Introducción

Al igual que las aplicaciones on premise, las aplicaciones en la nube necesitan mecanismos de seguridad optimizada y flexible. Uno de los mayores beneficios de Azure Active Directory es que puede ser extendido con servicios opcionales y con código incluso en sus proyectos. Azure AD Access Control Services incluso le permite integrar los proveedores de identidad de terceros.

 

Azure Active Directory proporciona una suite de servicios que pueden ser integrados con aplicaciones customizadas, maquinas on premise, Dominios existentes e incluso servicios de tercero.

 

Que es Azure Active Directory?

Azure AD es un servicio de directorio robusto, seguro, multiusuario que proporciona administración de identidad y acceso en la nube. De hecho, Azure AD es el almacén de directorios para muchos de los servicios en la nube premium de Microsoft, tales como Microsoft Office 365, Microsoft Dynamics CRM Online, Windows Intune y, por supuesto, Microsoft Azure. Ademas Window Server Active Directory proporciona administración de identidad y acceso para soluciones on-premise, Azure AD hace como un servicio más disponible en Azure propiamente. Sin embargo, en lugar asumir la responsabilidad de aprovisionamiento y configuración de los servidores necesarios para Active Directory local, Microsoft es responsable de administrar la totalidad de la infraestructura Azure AD (es decir alta disponibilidad, escalabilidad, recuperación ante desastres, etc). Como un consumidor de Azure AD service (directory-as-a-service), tienes la información de los usuarios y decides que usuarios deben existir en directorio, Quién puede usar la información, y qué aplicaciones tienen acceso a la información.

Azure AD no debe considerarse un reemplazo de Window Server Active Directory. En cambio, Azure AD es un servicio complementario. Si tienes Active Directory on-premise, los usuarios y grupos puedes ser sincronizados hacia tu directorio Azure AD utilizando la herramienta Azure Active Directory Sync (AADSync). El precursor de AADSync fue la herramienta de sincronización de directorios.

 

Azure AD puede estar asociado con on-premises Active Directory para soportar single sign-on (SSO).

Esto puede ser un SSO utilizando servicios de Federación de Active Directory (AD FS) para federar la identidad local Azure AD sobre un sign-on compartido, en donde AADSync se utiliza para sincronizar un hash de contraseña entre Window Server Active Directory y Azure AD. Un sign-on compartido es muy simple de configurar a costa de un pequeño retraso en la sincronización de cambios de contraseña porque, por defecto, AADSync replica cambios cada tres horas.

 

Azure AD es un servicio de directorio multiusuario. Cada inquilino es una instancia dedicada de Azure AD que se tiene cuando es registrado para un servicio de nube Microsoft (Azure, Office 365, etc). Cada inquilino tiene su directorio y es aislado de los demás en el servicio y diseñado para que los datos de usuario no están accesibles desde otros inquilinos, esto significa que otros usuarios  no pueden acceder a los datos de su directorio a menos que un administrador conceda acceso explicito.

Es importante tener en cuenta que Azure AD no solo es para soluciones hospedas en la nube Azure. Azure AD puede ser util por ambos, ya sea para soluciones on-premises o cloud. En lugar de usar tecnologías como Kerberos o Lightweight Directory Access Protocol (LDAP) para acceder hacia Active Directory (como lo haría en on-premises), Azure AD esta accesible por REST API. Esto permite una amplia gama de aplicaciones: on-premise, cloud, móvil y así sucesivamente, accediendo a la rica información disponible en el directorio de Azure AD. Para los desarrolladores, esto abre una gran oportunidad que anteriormente, con las soluciones locales, no era posible o era difícil de conseguir. Mediante el aprovechamiento de Azure AD y Graph REST API, los desarrolladores pueden fácilmente implementar SSO para aplicaciones en la nube ya sea para (consultar y escribir o bien para crear, actualizar o eliminar) contra los datos de directorio.

 

Ediciones de Azure Active Directory

 

Existen 3 niveles para Azure AD:

 

Free:  Proporciona la capacidad de administrar usuarios, sincronizar con Active Directory local, establecer SSO a través de Azure y Office 365, y acceder a aplicaciones SaaS en la galería de aplicación Azure AD.

 

Basic: Proporciona todas las características del nivel Free, además de restablecimientos de contraseñas, acceso a las aplicaciones basadas en grupos, marca personalizables y una disponibilidad de 99.9% SLA.

 

Premium: Proporciona todas las caracteristicas de los niveles Free y Basic, ademas self-service group

management, informes de seguridad avanzada y alertas, Multi-Factor Authentication, licencias para Microsoft Forefront Identity Manager (gestor de identidades de Microsoft), y future enterprise features tales como reescritura de contraseña.

 

Para más detalles sobre los niveles de Azure AD, consulte: http://msdn.microsoft.com/library/azure/%20dn532272.aspx

 

Espero que te halla gustado este post,

Hasta la próxima!

Autor: Eduardo Flores Miranda
Curso: Microsoft MCSD Web Applications + SharePoint Apps
Centro: Tajamar Año académico: 2015-2016