¿Cómo funciona Active Directory en la nube?

Microsoft introdujo Active Directory en 1999 con Windows Server 2000. Ha evolucionado a través de cada versión posterior de Windows Server para abarcar todos los servicios basados en directorios relacionados con la autenticación del usuario y la gestión de la identidad en un entorno Windows. Microsoft también proporciona Active Directory en la nube para las empresas que requieren permisos de control de acceso a través de aplicaciones de software como servicio.

Active Directory (AD) asigna y hace cumplir las políticas de seguridad para todos los usuarios y limita el alcance de las tareas de los usuarios pueden realizar. Por ejemplo, AD comprobará las credenciales de un usuario y determinará si ese inicio de sesión es de un usuario normal o de un administrador así como el acceso que, en su caso, se permitirá a los servicios, las aplicaciones y los derechos respectivos.

Con el lanzamiento de los servicios en la nube de Microsoft, Azure AD parecía proporcionar la misma suite esencial de directorio y gestión de identidad para el entorno de nube multi-tenant de Azure. Azure AD puede proporcionar inicio de sesión único (SSO) para aplicaciones en la nube, tales como Salesforce, Dropbox, Office 365 y un sinnúmero de otras aplicaciones de software como servicio (SaaS). Los desarrolladores de la nube pueden incluso integrar Azure AD con software desarrollado para el despliegue en la nube para permitir que otras organizaciones basadas en Windows AD integren y utilicen estas aplicaciones con mayor facilidad.

Pero el poder real de Azure AD reside en su conjunto de funciones de gestión de identidad como la gestión de cuentas de usuario y cuentas privilegiadas, registro del dispositivo, la autenticación de usuarios –incluyendo autenticación de múltiples factores–, gestión de contraseñas, manejo de grupos, control de acceso basado en roles (RBAC), seguimiento de uso de la aplicación, auditoría, informes y más. En conjunto, AD ayuda a asegurar una empresa basada en Windows –y ahora una basada en Azure– para garantizar que los usuarios y grupos tienen acceso a los servicios y derechos que necesitan. Azure AD también se integra con Windows AD desplegado en los centros de datos locales para permitir que AD en las instalaciones locales administre los activos basados ​​en la nube.

Cuando se crea una suscripción Azure, una base de datos de Azure AD está asociada con la suscripción. El personal de TI responsable de la gestión de la nube entonces usará AD Azure para conceder a los usuarios, grupos y aplicaciones acceso a los recursos en esa suscripción Azure.

El acceso a los recursos de Azure se basa en RBAC. Esto significa que primero se crean una variedad de funciones AD que definen los activos o recursos a los que puede tener acceso cada rol dentro de la suscripción Azure. Azure proporciona tres funciones básicas: propietario, contribuyentes y de lector. Un propietario puede acceder a todos los recursos y controlar el acceso para otros –es un administrador. Un contribuyente puede crear y administrar los recursos Azure, pero no puede cambiar el acceso a los demás. Un lector puede ver solo los recursos existentes. Hay roles vainilla adicionales que son específicos para los recursos Azure y otras funciones pueden ser creadas o adaptadas para cubrir las necesidades de la empresa.

A medida que se crean cuentas de usuario, se establecen grupos y se llenan de usuarios, y las aplicaciones se despliegan, se aplica una función apropiada de AD. Los roles también se pueden aplicar de acuerdo con el alcance que permita el acceso a la totalidad de la suscripción, grupos particulares, o recursos individuales –tales como máquinas virtuales (VM) específicas, sitios web, instancias de almacenamiento y así sucesivamente.

Al igual que con Windows AD, Azure AD funciona como una jerarquía. Esto significa que el acceso que se otorga en un nivel (primario o parental) se extenderá a todos los niveles inferiores (secundarios). Por ejemplo, mediante la creación de un grupo y la asignación de un rol de lector en el alcance de la suscripción, todos los miembros del grupo pueden ver todos los grupos de recursos y recursos en la suscripción. En comparación, si un administrador asigna a un usuario como colaborador en el ámbito de un grupo de recursos, el usuario puede gestionar cualquier recurso dentro de ese grupo de recursos –como la creación de nuevas máquinas virtuales– pero no puede hacerlo con otros grupos de recursos en la suscripción.

Este tipo de gestión basado en roles es flexible y potente, pero es importante que los administradores asignen cuidadosamente funciones y alcances para mantener una postura de seguridad adecuada. Muchas organizaciones implementan políticas que gobiernan cómo se les asignan derechos a los usuarios y grupos, y esas políticas suelen actualizarse para reflejar el uso de la suscripción Azure.