สวัสดีครับทุกท่าน สำหรับบทความนี้จะพาทุกท่านไปทำความรู้จักกับ Concept และ Service ที่ทำหน้าที่ในการบริหารและจัดการ Identity ครับ โดย Service ดังกล่าวนี้มีชื่อว่า “ Azure Active Directory” หรือเรียกกันสั้นๆ ว่า "Azure AD" ครับ สำหรับ Azure Active Directory นั้นถือว่าเป็น Service ตัวหนึ่งที่มีความสำคัญมากตัวหนึ่งสำหรับการนำเอา Cloud เข้ามาประยุกต์ใช้งานในองค์กร ในรูปแบบต่างๆ เช่น Public, Hybrid Cloud เป็นต้น
สิ่งหนึ่งที่องค์กรจะต้องทำการวางแผนเตรียมความพร้อมนั่นก็คือ เรื่องของการบริหารจัดการและควบคุม Identity ซึ่ง ณ วันนี้ การบริหารจัดการและควบคุม Identity เพื่อเข้าถึงและใช้งานทรัพยากรต่างๆ ไม่ได้จำกัดอยู่เพียงแค่ใน On-Premise เพียงที่เดียวอีกต่อไปครับ โดยเฉพาะหลังจากองค์กรได้มีการนำเอา Cloud เข้ามาประยุกต์ใช้งาน จึงทำให้ทรัพยากรต่างๆ ที่เคยอยู่ใน On-Premise ก็จะถูกย้าย (Migrate) หรือจะเป็นสร้าง Workloads ใหม่บน Cloud รวมถึงความต้องการที่นำเอา Cloud หรือ SaaS Applications เข้ามาใช้งาน เป็นต้น
ขอยกตัวอย่างเพิ่มเติม
เพื่อให้ทุกท่านได้เห็นภาพและมีความเข้าใจมากขึ้นจากที่ผมได้เกริ่นไว้ในตอนต้น
เช่น ถ้าองค์กรหนึ่งมีความต้องการใช้งาน Cloud หรือ SaaS
Applications โดยองค์กรดังกล่าวมีผู้ใช้งาน 1,000 คน และมี Active Directory Domain Services (AD DS) ใช้งานอยู่
สิ่งที่องค์กรจะต้องพิจารณาจากความต้องการข้างต้น
คือ
- ผู้ใช้งานในองค์กรดังกล่าว จะต้องมีและจดจำ Username และ Password มากขึ้นตามจำนวนของ Cloud หรือ SaaS Applications ที่องค์กรดังกล่าวนำเข้ามาใช้งาน ซึ่งมีความเป็นไปได้ที่ผู้ใช้งานจะกำหนด Username และ Password เหมือนกันทั้งหมดเพื่อให้ง่ายและสะดวกใน การเข้าถึงและใช้งาน แต่จะทำให้เกิดความยุ่งยากในการบริหารจัดการ และเกิดความไม่ปลอดภัย
- เกิดความยุ่งยากในการบริหารและจัดการ Username และ Password
- IT ทำการตรวจสอบ Activities ได้ยาก เนื่องจากผู้ใช้งานมีหลาย Identities
- อื่นๆ
จากประเด็นต่างๆ ข้างต้น ทำให้ ณ ปัจจุบัน องค์กรต่างๆ จะต้องเตรียมความพร้อมและวางแผนการบริหารและจัดการ Identity ของผู้ใช้งานในองค์กร ที่ต้องการเข้าถึงทรัพยากรต่างๆ ไม่ว่าจะอยู่ใน On-Premise และบน Cloud อย่างไร เพื่อให้เกิดความยืดหยุ่นและปลอดภัยได้อย่างไร และนี่จึงเป็นที่มาของ Azure Active Directory (Azure AD) ครับ และก่อนที่จะไปถึงเรื่องราวของ Azure Active Directory หรือ Azure AD นั้น ผมขออนุญาตอธิบายคร่าวๆ เกี่ยวกับ Service ตัวหนึ่ง ซึ่งผมเชื่อว่าหลายๆ องค์กรใช้งานกันอยู่ครับ และท่านผู้อ่านทุกท่านน่าจะคุ้นเคยกันอยู่แล้วครับ Service ที่ว่านี้ก็คือ “Active Directory Domain Services (AD DS) ” ครับ ซึ่งเป็น Role ที่อยู่ใน Windows Server ครับ และในช่วงที่ผ่านมา ยังมีหลายท่านๆ ยังสับสนและเข้าใจว่า Active Directory Domain Services หรือ AD DS คือ Service ตัวเดียวกันกับ Azure Active Directory หรือ Azure AD ครับ ดังนั้นผมขออธิบายเรื่องราวของ Active Directory Domain Services (AD DS) กันซักนิดก่อนครับ
ทำความรู้จักกับ Active Directory Domain Services (AD DS)
Active Directory Domain Services (AD DS) เป็น Role หนึ่งใน Windows Server มาตั้งนานแล้วครับ โดยทาง Microsoft ได้นำเอา Active Directory มาเริ่มให้บริการและใช้งานตั้งแต่ใน Windows Server 2000 ครับ โดยในส่วนของ Active Directory ใน Windows Server นั้นมีหลาย Roles ให้พิจารณาเลือกไปใช้งานครับ เช่น
- Active Directory Domain Services (AD DS)
- Active Directory Certificate Services (AD CS)
- Active Directory Federation Services (AD FS)
- Active Directory Right Management Services (AD RMS)
- Active Directory Lightweight Directory Services (AD LDS)
สำหรับ Active Directory Domain Service (AD DS) นั้นเป็น Service ที่ทำหน้าที่เรียกว่า “Directory Service” หรือจะเรียกอีกชื่อว่า “LDAP Service” ก็ได้ครับ โดยจะมีโครงสร้างแบบ Hierarchical Structure คือ จะมี Forest, Tree, Domain, และ Organizational Unit (OU) ครับ ดังนั้นจะเห็นว่าเวลาที่ทำสร้าง Active Directory Domain Service (AD DS) จะต้องมีการออกแบบว่าจะมีกี่ Forest, Tree, Domain และอื่นๆ ครับ และจะมี Features ต่างๆ ที่มาพร้อมกับ Active Directory Domain Service (AD DS) เช่น การสร้าง User, Group, และ Computer Accounts ต่างๆ ไว้ใน Domain, Group Policy ซึ่งเป็น Feature ที่ให้องค์กรสามารถสร้างและกำหนด Policy ในการควบคุมและจัดการ Resources ต่างๆ และอื่นๆ
ดังนั้นผู้ใช้งานที่จะเข้ามาใช้งานทรัพยากรต่างๆ ก็จะต้องมี User Account ใน Active Directory Domain Service (AD DS) ก่อนครับ นอกจากนี้แล้วเครื่องของผู้งานก็จะต้องทำกระบวนที่เรียกว่าการ “Join Domain” เพื่อจะเข้าถึงทรัพยากรต่างๆ เช่นกันครับ สำหรับในส่วนของ Authentication Protocols ที่ Active Directory Domain Service (AD DS) ที่รองรับคือ NTLM และ Kerberos ครับ ในส่วนของการทำ Query ข้อมูลใน Active Directory Domain Service (AD DS) ใช้ LDAP Protocol ครับ
จากสิ่งที่ผมได้อธิบายเกี่ยวกับ Active Directory
Domain Services (AD DS) ไว้ในข้างต้น
เพื่อให้ทุกท่านเห็นภาพและเข้าใจเกี่ยวกับ Service นี้กันก่อนครับ
จากนั้นในหัวข้อถัดไปท่านผู้อ่านก็จะได้รู้จักกับ Azure Active Directory (Azure AD)) ว่ามี Concept และรายละเอียดเป็นอย่างไร
และมีความแตกต่างกับ Active Directory Domain Services (AD DS) อย่างไร แต่สิ่งสำคัญไปกว่านั้นคือ เราสามารถใช้ทั้ง Active
Directory Domain Services(AD DS) และ Azure Active
Directory (Azure AD) ทำงานร่วมกันได้เพื่อทำ
Hybrid Cloud ครับ
ทำความรู้จักกับ Azure Active Directory (Azure AD)
Azure Active Directory (Azure AD) เป็น Service หนึ่งใน Microsoft Azure ครับ โดยทำหน้าที่เป็น Identity and Access Management (IAM) Solution ทำหน้าที่ในการบริหาจัดการและควบคุมในส่วนของ Identity สำหรับการเข้าถึงและใช้งานทรัพยากรต่างๆ (Azure Storages, Azure App Services, Devices และอื่นๆ ) ใน Microsoft Azure รวมถึงใน On-Premise Data Center ครับ
นอกจากนี้แล้วยังมีความสับสนและข้อสงสัยเกี่ยวกับ Azure Active
Directory เช่น Azure Active Directory เหมือกับ
Active Directory Domain Services (AD DS) ใน Windows Server หรือไม่? Azure
Active Directory จะมาแทน Active Directory Domain Services (AD DS) ใน Windows Server หรือไม่ ?
สำหรับ Azure Active
Directory (Azure AD) มีความแตกต่างกับ
Active Directory Domain Services (AD DS) ที่อยู่ใน Windows
Server ครับ โดย Azure Active Directory (Azure AD) นั้นไม่ใช่
Directory Service (LDAP Service) เหมือนกับ Active
Directory Domain Services (AD DS) ใน Windows Server ครับ เพราะใน Azure Active Directory (Azure AD) มี Concept, Structure, และรายละเอียดต่างๆ
ที่แตกต่างจาก Active Directory Domain Services (AD DS) ครับ สำหรับใน Azure Active Directory (Azure AD) นั้นไม่มี Forest, Tree และ
Domain ซึงเป็น Hierarchical Structure เหมือนกันใน Active Directory Domain Services (AD DS) ครับ สำหรับโครงสร้างและ Structure ของ Azure Active Directory (Azure AD) นั้นมีโครงสร้างเป็น Flat Structure ครับ, รวมถึงไม่มี
Group Policy สำหรับจัดการ Policy, ไม่มี Kerberos
และ NTLM Protocols สำหรับการทำ
Authentication ครับ
ดังนั้น Azure Active Directory (Azure AD) จะไม่ใข่ Service ที่จะมาทดแทน Active Directory Domain Services (AD DS) ที่อยู่ใน Windows Server ที่องค์การต่างๆ
ใช้งานอยู่ครับ แต่ในทางกลับกันเราสามารุถนำเอา Azure Active Directory (Azure AD) มาทำการ Integrate กับ Active Directory Domain Services (AD DS) เพื่อทำงานร่วมกันได้ใน Concept และการทำงานที่เรียกว่า Hybrid Cloud ดังรูปด้านล่างครับ
ในความเป็นจริงแล้ว Azure Active Directory (Azure AD) ไม่ได้มีอยู่ใน Microsoft Azure เพียงที่เดียวนะครับ
ทาง Microsoft ได้เตรียมและให้ Azure Active Directory ( Azure AD) มาใน Cloud Services อื่นๆ ของ Microsoft ด้วยเช่นกันครับ เช่น Microsoft 365, Microsoft Endpoint Manager, และอื่นๆ โดยมีวัตถุประสงค์ คือ เตรียมเอาไว้ให้กับลูกค้าหรืององค์กรต่างๆ ใช้สำหรับการบริหารและจัดการ
Identity (IAM) เพื่อเข้าถึงและใช้งานทรัพยากรต่างๆ
ไม่ว่าจะอยู่ที่ใด (On-Premise และ Cloud) โดยที่ทางลูกค้าหรืององค์กรสามารถนำ Azure Active Directory (Azure AD)
ไปใช้งานได้เลยโดยไม่มีค่าใช้จ่าย !!!!! นั้นหมายถึง
Azure AD เป็น Service ที่ทาง Microsoft ให้ลูกค้าและองค์กรต่างๆ สามารถนำไปใช้งานได้ฟรีครับ
รายละเอียดเพิ่มเติมเกี่ยวกับ Azure Active Directory (Azure AD) สามารถดูได้จาก Link ดังต่อไปนี้ครับ:
https://azure.microsoft.com/en-us/services/active-directory/
https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis
และทั้งหมดนี้คือเรื่องราวของ Azure Active Directory (Azure AD) ครับผม.....
-
เข้าใจแจ่มแจ้งเลยครับ ขอบคุณมากครับ
ตอบลบขอบคุณครับ :)
ลบอยากจะหาคนมา implement พอจะมีแนะนำไหมครับ
ตอบลบอธิบายได้ดีมาก ครับ
ตอบลบขอบคุณครับผม
ลบกระจ่างเลยครับ ขอบคุณครับ
ตอบลบ