วันจันทร์ที่ 5 กุมภาพันธ์ พ.ศ. 2561

มารู้จักกับ Azure AD กันต่อ และ Azure Active Directory Domain Service

     สวัสดีครับท่านผู้อ่านทุกท่าน หลังจากที่ผมได้โพสบทความเกี่ยวกับ Azure AD ไปก่อนหน้านี้ เพื่อให้ทุกท่านได้รู้จักและทราบว่า Azure AD คืออะไร และมีประโยชน์อย่างไร สำหรับบทความตอนนี้ผมจะพาทุกท่านไปทำความรู้จักกับ Azure AD กันต่ออีกซักนิดครับ รวมถึง Service ตัวหนึ่งใน Microsoft Azure ที่มีให้บริการมาซักพักแล้วครับ นั่นคือ "Azure Active Directory Domain Service" หรือ Azure AD DS ครับ ซึ่งแน่นอนว่าเป็นคนละตัวหรือคนละเรื่องกับ Azure AD นะครับ เอาล่ะครับผมขอเริ่มที่เรื่องราวของ Azure AD กันต่อก่อนนะครับ

Azure AD (เพิ่มเติม)

โดยในบทความก่อนหน้านี้ผมได้นำเสนอและอธิบายถึงเรื่องราวของ Azure AD ไปโดยเริ่มจาก Concept จนไปถึง Azure AD Editions ต่างๆ ไป แต่ยังมี Azure AD อีก 2 แบบ ที่ผมขออนุญาตนำเสนอต่ออีกนิดนะครับ นั่นคือ Azure Active Directory B2C และ Azure Active Directory B2B


Azure Active Directory B2C หรือ Azure AD B2C
เป็น Identity และ Access Management Cloud โซลูชั่น สำหรับลูกค้าที่ใช้ Web และ Mobile Apps ครับ และด้วยความสามารถของ Azure AD B2C, ลูกค้าสามารถทำการ Sign Up แอพพิเคชั่นต่างๆ โดยใช้ Social Accounts ต่างๆ เช่น Facebook, Google, Amazon, LinkedIn เป็นต้นครับ


Azure Active Diretory B2B หรือ Azure AD B2B
เป็น Identity และ Access Management Cloud โซลูชั่น  สำหรับให้องค์กรหรือออฟฟิศของท่านเตรียมพร้อมและจัดการแอพพิเคชั่นต่างๆ ที่จะให้บริการและสามารถเข้าถึงหรือใช้งานโดยผู้ใช้งานในออฟฟิศของท่านรวมถึงคู่ค้า (Partner) ได้โดยกรณีที่เป็คู่ค้า (Partner) สามารถใช้ Identity หรือ Credential ของผู้ใช้งานจากฝั่งคู่ค้าได้เลยครับ
และทั้งหมดนี้คือเรื่องราวของ Azure AD ครับผม  เรามาดูกันในเรื่องต่อไปครับ ซึ่งเป็นเรื่องที่น่าสนใจมากทีเดียว โดยผมจะพาทุกท่านไปทำความรู้จักกับ Service หนึ่งใน Microsoft Azure กันครับ นั่นคือ "Azure Active Directory Domain Service" หรือขอเรียกสั้นๆ นะครับว่า "Azure AD DS" ครับ


Azure Active Directory Domain Service (Azure AD DS)



โดยผมขอเริ่มจาก Service หนึ่งใน Microsoft Azure ที่เรียกว่า Azure VM (IaaS), และผมเชื่อว่าหลายๆ ท่านที่ใช้งาน Microsoft Azure กันอยู่แล้ว น่าจะมีความคุ้นเคยกับ Azure VM นี้มากที่สุดเลยครับ เพราะเป็น Service ที่ให้เราสามารถสร้าง Virtual Machine ขึ้นมา พร้อมกับมีระบบปฏิบัติการหรือ OS ต่างๆ ให้เลือกใช้ เช่น Windows, Linux, และอื่นๆ รวมถึงแอพพิเคชั่นต่างๆ ให้เลือกติดตั้ง เช่น SQL Server, Oracle, IBM, SAP,  และอื่นๆ อีกมากมายครับ ซึ่งทำให้องค์กรสามารถใช้ Microsoft Azure เป็น Infrastructure ขององค์กร เพื่อรองรับกับงานต่างๆ โดยได้มีการสร้าง Virtual Machines ซึ่งติดตั้งและรันแอพพิเคชั่นต่างๆ เพื่อให้บริการกับผู้ใช้งานในองค์กร

นการเตรียม Infrastructure บน Microsoft Azure เพื่อรองรับการทำงานต่างๆ นั้น มีสิ่งหนึ่งที่องค์กรจะต้องวางแผนและจัดการเป็นอันดับแรกเลยคือ การจัดการ Identity (Identity & Access Management) ครับ เพราะเมื่อองค์กรจะทำการวางแผนและเตรียมการย้ายระบบงานหรือแอพพิเคชั่นจาก On-Premise Datacenter ขึ้นไปทำงานบน Microsoft Azure นั้น ส่วนใหญ่ระบบงานต่างๆ ในองค์กรจะมีทั้งที่เป็นเครื่อง Physical หรือ Virtual Machines ที่อยู่ใน On-Premise Datacenter นั้นจะต้องมีการทำงานร่วมกับ "Active Directory Domain Service (AD DS)" นั่นหมายความว่าในองค์กรนั้นจะต้องมีเครื่อง Physical หรือ Virtual Machines ที่ติดตั้ง Windows Server ที่ทำหน้าที่เป็น Domain Controller (DC) เพื่อทำหน้าที่ในการจัดการและบริหารเรื่องของ Identity และรองรับกับ Single-Sign-On (SSO) ครับ  เพราะฉะนั้นหากองค์กรที่กำลังวางแผนที่จะทำการย้ายหรือ Migrate  ระบบงานหรือแอพพิเคชั่นต่างๆ จาก On-Premise ไปบน Microsoft Azure เรื่องของการจัดการ Identity & Access Management จะเป็นเรื่องที่สำคัญมากที่สุดเรื่องหนึ่งเลยครับ

ดังนั้นเมื่อถึงเวลาที่องค์กรนั้นๆ จะทำการย้ายหรือ Migrate จริง ระบบงานหรือแอพพิเคชั่นจาก On-Premise Datacenter ขึ้นไปทำงานบน Microsoft Azure ก็จะต้องมีการเตรียม Infrastructure ใน Microsoft Azure ดังนี้ครับ
- ต้องมีการสร้าง Site-to-Site VPN เพื่อทำการเชื่อมต่อระหว่าง On-Premise Data Center กับ Microsoft Azure
- ต้องมีการสร้าง Azure VM ขึ้นมาแล้วทำการติดตั้ง Windows Server แล้วทำการ Promote เป็น  Additional Domain Controller
- สร้าง Active Directory Domain/Forest เพิ่มเติม เช่น สร้าง Child Domain บน Microsoft Azure แล้วเชื่อมต่อกับ Root/Parent Domain ที่อยู่ใน On-Premise Datacenter


สำหรับการเตรียม Infrastructure บน Microsoft Azure ที่ผมอธิบายไว้ในข้างต้นนั้น จะต้องทำอะไรบ้างจะขึ้นอยู่กับความต้องการขององค์กร รวมถึงปัจจัยอื่นๆ ด้วยครับ แต่ที่ลิสต์ไว้ให้เป็นสิ่งที่จะต้องเตรียมครับผม  และสิ่งที่ผมอยากให้ท่านผู้อ่านสังเกตคือ การเตรียมสิ่งต่างๆ ในข้างต้นจะเป็นส่วนของ Active Directory เพียงอย่างเดียวก่อน เพราะเป็นส่วนที่สำคัญครับ ดังนั้นผมจะต้องมีการสร้าง Azure VM ขึ้นมาเพื่อทำการติดตั้ง Windows Server และทำการติดตั้ง AD DS เพื่อทำการสร้าง Domain ใหม่หรือเป็นการ Promote Additional Domain Controller  ก็ตาม

สิ่งที่องค์กรจะต้องทำการพิจารณและวางแผนก่อนคือค่าใช้จ่ายต่างๆ เช่น Azure Subscription, การดูแลรักษา, และอื่นๆ ครับ เพื่อจะทำให้เกิดความคุ้มค่าและใช้งานได้อย่างมีประสิทธิภาพครับ เพราะฉะนั้นมาดูกันครับว่ามีทางเลือกอื่นอีกมั๊ยที่จะทำให้การเตรียม Infrastructure บน Microsoft Azure นั้นง่ายและประหยัดครับ  คำตอบคือ มีครับและสิ่งที่จะมาช่วยหรือเป็นพระเอกสำหรับงานนี้คือ สิ่งที่เรียกว่า “Azure AD Domain Services” หรือ Azure AD DS ครับผม

Azure Active Directory Domain Service (Azure AD DS) เป็น Service หนึ่งใน Microsoft Azure ครับ โดย Azure AD DS มีความสามารถต่างๆ ดังนี้ครับ
- Domain Join
- Group Policy
- LDAP
- Kerberos/NTLM Authentication


และ Compatible กับ Windows Server Active Directory หรือ AD DS ที่ตัวผมและท่านผู้อ่านคุ้นเคยกันอยู่แล้วครับ นอกจากนี้แล้วท่านผู้อ่านสามารถใช้ Azure AD Domain Services ได้ทันทีโดยไม่ต้องมีการสร้าง Azure VM, ไม่ต้องมาคอยดูแลรักษาหรือการ Update Patches เหมือนกับวิธีการก่อนหน้าที่ผมได้อธิบายไปครับ  โดย Azure AD DS นี้จะทำงานร่วมกับ  Azure AD Tenant  ด้วยครับ นั่นหมายความว่าผู้ใช้งานสามารถใช้ Credentials เดียวสามารถเข้าถึงข้อมูลหรือทรัพยากรต่างๆ ได้เลย ซึ่งผมกำลังหมายถึงเรื่องของ Single-Sign-On (SSO)  ครับผม  เพราะฉะนั้นเราสามารถใช้ Azure AD DS เป็นทางเลือกสำหรับการทำการย้ายหรือ Migrate  ระบบงานหรือแอพพิเคชั่นต่างๆ จาก On-Premise หรือนำไปใช้ใน Scenarios ต่างๆ ดังนี้ครับ

-  Azure AD DS สำหรับองค์กรที่ไม่ต้องการมี On-Premise อยู่ข้างล่างเลยครับหรือเรียกว่า “Azure AD DS For Cloud-Only Organizations” เพราะเราสามารถสร้างและบริหารจัดการ User Account และ Password ตลอดจนเรื่องของการจัดการ Group (Group Membership) ทั้งหมดบน Cloud (Native Cloud) หรือบน Microsoft Azure นั่นเองครับ

-  Azure AD DS สำหรับองค์กรที่ทำ Hybrid Cloud หรือเรียกว่า “Azure AD DS For Hybrid Organization” สำหรับองค์กรที่ทำ Hybrid Cloud จะต้องมีการทำกระบวนการที่เรียกว่า “Directory Synchronization” คือการ Sync On-Premise Domain User Accounts จาก Active Directory กับ Azure AD โดยผ่านทางเครื่องมือที่ชื่อว่า “Azure AD Connect” นั่นคือรูปแบบและเป็นสิ่งที่ทุกๆ องค์กรจะต้องทำการติดตั้งเพื่อทำ Hybrid Cloud ครับ ทางเลือกที่ง่าย, สะดวก, และประหยัดค่าใช้จ่ายกว่าคือ การนำเอา Azure AD DS มาทำ Hybrid Cloud แทนครับ เพราะด้วยความสามารถของ Azure AD DS ดังที่ผมอธิบายไว้สามารถมาใช้ทำ Hybrid Cloud โดยที่องค์กรนั้นไม่ต้องมีการสร้างและติดตั้ง  Azure VM (Additional DC), ไม่ต้องมีการดูแลรักษา, และไม่ต้องบริหารและจัดการในส่วนของ Active Directory Replication รวมถึงการ Sync User Accounts และ Password กับ Azure AD อีกด้วยครับ เพราะทุกอย่างจะถูกจัดการผ่านทาง Azure AD DS ครับ

สำหรับรายละเอียดเพิ่มเติมของ Azure AD DS ทุกท่านสามารเข้าไป Link นี้ครับผม
https://azure.microsoft.com/en-us/services/active-directory-ds/




และนี่คือภาพรวมและความสามารถของ Azure AD DS ที่อยู่ใน Microsoft Azure ครับ ที่ผมอยากนำเสนอให้ท่านผู้อ่านได้รู้จักครับผม…..




2 ความคิดเห็น: