是Office 365最终用户使用密码接入服务的唯一选择。
为了帮助大家决定到底哪种密码同步功能更加适合,让我们近距离地观察DirSync的密码同步功能与ADFS各自的选项,并进行比较。
密码同步与ADFS的区别
在深入探讨密码同步的特性之前,大家必须明白比较ADFS与密码同步的功能在技术层面的关键区别就像比较苹果和橙子一样。这两款工具在最终用户体验上如出一辙。举例来说,它们都支持最终用户用他们的密码来接入Office 365服务。
但ADFS在工作原理上与密码同步完全不同,描述这种差别最好的办法便是执行一遍各自的登陆过程。
想象某个情景中一个最终用户登录到Office 365的门户(portal.microsoftonline.com),如果该账号是联合的且使用ADFS,那么将会发生如下情况:
1.用户在用户名框中输入他的用户名(用户主体名称)。
2.用户名被输入后,Office 365将会检查源自用户主体名称中的域名是属于普通域还是联合域。
3.当验证平台,即Windows Azure发现该域是联合域的同时将重定向用户的浏览器到它们的ADFS端点去“获取”一个AD FS令牌。
4.用户向ADFS服务器进行验证,这是对活动目录进行验证,如果凭据是合法的,用户将从ADFS收到一枚登陆令牌。最终用户将被重定向到Office 365的验证平台。
5.Windows Azure验证平台将立即接受ADFS令牌并且使用它来验证最终用户。
6.最终用户通过验证并且被重定向到门户。
密码同步功能下的过程却与此不同。与上述景中关键差异之处在于使用ADFS时,预置的主动目录作为身份提供者并验证凭据。与ADFS不同的是,Windows Azure在密码同步作为身份提供者,因为它会比照自身数据库中的已知值来检验证用户的凭据。
1. 用户在用户名框中输入他的用户名(用户主体名称)。
2. 用户名被输入后,Office 365将会检查源自用户主体名称中的域名是属于普通域还是联合域。
3. 当验证平台,即Windows Azure发现该域是非联合域时它将不会采取任何行动。
4.最终用户在密码框中输入他的密码并点击登录按钮。验证平台接收到用户的凭据将验证与自身数据库中的用户名/密码进行比对。由于密码已经被同步,它将与用户的活动目录的密码保持一致。
抛开一些配置上的差异不谈,最终用户体验在上述情景中是几乎相同的。密码同步可以凌驾于基于云的密码复杂度要求以及密码寿命要求,就像ADFS那样。因此如果体验是几乎相近的,为什么会选择需要一台或更多服务器的ADFS,而不选择集成DirSync工具的密码同步功能呢?
密码同步vs. ADFS 优势与劣势
使用ADFS,你可以使用客户端访问策略精确控制谁被允许进行验证,这是用密码同步不可能做到的。
密码同步功能也会引起混淆的情况,当储存在Windows Azure中的密码与预置密码不相同时,尽管它会进行同步,例如当管理员在Office 365中重置某个最终用户的密码。此时,用户在Windows Azure的密码将会变化而DirSync将不会触发一次新的密码同步除非最终用户更改他的预置密码。
还有可伸缩性的问题。密码同步功能在较小的环境中更加适用,因为密码变更会进行得相当频繁。在我个人的测试中,我没能做到比密码同步更快,每次我变更预置密码时,我访问门户并登陆的同时它就会在Office 365中被变更。抛开这种观察不谈,在较大的环境中是否能有相近的体验是很值得探究的问题。在有更多的公司实施它并且有更多的信息被公开之前,ADFS是一种安全的选择,因为一台单独的ADFS服务器可以轻而易举地为成千上万的最终用户服务。
密码同步安全是一个值得关注的问题吗?
“密码同步”一词使得很多安全经理不必要地害怕起来。其实真正的密码绝不会在你的环境和云端进行明文同步的,被同步的只是一组被打乱又打乱的安全密钥。所有的通讯都建立在SSL(安全嵌套层)上进行并且通讯本身也被加密。即使黑客能够破解SSL信道,他面对一串密码的散列值也只好收手,因为这些值毫无意义。
ADFS与密码同步功能两者之间并没有特别明显的技术差异,只是根据你需求的不同,使得各自在选项上有若干细微的差别。我们仅仅拨开了选项的表面,当你在两者间做出选择时还必须将很多因素考虑进去。我推荐企业研究密码同步,我相信很多公司可以从密码同步中获得比ADFS更多的好处。
相关推荐
-
Office365身份管理:DirSync密码同步vs. AD FS优劣势对比
在第一部分的《Office365身份管理:DirSync密码同步与AD FS的区别是什么?》文章中,我们介绍了密码同步与AD FS的区别是什么,本文继续对两种Office365身份管理方法进行优劣势比较。
-
活动目录联合服务(ADFS)为什么越来越重要?
当微软首次在Windows Server 2003 R2中引入活动目录联合服务(ADFS)时,该功能并没有得到太多的喝彩。但现在情况似乎有了变化,ADFS为什么变得越来越重要了呢?
-
Windows Server2008 ADFS配置攻略(2)
ADFS是Windows Server 2008操作系统中的一项新功能,它提供了一个统一的访问解决方案,用于解决基于浏览器的内外部用户的访问。下面我们开始ADFS的配置试验。
-
Windows Server 2008 ADFS配置攻略(1)
ADFS是Windows Server 2008操作系统中的一项新功能,它提供了一个统一的访问解决方案,用于解决基于浏览器的内外部用户的访问。下面我们开始ADFS的配置试验。