สวัสดีครับท่านผู้อ่านทุกท่าน
สำหรับบทความตอนนี้ของผมจะเป็นเรื่องราวของเซอร์วิสตัวหนึ่งใน
Microsoft Azure ที่น่าสนใจนั่นคือ “Azure Active Directory ”
หรือเรียกสั้นๆ ว่า Azure
AD
ครับ เพราะ Azure AD
เป็นส่วนประกอบส่วนนึงที่สำคัญสำหรับองค์กรที่กำลังวางแผนและเตรียมพร้อมที่จะทำ Hybrid
Cloud ครับ ดังนั้นผมจึงอยากนำเอาเรื่องราวของ
Azure AD มานำเสนอให้ทุกท่านได้รู้จักครับผม
Azure AD คือ Microsoft Multi-Tenant Cloud Based Directory &
Identity Management Service หรือเรียกสั้นๆ ว่า Identity Management
จะเป็นตัวที่เข้ามาช่วยจัดการเรื่องของ Identity เพื่อสนับสนุนการทำ
Single-Sign-On (SSO) ครับ โดย Azure AD จะทำให้ผู้ใช้งานสามารถใช้ Identity
เดียวสามารถทำการเข้าถึงข้อมูลที่อยู่ใน On-Premise AD
รวมถึงแอพพิเคชั่นต่างๆ ที่อยู่บน Cloud หรือเรียกว่า SaaS Applications ครับ นอกจากความสามารถในการจัดการ Identity แล้ว Azure
AD ยังมีความสามารถอื่นๆ
อีกมากมายครับ เช่น Multi-Factor Authentication, Device Registration,
Self-Service Password Management, Self-Service Group Management, Role-Based
Access Control, OAuth, OpenID Connect, WS-* Protocol และอื่นๆ
อีกมากมายครับ
สำหรับการนำเอา Azure AD
ไปใช้งานองค์กร ส่วนใหญ่ที่ผมเจอคือ การเอา Azure AD
มาทำงานร่วมกับ Windows Server Active Directory Domain Service (AD DS) ครับ
เพื่อทำการ Synchronization Accounts (User Accounts) จาก AD
DS ไปยัง Azure AD
ครับเพื่อทำ SSO
อย่างที่ผมได้เกริ่นไว้ในตอนต้นครับ เพื่อให้ผู้ใช้งานสามารถเข้ามาใช้งาน
SaaS Applications ต่างๆ เช่น Office
365, Dynamics CRM, SalesForce.com, Dropbox เป็นต้นครับ
รูปด้านล่างจะเป็นรูปที่อธิบายภาพรวมของ Azure AD ครับ
นอกจากนี้แล้ว Azure AD ยังมีประโยชน์สำหรับนักพัฒนา (Developers),
เพราะนักพัฒนาสามารถใช้ Azure AD เข้ามาช่วยในเรื่องของการทำ SSO กับ
Cloud Applications ของนักพัฒนาได้ โดยการดึงเอาข้อมูล (Query) เกี่ยวกับ Users และ
Groups จากนั้นนำมากำหนดสิทธิ (Permissions) ครับ
หรืออธิบายง่ายๆ คือนักพัฒนาไม่ต้องกังวลที่จะต้องเขียนโค้ดสำหรับการทำ
Authentication หรือการจัดการ Identity อีกแล้วครับ เพราะนักพัฒนาสามารถนำเอา Azure AD มาช่วยจัดการเรื่องเหล่านี้ให้ครับผม
โดยปรกติแล้ว Azure AD มีอยู่แล้วใน Cloud Services ต่างๆ ของทางไมโครซอฟท์ครับ เช่น Office 365, Microsoft Intune, และรวมถึง
Microsoft Azure ด้วยครับ ดังนั้นท่านผู้อ่านสามารถสร้างและใช้งาน Azure AD ได้เลยถ้ามี Cloud
Services ดังกล่าวใช้งานอยู่แล้วครับ มีอีกเรื่องหนึ่งที่หลายๆ ท่านยังสับสนอยู่
นั่นก็คือ Azure
AD เหมือนหรือต่างกับ Active Directory Domain Service (AD DS) ซึ่งโดยส่วนตัวผมเจอลูกค้าถามผมเรื่องนี้บ่อยมากๆ ครับ
ผมขออธิบายเลยแล้วกันนะครับว่า Azure AD กับ Active Directory Domain Service (AD DS) นั้นต่างกันกันครับ ไม่เหมือนกันเลย
ผมขอเริ่มอธิบายที่ Active Directory Domain Service (AD DS) ก่อนนะครับ เพราะผมเชื่อว่าท่านผู้อ่านทุกท่านรู้จักและมีความคุ้นเคยกันดีอยู่แล้วครับ สำหรับ Active Directory Domain Service (AD DS), มันคือ
Directory Service ครับที่มาพร้อมกับ Windows Server ทุกเวอร์ชั่นครับ โดยเรานำเอา Active Directory Domain Service (AD DS) มาใช้ในการบริหารและจัดการ Accounts รวมถึงทรัพยากรต่างๆ ครับ โดยจะต้องมีการสร้าง Forest, Tree และ Domain ขึ้นมาก่อนเพื่อกำหนดขอบเขต (Boundary) ในการบริหารจัดการ จากนั้นจึงมีการสร้าง Objects ย่อยๆ อยู่ในนั้น เช่น OUs, User Accounts, Group Accounts, Computer Accounts และอื่นๆ ครับ รวมถึงการนำเอาฟีเจอร์ต่างๆ เข้ามาใช้งาน เช่น Group Policy เป็นต้นครับ
ผู้ใช้งานท่านใดต้องการเข้าถึงทรัพยากรต่างๆ ในองค์กรก็จะต้องมี User Account และต้องนำเครื่องที่ใช้งานอยู่นั้นมาทำการ Join เข้า Domain ของ Active
Directory Domain Service (AD DS) เสียก่อน
จึงจะเข้าไปใช้งานได้ครับ โดย Active Directory Domain
Service (AD DS) จะทำการ
Authentication (Kerberos V5) ผู้ใช้งาน
ก่อนที่จะเข้าถึงข้อมูลต่างๆ และทำกระบวนการต่อมาที่เรียกว่า Authorization เพื่อดูว่าผู้ใช้งานผู้นั้นมีสิทธิเข้าถึงข้อมูลหรือทรัพยากรใดบ้างครับ ผมขออธิบายคร่าวๆ ประมาณนี้นะครับสำหรับ Active Directory Domain Service (AD DS)
สำหรับ Azure Active Directory หรือ Azure AD นั้น มันเป็น Identity Management อย่างที่ผมอธิบายไปในตอนต้นครับ เราสามารถสสร้าง User และ Group Accounts ใน Azure AD ได้ครับนั่นคือสิ่งที่เหมือนกับ Active Directory Domain Service (AD DS) แต่ใน Azure AD ไม่มีโครงสร้างเหมือนกับ Active Directory Domain Service (AD DS) เช่น ไม่มี Forest, Tree, Domain และอื่นๆ เราไม่สามารถนำเครื่องมา Join เข้า Azure AD ได้ครับ ไม่มี Group Policy เหมือนกับ Active Directory Domain Service (AD DS) ครับ เพราะ Azure AD ถูกสร้างและออกแบบมาเพื่อการจัดการ Identity และมีฟีเจอร์ต่างๆ มากมาย และที่สำคัญที่สุดคือ Azure AD ถูกสร้างมาเพื่อรองรับการทำงานร่วมกับ Cloud Services ต่างๆ ครับผม
เรื่องต่อมาที่ผมเชื่อว่ายังมีท่านผู้อ่านอีกหลายท่านไม่ทราบคือ Azure AD มีหลายแบบครับ แต่ส่วนใหญ่เราจะพูดกันสั้นๆ ว่า Azure AD แต่ที่จริงแล้ว Azure AD มี 4 แบบหรือ Editions ครับผม
1. Azure Active Directory Free
2. Azure Active Directory Basic
3. Azure Active Directory Premium P1
4. Azure Active Directory Premium P2
ผมขออธิบายคร่าวๆ สำหรับ Azure Active Directory แต่ละ
Editions คร่าวๆ ดังนี้ครับ
สำหรับรายละเอียดเพิ่มเติมผมมีลิ๊งค์ให้ไปศึกษาเพิ่มเติมครับ
1. Azure Active
Directory Free
ถ้าท่านผู้อ่านมีการซื้อ Subscription เช่น Office
365
หรือ Microsoft Azure มาใช้งาน
นั่นหมายความว่าท่านผู้อ่านได้ Azure Active Directory Free มาใช้งานแล้วครับ
โดยที่ไม่ต้องจ่ายตังค์เพิ่มครับผม แต่ก็จะมีการจำกัดฟีเจอร์ใช้งานครับ
2. Azure Active Directory Basic
สำหรับ Edition นี้ถูกออกแบบมาให้มีความสามารถและฟีเจอร์มากกว่า
Azure Active Directory Free โดยมีความสามารถต่างๆ เช่น
- Cloud Centric Application Access
- Self-Service Management
- Group-Based Access Management
- Self-Service Password Reset (สำหรับ Cloud
Applications)
- Application Proxy
3. Azure Active
Directory Premium 1
สำหรับ Edition
นี้เหมาะสำหรับองค์กรที่กำลังวางแผนและต้องการทำในเรื่องของ Identity &
Access Management โดยมีฟีเจอร์ต่างๆ เช่น
- Self-Service Identity & Access Management (IAM)
- Self-Service Group Management
- Identity Protection & Security
- Self-Service Password Reset สำหรับ On-Premise
(Write-Back)
4. Azure Active
Directory Premium 2
สำหรับ Edition ถูกออกแบบมาเพื่อองค์กรที่เน้นในเรื่องของความปลอดภัย โดยได้มีการฟีเจอร์ใหม่ “Azure
Active Directory Identity Protection” และ Conditional Access
เข้ามาด้วยเพื่อสร้างความปลอดภัยให้กับองค์กร
สำหรับรายละเอียดเพิ่มเติมผมมีลิ๊งค์ให้ไปศึกษาเพิ่มเติมครับ
เอาล่ะครับ มาถึงตรงนี้แล้วผมได้อธิบาย Azure Active Directory ว่าคืออะไร,
การนำไปใช้งาน, รวมถึง Editions ต่างๆ ในส่วนต่อไปผมจะพาท่านผู้อ่านทุกท่านไปดูหน้าตาของ Azure Active Directory Free Edition กันครับ โดยใช้
Azure Classic Portal ดังรูปด้านล่างครับ
และสามารถสร้าง New Azure Active Directory ใหม่ได้ครับ
ดังรูปครับ
สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับ Azure Active Directory
Premium
นั้นท่านผู้อ่านสามารถดูเพิ่มเติมได้จากลิ๊งค์นี้ครับผม https://azure.microsoft.com/en-us/trial/get-started-active-directory/ และสามารถทดลองใช้ฟรี 1 เดือนครับผม
และทั้งหมดนี้คือเรื่องราวของ Azure Active Directory
ที่ผมนำฝากและอยากให้ท่านผู้อ่านทุกท่านได้รู้จักและเข้าใจว่า Azure Active
Directory คืออะไรและมีประโยชน์อย่างไร
เพราะผมเชื่อว่าไม่ช้าก็เร็วท่านผู้อ่านจะต้องได้เจอหรือเข้าไปยุ่งเกี่ยวกับ Azure Active Directory อย่างแน่นอนครับผม
และอยากให้ท่านผู้อ่านไปลองเล่นและทดสอบฟีเจอร์ต่างๆ กันครับผม…..
Thanks for sharing Azure Active Directory tips. for more info i rfer cion systems Azure Active Directory in USA.
ตอบลบ