В последнее время часто слышу вопрос: «В чем разница между on premises Active Directory и Azure Active Directory?». Попробую об этом рассказать.
Следует отметить, что Azure Active Directory (AAD) и традиционная / локальная (on premises) Active Directory (AD) похожи, но есть несколько принципиальных различий.
При использовании традиционной On-Premises AD, у вас есть возможность:
- Создавать контейнеры AD – Organizational Unit (OU),
- Создавать объекты доменных групповых политик (GPO),
- Аутентифицироваться с помощью Kerberos,
- Работа с одним доменом (добавлять компьютеры в домен, создавать группы AD и т.д.),
- Выполнять запросы и взаимодействовать с базой домена по Lightweight Directory Access Protocol (LDAP),
- Создавать доверительные отношения между несколькими доменами.
В Azure AD (AAD) все перечисленные выше функции отсутствуют. AAD — это просто решение для идентификации, по сути это федеративный центр для онлайн-сервисов, т.е. Office 365, Facebook и другие сторонних приложений / веб-служб и т.д.
- Вы можете создавать пользователей и группы, но только в плоской структуру. Создать организационную единицу или GPO нельзя.
- Поскольку в AAD нет доверительных отношений, для создания отношений используются федеративные службы. Это может быть реализовано с помощью ADFS, которая позволяет On-Prem AD взаимодействовать и аутентифицироваться с помощью SSO (Single Sign On).
- Так же, вы не можете опрашивать AAD с помощью LDAP, однако вы можете использовать REST API для доступа к данным домена по HTTP и HTTPS.