Suchen

Definition: Cloud-basierte Verwaltung von Identitäten und Zugriffsrechten Was ist Azure Active Directory (Azure AD)?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Florian Karlstetter

Azure Active Directory ist ein cloud-basierter Dienst von Microsoft zur Verwaltung von Identitäten und Zugriffsrechten. Er ist sowohl für Cloud-Services wie Microsoft 365 (Office 365) als auch für externe SaaS-Anwendungen und Ressourcen nutzbar. Azure AD lässt sich zudem mit lokalen Active Directories verbinden. Verfügbar ist Azure AD in verschiedenen Versionen mit unterschiedlichem Leistungsumfang.

Hinter dem Begriff Azure AD steht Azure Active Directory und damit die cloud-basierte Verwaltung von Identitäten und Zugriffsrechten im Microsoft-Umfeld.
Hinter dem Begriff Azure AD steht Azure Active Directory und damit die cloud-basierte Verwaltung von Identitäten und Zugriffsrechten im Microsoft-Umfeld.
(© gemeinfrei © Gerd Altmann / Pixabay )

Azure Active Directory ist der Name eines cloud-basierten Verzeichnisdienstes von Microsoft, mit dem sich Identitäten und Zugriffsrechte managen lassen. Die Abkürzung für Azure Active Directory lautet Azure AD oder AAD. Mit Azure AD werden die Rechte und Zugriffsmöglichkeiten von Anwendern auf Services wie Microsoft 365 (Office 365) oder externe SaaS-Anwendungen und Ressourcen verwaltet.

Neben Microsoft 365 nutzen weitere Dienste wie Microsoft Dynamics oder Microsoft Intune den Verzeichnisdienst. AAD wird über die Microsoft Cloud-Computing-Plattform Azure bereitgestellt. Über die Verbindungsmöglichkeiten mit lokalen Active Directories lassen sich Single Sign-On-Lösungen (SSO-Lösungen) realisieren, mit denen der Zugriff mit gleichen Benutzerkennungen sowohl auf lokale Ressourcen als auch auf cloudbasierte Ressourcen möglich ist.

Zur Unterstützung externer Services sind Schnittstellen vorgesehen. Verwalten lässt sich Azure Active Directory über eine grafische Weboberfläche oder über die PowerShell. Für Anwender und Administratoren steht Azure Active Directory in verschiedenen Versionen mit unterschiedlichem Leistungsumfang zur Verfügung. Neben einem kostenlosen Angebot existiert mit Azure Active Directory Premium ein kostenpflichtiges Angebot mit zahlreichen zusätzlichen Funktionen. Technisch handelt es sich bei Azure AD um ein von Microsoft voll gemanagtes PaaS-Angebot (Platform-as-a-Service), für das keine eigene Infrastruktur zu betreiben ist.

Die Zielgruppen von AAD

Microsoft hat Azure Active Directory für folgende drei Zielgruppen konzipiert:
- Abonnenten von Microsoft SaaS-Diensten
- Entwickler von Anwendungen
- IT-Administratoren.

Für Abonnenten von Microsoft SaaS-Diensten ist der Azure Verzeichnisdienst automatisch aktiviert. Er regelt den Zugriff der einzelnen Azure AD-Mandanten auf die Cloud-Anwendungen. Anwendungsentwickler haben mit Azure AD die Möglichkeit, ihre Anwendungen mit einem Single Sign-On auszustatten. Für die Programmierung von personalisierten Anwendungen und die Verwendung organisationsinterner Anwenderdaten stehen APIs zur Verfügung. IT-Administratoren steuern mit Azure AD den Zugriff der Nutzer auf Anwendungen und Ressourcen. Mehrstufige Authentifizierungen und die Verbindung mit lokalen Active Directories werden unterstützt.

Merkmale und Funktionen von Azure AD

Kurz zusammengefasst sind die wichtigsten Merkmale und Funktionen des Azure Active Directories folgende:

  • einfacher, schlanker cloud-basierter Verzeichnisdienst,
  • Verwaltung über Weboberfläche und PowerShell möglich,
  • Konsolidierung der Verwaltung von Benutzern und Gruppen,
  • in verschiedenen kostenlosen oder kostenpflichtigen Versionen verfügbar,
  • keine eigene Infrastruktur für den Betrieb von Azure AD notwendig,
  • Verbindung mit lokalem Active Directory möglich,
  • für Microsoft-Ressourcen und externe Services nutzbar.

Technische Grundlagen, Protokolle und Schnittstellen von Azure AD

Im Fokus der Entwicklung von Azure AD stand die Unterstützung webbasierter Services. Azure AD nutzt kein LDAP (Lightweight Directory Access Protocol), sondern REST-Schnittstellen (REST - Representational State Transfer) und greift über HTTP-Anfragen auf Ressourcen zu. Im Vergleich zu lokalen Verzeichnisdiensten kommen andere Protokolle und Standards wie SAML (Security Assertion Markup Language), OpenID und OAuth 2.0 (Open Authorization) zum Einsatz.

REST steht für REpresentational State Transfer, API für Application Programming Interface - beides dient der M2M-Kommunikation.
Definition: Representational State Transfer (REST) Application Programming Interface (API)

Was ist eine REST API?

Die verschiedenen Versionen von Azure Active Directory

Microsoft unterscheidet aktuell vier Versionen des Azur Active Directories. Diese vier Versionen sind:
- freie Version
- Office-365-Apps
- P1 Premium
- P2 Premium.

Die freie Version ist Bestandteil der Abonnements von Microsoft Cloud-Services wie Dynamics 365, Microsoft 365 (Office 365) oder Intune. Unter dem Begriff Office-365-Apps sind Features von Azure AD zusammengefasst, die in Office-Abonnements wie E1, E3, E5, F1 und F3 enthalten sind. Die kostenpflichtigen Premium Varianten sind unter den Bezeichnungen P1 und P2 verfügbar. Bestandteile der Premium-Versionen sind beispielsweise Self-Service Features, erweiterte Sicherheitsfunktionen, die Zugriffssteuerung für mobile und hybride Anwender, Multi Factor Authentication (MFA), dynamische Gruppen, Microsoft Identity Manager, Azure Active Directory Identity Protection, Privileged Identity Management und einiges mehr.

Unterscheidung von Azure Active Directory und einem lokalen Active Directory

Azure Active Directory und lokale Active Directory Services wie die Active Directory Domain Services (AD DS) und Active Directory Federation Services (AD FS) stellen Verzeichnisdienste zur Zugriffssteuerung auf Ressourcen bereit, zeigen aber einige wichtige Unterscheidungsmerkmale. Was ihr Funktionsumfang angeht, sind sie nicht untereinander austauschbar. Den Kern eines lokalen Active Directories bildet der AD DS. Er basiert auf X.500 und dem Domain Name System (DNS) und nutzt LDAP zur Verwaltung der Verzeichnisse. Von einem lokalen Active Directory werden Kerberos und NTLM (NT LAN Manager) genutzt.

Das Azure Active Directory basiert auf anderen Zugriffs- und Nutzungstechnologien. AAD hat eine flache Struktur und bietet hinsichtlich der Aufteilung der Anwender in Organisationseinheiten einen geringeren Funktionsumfang. Auch die Anzahl der administrativen Rollen ist limitiert. Für das cloud-basierte Identitätsmanagement kommen HTTP, HTTPS, REST-Schnittstellen wie die AD Graph API, SAML und OAuth zum Einsatz.

Verbindung von Azure Active Directory und einem lokalen Active Directory

Grundsätzlich lassen sich ein lokales Active Directory und ein Azure Active Directory getrennt voneinander oder gemeinsam betreiben. Mögliche Konstellationen sind:

  • nur ein lokales AD im eigenen Rechenzentrum oder in einer Cloud-Infrastruktur,
  • lokales AD im eigenen Rechenzentrum und Azure AD aus der Cloud mit Verbindung beider Verzeichnisdienste,
  • nur Microsoft Azure AD aus der Cloud ohne lokalen Verzeichnisdienst.

Soll ein lokales Active Directory mit einem Azure AD zu einem integrierten Service verbunden werden, stehen verschiedene Möglichkeiten zur Verfügung. Zur Integration der Verzeichnisdienste ist Microsoft Azure AD Connect nutzbar. Mit Microsoft Azure AD Connect lassen sich Domänen, die mit lokalen Domänen zusammenarbeiten, einrichten. Azure AD Connect synchronisiert die Benutzerdaten und ermöglicht den Zugriff auf Cloud-Services ohne erneute Authentifizierung mit einer einzigen Identität (SSO).

Zur Synchronisation der Benutzerinformationen nutzt Azure AD Connect einen auf einem Server installierten Agenten mit Verbindung zur Domäne. Die Synchronisation kann unidirektional oder bidirektional stattfinden. Bei der unidirektionalen Synchronisation werden die Benutzerinformationen vom lokalen AD in das Azure AD übertragen. Die bidirektionale Synchronisation ermöglicht die Rückübertragung der in AAD vorgenommenen Änderungen in das lokale AD. Durch die Synchronisationsmaßnahmen entstehen sogenannte hybride Identitäten, die parallel für lokale und cloud-basierte Ressourcen nutzbar sind.

Public, Private, Hybrid & Co.: Definitionen rund um Cloud Computing

Definitionen rund um Cloud ComputingAlle relevanten Schlagworte aus dem Bereich Cloud Computing finden Sie auch gut erklärt in unseren Definitionen. Ganz im Sinne eines kleinen, aber feinen Glossars lesen Sie hier leicht verständliche Erklärungen zu den wichtigsten Begriffen. Als Service für Sie haben wir die hier erklärten Begriffe in unseren Beiträgen auch direkt mit den zugehörigen Lexikoneinträgen verlinkt. So können Sie die wichtigsten Begriffe direkt dort nachschlagen, wo sie im Text auftauchen.  

Zum Special: Definitionen rund um Cloud Computing

(ID:46685670)

Über den Autor