Azure Active Directory Flashcards
O que é o Azure Active Directory?
É um serviço de nuvem multi tenant de gestão de identidade oferecido no modelo PaaS. Provê:
SSO para os produtos SaaS da Microsoft
MFA (Multi-Factor Authentication)
RBAC
Device Registration
É possível integrar com o ambiente on-premises em um cenário híbrido para, por exemplo, prover SSO. É possível ter vários diretórios e não há subordinação entre eles, nem ao menos vínculo com um assinatura em particular.
Não possui:
GPOs para usuários e computadores
OUs
Florestas ou trusts. Utiliza-se federation ao invés.
Quais são os protocolos de autenticação do AAD?
Não há suporte para Kerberos. Os protocolos utilizados são:
OAuth 2.0
OpenID Connect
WS-Federation
SAML 2.0
Quais são os modelos de assinaturas do AAD?
Free
Basic
Premium P1
Premium P2
É possível utilizar um nome de domínio personalizado no AAD?
Sim, este nome pode ser adicionado mas precisa ser validado.
Quais ferramentas podem ser utilizadas para gerenciar os usuários e grupos do AAD?
Azure Portal
Windows Powershell
Bulk creation a partir de CSV.
Qual é a diferença entre o diretório de usuários do Office 365 e do AAD? Eles podem interagir?
O diretório do O365 possui seus objetos e não é uma instância do AAD. É possível dizer ao O365 para utilizar o AAD. É possível autorizar o usuário de um diretório em outro diretório.
O que é o MFA (Multi-Factor Authentication)?
É quando podemos solicitar métodos adicionais de autenticação para serviços e apps on-premises e em nuvem. Pode ser contratado como um serviço stand-alone com cobrança por usuário e por autenticação. O mecanismo requer um ou mais sistemas de verificação:
Algo que você sabe (senha)
Algo que você tenha (device confiável)
Algo que você é (biometria)
Exemplos de requisitos para autenticação:
mobile application, a phone call a text message an email message Third party OAth token
Descreva as opções de ambientes híbridos.
1) Estender o AD on premises em uma VM no Azure.
2) Sincronizar o AD on premises com a nuvem. Ex. Office 365.
3) Implementar um federated trust entre o Azure e o AD on premises.
Qual é a função do Azure AD Connect?
Permite a sincronização do Active Directory on-premises com o Azure AD, permitindo o uso de um login único pelos usuários para os serviços em nuvem. Ele também provê mecanismos de monitoramento e sincronização de senhas.
Como funciona o Azure AD Connect Health?
Ele permite o monitoramento da infraestrutura on-premises e a conectividade entre este ambiente e a nuvem. Permite monitorar os DCs e ADFS. É necessário instalar um agente nos servidores.
As informações de saúde podem ser acompanhadas no portal do Azure.
O que é o Cloud App Discovery?
É uma ferramenta disponível para cliente com licença Premium que permite fazer o discovery da utilização de aplicações cloud na infraestrutura on-premises.
O que é um Federation Trust?
É um mecanismo que permite SSO entre domínios diferentes. É uma forma de uma aplicação validar um acesso sem estar de posse das credenciais do usuário solicitante. No universo Microsoft, uma infraestrutura de federação pode ser montada com o ADFS. O ADFS emite um claim que pode ser apresentado para o Azure ou outros serviços onde exista um Federation Trust.
O que são Claims no contexto de federação?
É uma validação de identidade emitida por um provider, seja um AD, o AAD ou providers de terceiros como o Facebook. O STS (Security Token Service), do ADFS por exemplo, emite os claims que serão apresentados para aplicações que confiam neste ADFS. Se a aplicação confia no provider, o acesso é permitido.
Qual é o papel do WAP (Web Application Proxy) na ambiente de Federação?
Prover o acesso seguro ao ADFS a partir da Internet. O WAP fica posicionado na DMZ e provê acesso ao ADFS que fica posicionado na rede interna.
O que é o Azure AD B2C?
É um serviço do Azure que permite que clients de aplicações façam o registro e login por meio de credenciais de providers terceiros, como Facebook e Google, geralmente de redes sociais.