Azure 是微软推出的云基础设施提供商,它提供计算、存储和其他基础设施平台,常用的有 Office 365 等。 Azure 引入了自己的身份管理解决方案,称为 Azure Active Directory(Azure AD 或 AAD),Azure AD 并不只是简单地把微软原有的本地目录服务 Active Directory (AD)原封不动搬到云上。虽然Azure 本身不提供 RADIUS 认证服务器,但通过 RADIUS 即服务使其可以轻松提高WiFi无线网络 和 VPN 网络的安全性。
Azure AD 有哪些功能?
Azure AD 为 Azure 中的计算、存储和应用程序等提供身份认证和授权等用户管理功能。 Azure AD 支持用户同步,以及修改用户对 Windows Server和 Office 365 等 Azure 相关服务的访问权限。另外还支持 Web 应用程序单点登录,用户可使用一个账号登录访问 Office 365、Salesforce、Dropbox 等业务系统。
Azure AD 的缺点在于不提供集成或托管的 RADIUS 解决方案,使得管理对 VPN 和本地WiFi无线网络的访问变得困难。管理员不得不采取其他手段管理用户访问,通常是自建 RADIUS 服务器(即 FreeRADIUS 或 Windows NPS)以确保企业的网络安全。
为什么不推荐用 Azure AD 实施 RADIUS 认证?
由于 Azure AD 的原生功能中并不包含 RADIUS 认证,因此管理员需要采用其他方法来保护本地WiFi无线网络准入。
例如,扩展微软的网络策略服务器(NPS)或通过开源的 FreeRADIUS 在 Azure 中托管 RADIUS 认证服务器。但这两种方法都非常耗时,很多工作需要企业自行实施,无法采用云服务或云应用将基础设施的运维管理交给第三方。除此之外,管理员还需要将 RADIUS 认证服务器重新集成到正在使用的核心目录服务。
1)部署耗时
Azure AD 确实支持管理员通过 NPS 扩展配置 Azure 多因素认证(MFA)服务器实现 RADIUS 认证,或者将企业的 FreeRADIUS 身份源重定向到本地 AD。
但是,Azure AD 的能力毕竟有限,目前只支持 RADIUS 认证和多因素认证(MFA),而且两个功能必须同时实施。实施方法也只能通过密码验证协议(PAP)。
2)自行实施负担大
除了 NPS 扩展方案,管理员还可以将 FreeRADIUS 服务器连接到 Azure AD 实现 RADIUS 认证,这种方案的确可以实现 RADIUS 认证完全上云,无需实施本地服务器。
但是,在 Azure 中自托管的 RADIUS 服务器涉及大量的运维管理工作。自行实施的 RADIUS 云服务器不在 Azure AD 的管理范围之内,所以管理员必须使用额外工具管理。
如何让目录服务和 RADIUS 认证服务器轻松上云?
很多管理员可能都想将企业所有本地基础设施上云,打造一个支持 RADIUS 即服务和 AD 集成的云目录服务平台。NingDS 云身份目录平台可轻松实现 RADIUS 认证云服务和负载均衡,同时为企业提供了覆盖全球范围的 RADIUS 认证服务。NingDS 为IT 管理员提供了自由和灵活性,开箱即用的部署模式大大节省了包括服务器、许可费用在内的运维成本。
除提供 RADIUS 认证云服务外,NingDS 还提供VPN、堡垒机、虚拟桌面、云桌面等场景的多因素认证(MFA)、Web应用单点登录SSO等功能,助力企业跨云、网、端访问一致性。