Mit seinem Active Directory (AD) stellt Microsoft das Identity-Management-System in sehr vielen Firmennetzen, und das seit dem Jahr 1999. Auf den Azure-Cloud-Systemen des Konzerns kommt aber AAD zum Einsatz: Das Azure Active Directory klingt wie die Cloud-Variante von AD, ist tatsächlich aber ein deutlich anderes Programm. Trotzdem gibt es Verbindungsmöglichkeiten.
Das Azure Active Directory (AAD) ist der Cloud-basierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft, mit dem sich Mitarbeiter anmelden und auf Ressourcen zugreifen. Dazu gehören Microsoft 365, Microsoft Teams, das Azure-Portal und tausende andere SaaS-Anwendungen (Software as a Service).
Active Directory hingegen ist ein Verzeichnisdienst, der von Microsoft für Windows-Domänennetzwerke entwickelt wurde. Er authentifiziert und autorisiert alle Benutzer und Computer in einem Netzwerk vom Typ Windows-Domäne. Außerdem kann er Sicherheitsrichtlinien für alle Computer verwalten. Das AD ist Bestandteil eines Domänencontrollers und bezeichnet im engeren Sinn eine Datenbank, in der die Benutzer und Computer eines Unternehmens organisiert sind. Es bietet Authentifizierung und Autorisierung für Anwendungen, Dateidienste, Drucker und andere Ressourcen im Netzwerk. Es verwendet Protokolle wie Kerberos und NTLM zur Authentifizierung und LDAP zur Abfrage und Änderung von Elementen.
Schlüsselfunktionen von AD
Die Active-Directory-Domänendienste haben die folgenden Hauptfunktionen:
- Sicherer Objektspeicher, einschließlich Benutzer, Computer und Gruppen
- Objektorganisation: Organisationseinheiten (OU), Domänen und Forest
- Gemeinsamer Anbieter für Authentifizierung und Autorisierung
- LDAP, NTLM, Kerberos (sichere Authentifizierung zwischen domänenverbundenen Geräten)
- Gruppenrichtlinien für die feinkörnige Kontrolle und Verwaltung von PCs und Servern in der Domäne
Die meisten Unternehmen haben AD auf einem oder mehreren Domain Controllern in ihrem Netzwerk laufen.
Eigenschaften von Azure Active Directory
Azure AD ist nicht einfach eine Cloud-Version von AD, wie der Name vielleicht vermuten lässt. Obwohl sich einige Funktionen ähneln, ist AAD ein grundlegend anderes Produkt: es ist ein sicherer Online-Authentifizierungsspeicher, der Benutzer und Gruppen enthalten kann. Benutzer haben einen Benutzernamen und ein Passwort, die verwendet werden, wenn sie sich bei einer Anwendung anmelden, die Azure AD zur Authentifizierung verwendet. So nutzen zum Beispiel alle Microsoft-Cloud-Dienste Azure AD zur Authentifizierung: Microsoft 365, Dynamics 365 und Azure. Wer Microsoft 365 nutzt, hat damit bereits Azure AD im Einsatz.
Neben der Verwaltung von Benutzern und Gruppen regelt Azure AD auch den Zugriff auf Anwendungen, die mit modernen Authentifizierungsmechanismen wie SAML (Security Assertion Markup Language) und OAuth (Open Authorization) arbeiten. Anwendungen werden hier über ein Objekt in Azure AD identifiziert, egal ob sie von Microsoft oder von Drittanbietern stammen. Neben der nahtlosen Verbindung zu allen Microsoft Online-Diensten kann Azure AD eine Verbindung zu Tausenden von weiteren SaaS-Anwendungen wie Salesforce, Slack oder ZenDesk über Single-Sign-on herstellen.
Vergleich von AD und AAD
Im Vergleich zu AD fehlen Azure AD zentrale Funktionen:
- Man kann Server nicht mit AAD joinen.
- Auch ein Desktop-PC kann nicht auf die gleiche Weise einer Domäne beitreten – es gibt mit AzureAD Join für Windows 10 nur eine reduzierte Domänenmitgliedschaft.
- Keine Gruppenrichtlinien.
- Keine Unterstützung für LDAP, NTLM oder Kerberos.
- Flache Verzeichnisstruktur: keine OUs oder Forests.
AD ist für die Verwaltung traditioneller On-Premises-Infrastrukturen und Anwendungen ausgelegt. Azure AD ist hingegen spezialisiert auf die Verwaltung des Benutzerzugriffs auf Cloud-Anwendungen. Sie erledigen unterschiedliche Aufgaben, wobei sie beide eine Benutzerverwaltung bereitstellen.
AD und Azure AD: das eine, das andere oder beides?
Wer ein traditionelles On-Premises-Setup mit AD hat und auch Azure AD verwenden möchte, um den Zugriff auf Cloud-Anwendungen zu verwalten, kann problemlos beides verwenden. In Microsoft 365 haben die Benutzer einen Benutzernamen und ein Kennwort dafür (verwaltet von Azure AD) und davon unabhängig einen Benutzernamen und ein Kennwort für ihre Netzwerkanmeldung (verwaltet von AD). Dass beide Sätze von Anmeldeinformationen nicht miteinander verbunden sind bedeutet nur, dass die Benutzer beide kennen und sich zweimal anmelden müssen; sie könnten aber das gleiche Passwort für beide Zugänge wählen.
Einfacher ist es dann, AD mit Azure AD zu synchronisieren, so dass die Benutzer nur einen Satz von Anmeldeinformationen haben, die sie sowohl für die Netzwerkanmeldung als auch für den Zugriff auf Microsoft 365 verwenden. Dazu eignet sich Azure AD Connect, eine kostenlose Software von Microsoft. Die müssen Admins auf einem eigenen Server installieren, um die Synchronisierung durchzuführen. Mit Azure AD Sync lässt sich übrigens auch ein CoreBiz Directory mit AAD synchronisieren – schließlich ist das CoreBiz Directory kompatibel zu AD.
Azure AD Connect bietet zwei Varianten zum Passwort-Handling: Es kann das Passwort in die Cloud synchronisieren, dann funktioniert diese unabhängig vom On-Premises-System. Oder es konfiguriert Pass-Through-Authentifizierung, bei der die Cloud bei jeder Anmeldung das Passwort im On-Premises-System überprüft. Damit bleiben die internen Passwörter vor der Cloud verborgen, und trotzdem können Anwender das identische Passwort an beiden Stellen verwenden.
Obwohl sich AD und AAD also technisch sehr unterscheiden, bleiben bei einer Synchronisierung für den Anwender diese Unterschiede gut verborgen: Er kann sich in beiden Welten mit den identischen Zugangsdaten anmelden und wie gewohnt arbeiten.