Käyttäjähallinnan tulevaisuus on EMS, AAD, RMS, IDM, MFA, FIM, ADFS, …


Käyttäjähallinnan tulevaisuus on EMS, AAD, RMS, IDM, MFA, FIM, ADFS, …



Cloud computing conceptAkronyymien kokoontumisajot? Tavallaan. Microsoft julkaisi viime viikon lopulla Microsoft Enterprise Mobility Suiten (EMS), joka paketoi pääsyn- ja identiteetinhallinnan, mobiililaitehallinnan ja tiedon suojauksen pilvipalveluissa. Käytännössä EMS kattaa Azure AD Premium-, Windows Intune- ja Azure AD Rights Management -palvelut. EMS tulee ennakkotietojen mukaan Microsoftin EA-asiakkaiden saataville 1. toukokuuta alkaen.

Intunesta olemme kirjoittaneet useita artikkeleita jo aiemmin, mutta Azure Active Directory on ehkä jäänyt pienemmälle huomiolle. Seuraavassa lyhyesti pilvipalvelujen pääsyn- ja identiteetinhallinnasta ja uusista mahdollisuuksista. Azure Rights Management (RMS) ansainnee oman artikkelinsa, joten siitä kirjoitamme tulevaisuudessa tarkemmin.

Azure Active Directory

Azure Active Directory (AAD tai WAAD) on Microsoftin pilvipohjainen käyttäjähakemisto ja käyttäjien tunnistuspalvelu. Jo tällä hetkellä Azure AD tarjoaa kertakirjautumisratkaisun sadoille pilvipalveluille, joista ilmeisimmät ovat tietenkin Microsoftin omat palvelut kuten Office 365, CRM Online ja Project Online. Kolmannen osapuolen sovelluksista esimerkkinä mainittakoon Salesforce, Box ja Google Docs.

Sivusto http://myapps.microsoft.com/ (Access Panel) koostaa käyttäjälle kaikki palvelut, joissa organisaation Azure AD on otettu käyttöön ja luvitettu käyttäjälle. Listan Azure AD -käyttäjätunnistusta tukevista palveluista löydät Azure AD Application Gallery -sivustolta.

Usein organisaation oma Active Directory laajennetaan pilviympäristöön synkronoimalla käyttäjät ja ryhmät Azure AD -hakemistoon. Tämä helpottaa tunnushallintaa ja mahdollistaa esim. sisäverkon identiteetinhallintatuotteiden (IDM) käytön käyttäjien elinkaarenhallinnassa. Lisäksi voidaan toteuttaa kertakirjauminen sisäverkon toimialueen käyttäjille ottamalla käyttöön Microsoft Active Directory Federation Services (ADFS) -palvelut.

Azure Active Directory Premium

Azure Active Directory Premium on tällä hetkellä saatavilla preview-versiona ja tulee yleisesti saataville huhtikuussa 2014. Azure AD Premium lisensoidaan käyttäjäkohtaisesti ja on hankittavissa maksullisena lisäpalveluna. Premium laajentaa ilmaisen Azure AD:n ominaisuuksia:

  • Salasanojen itsepalvelupohjainen resetointi, jonka avulla käyttäjät voivat itse nollata unohtamansa salasanan ja näin helpottaa ICT-tukipalvelujen kuormaa. Huhtikuussa tulossa myös ennakkoversio ”password writeback” – ominaisuudesta, joka mahdollistaa muutetun salasanan synkronoinnin takaisin sisäverkon Active Directoryyn.
  • Ryhmäpohjainen pääsynhallinta SaaS-sovelluksiin. Azure Administrator -roolissa olevat pääkäyttäjät voivat hyödyntää sisäverkon tai pilveen luotuja ryhmiä ja antaa käyttöoikeuden SaaS-sovelluksiin ryhmäperusteisesti.
  • Tarkemmat tietoturvaraportit
  • Itsepalvelupohjainen ryhmien hallinta. Ryhmien omistajat voivat hyväksyä pyyntöjä ja hallinnoida ryhmien jäsenyyksiä.
  • Kaksitasoinen kirjautuminen on veloituksetta käytössä Office 365 -palvelussa ja Azure-pääkäyttäjillä. Azure Active Directory Premiumin avulla kaksitasoisen kirjautumisen saa käyttöön myös muissa SaaS-palveluissa.

  • Ilmainen versio Azure AD:sta tukee 500 000 käyttäjää. Azure AD Premiumissa ei ole ylärajaa käyttäjien lukumäärälle.
  • Bonuksena Azure AD Premium sisältää käyttöoikeuden paikalliseen Forefront Identity Manager Server (FIM) -tuotteeseen sekä palvelintuotteen käyttöön vaaditut Client Access -lisenssit.

Azure Active Directory sovelluskehityksessä

Azure AD tarjoaa mielenkiintoisia mahdollisuuksia sovelluskehittäjille. Jos organisaatiosi tuottaa asiakkaille pilvipalveluja, kannattaa varmistaa, että tunnistusratkaisuissa on huomioitu yhteensopivuus Azure AD:n kanssa.

  • Integroi selainsovellukset Azure AD -ympäristöön käyttämällä Windows Identity Foundation (WIF) -kirjaston tarjoamia moduuleja.
  • Hallinnoi Azure AD:n ryhmä- ja käyttäjätietoja Azure Active Directory Graph API:n avulla.
  • Kehitä multi-tenant SaaS-sovelluksia Azure AD:n pääsynhallinnan ominaisuuksien avulla.
  • Tarjoa käyttäjille mahdollisuus kirjautua sovellukseesi Microsoft Account-, Facebook-, Google- tai Yahoo! -tunnuksilla Azure AD Access Control -palvelun avulla.