สวัสดีครับทุกท่าน สำหรับบทความนี้ผมอยากจะนำเสนอเรื่องราวเกี่ยวกับ Identity ใน Microsoft Azure ครับ และแน่นอนครับว่าพอเราพูดหรือนึกถึง Identity ก็จะมี Service นึงเข้ามาเกี่ยวข้องแน่นอนนั่นก็คือ "Microsoft Entra ID" โดยตัวของ Microsoft Entra ID นั้นเป็น Service ที่เข้ามาช่วยในเรื่องของการบริหารจัดการ Identity (Identity and Access Management) ซึ่งถ้าเราใช้งาน Cloud Services ต่างๆ ของ Microsoft ยกตัวอย่างเช่น Microsoft 365, Microsoft Azure, เป็นต้น Microsoft Entra ID ก็จะมาพร้อมกับ Cloud Services เหล่านี้และเข้ามาบริหารจัดการ Identity ใน Microsoft Entra Tenant ขององค์กรครับ โดยตัวของ Microsoft Entra ID นั้นถือว่าเป็น Service หนึ่งที่มีความสำคัญมากในองค์กรที่มีนำเอา Cloud เข้ามาประยุกต์ใช้งานเพราะตัวของ Microsoft Entra ID จะเข้ามาบริหารจัดการ Identity อย่างที่ผมได้เกริ่นไว้ข้างต้นและ Microsoft Entra ID จะดำเนินการกระบวนการต่างๆ กับ Identities เช่น Authentication, Authorization, และ Auditing ครับ
โดยในบทความนี้ผมอยากจะพาทุกท่านมาทำความรู้จักกับชนิดหรือรูปแบบของ Identity ต่างๆ ใน Microsoft Entra ID ครับ เพราะในการบริหารจัดการ Identity ในองค์กร เราจะต้องเข้าไปเกี่ยวข้องกับ Identity หลากหลายรูปแบบครับ ทั้งนี้ก็ขึ้นอยู่กับความต้องการของแต่ละองค์กรว่าจะใช้ Identity ชนิดหรือรูปแบบใดบ้างครับ และสำหรับท่านที่ทำหน้าที่เป็นผู้ดูแล Microsoft Entra ID ในองค์กรตลอดจนท่านที่บทบาทหน้าที่ที่เกี่ยวข้องกับการบริหารจัดการ Identity ยิ่งควรทราบและทำความรู้จักกับชนิดหรือรูปแบบต่างๆ ของ Identity ครับ รายละเอียดจะเป็นอย่างไร เรามาเริ่มกันเลยครับ
รูปแบบต่างๆ ของ Identity ใน Microsoft Entra ID
สำหรับใน Microsoft Entra ID นั้นจะมี Identity อยู่ 4 แบบครับ โดยมีรายละเอียดดังนี้:
รูปแบบที่ 1: User Account จัดว่าเป็น Identity รูปแบบหรือชนิดที่หลายๆ ท่านรวมถึงตัวผมเองรู้จักและคุ้นเคยมากที่สุด เพราะ Identity รูปแบบดังกล่าวนี้ใช้แทนตัวของผู้ใช้งานเพื่อใช้ในการเข้าถึง Resources ต่างๆ โดยก่อนหน้าที่จะเข้าถึง Resources ต่างๆ ก็จะต้องผ่านกระบวนการตรวจสอบ (Authentication) กับ Microsoft Entra ID ก่อน โดยตัวของ User Account นั้นยังแบ่งออกเป็นอีก 3 ชนิดครับ นั่นก็คือ
- Cloud User Account (Cloud Account) คือ User Account ที่สร้างขึ้นมาใหม่ใน Microsoft Entra Tenant
- Hybrid User Account (Hybrid Account) คือ User Account ที่ถูก Synced จาก Active Directory Domain Service (AD DS) มายัง Microsoft Entra ID
- External User Account (Guest Account) คือ User Account ที่ใช้แทนบุคคลภายนอกองค์กร แต่เราต้องการให้เข้ามา Access Resources ต่างๆ ใน Microsoft Entra Tenant
รูปแบบที่ 2: Group Account จัดว่าเป็น Identity ที่นำเอามาใช้ในเรื่องของการทำ Access Control หรือการ Assign สิทธิ์เพื่อเข้าถึง Resources ต่างๆ ครับ โดยตัวของ Group Account นั้นยังแบ่งออกเป็น 2 ชนิด คือ
- Security Group (Default) สำหรับใช้ในการเข้าถึงหรือ Access Resources ต่างๆ *Nest ได้
- Microsoft 365 Group สำหรับใช้ในการเข้าถึงหรือ Access Microsoft 365 Resources *ไม่สามารถ Nest ได้
รูปแบบที่ 3: Service Principal จัดว่าเป็น Identity ที่ถูกนำเอาไปใช้กับ Applications ในกรณีที่องค์กรที่มีความต้องการที่จะให้ Applications เช่น Web App เข้าถึงหรือ Access Resources ต่างๆ ใน Microsoft Tenant ครับ โดยการที่จะทำให้ตัวของ Application มี Identity (Service Principal) นั้นจะต้องนำเอา App ดังกล่าวนี้ไปทำการ Register กับ Microsoft Entra ID ครับ
รูปแบบที่ 4: Managed Identity จัดว่าเป็น Identity ที่ถูกนำเอามาใช้กับ Services ต่างๆ ใน Microsoft Azure ที่ต้องการเข้าถึงหรือ Access Resources ต่างๆ ใน Microsoft Tenant ครับ ยกตัวอย่างเช่น ถ้าผมต้องการให้ Azure Web App หรือ Azure App Service เข้าไป Access ข้อมูลหรือ Data ใน Azure Storage Account ครับ เพราะฉะนั้นการที่เราจะทำให้ Services ใน Microsoft Azure มี Identity ขึ้นมาได้น้้นก็จะอาศัยความสามารถของ Microsoft Entra ID โดยใช้ฟีเจอร์ "Managed Identity" ซึ่งก็คือ Identity ในรูปแบบดังกล่าวนี้นั่นเองครับ นอกจากนี้แล้ว Managed Identity ยังแบ่งออกเป็น 2 ชนิด คือ
- System-Assigned Managed Identity คือ ชนิดที่ Microsoft Entra ID สร้าง Identity ขึ้นมาและกำหนดให้กับ Azure Services นั้นๆ ยกตัวอย่างเช่น ผมต้องการให้ Azure App Service เข้าไป Access ข้อมูลใน Azure Storage Account ดังนั้นเมื่อมีการกำหนด Identity ให้กับ Azure App Service แล้ว จากนั้นเราสามารถทำการ Assign RBAC Roles ที่ต้องการให้กับ Azure App Service ได้เลยครับ ซึ่งจะมีคอนเซปเดียวกับตอนที่เราทำการ Assign RBAC Roles ให้กับ User หรือ Group Accounts (รูปแบบที่ 1 และ 2) ครับ
- User-Assigned Managed Identity คือ ชนิดที่ Microsoft Entra ID สร้าง Identity ขึ้นมาต่างหากและทำการกำหนดให้กับ Azure Services หลายตัวที่ต้องการเข้าถึงหรือ Access Resources เช่น ผมมี Azure Virtual Machines หลายตัวที่ต้องการเข้าถึงหรือ Access Resources ครับ ดังนั้น Identity ชนิดนี้สามารถถูกกำหนดให้กับหลาย Azure Virtual Machines ได้ครับ แทนที่จะกำหนดที่ละตัวครับ
และทั้งหมดนี้คือเรื่องราวเกี่ยวกับรูปแบบต่างๆ ของ Identity ที่อยู่ใน Microsoft Entra ID ครับ และมาถึงตรงนี้ท่านผู้อ่านจะเห็นว่า คำว่า "Identity" ที่เรารู้จักหรือคุ้นเคยกันอยู่เลย ไม่ได้หมายความเพียงแค่ User Account เพียงอย่างเดียวครับ อีกทั้งสิ่งที่จะเข้ามา Access Resources ที่อยู่ใน Microsoft Entra Tenant ก็ไม่ได้มีเพียงแค่ผู้ใช้งาน (User Account) อย่างเดียว ยังมี Applications ที่ต้องการเข้าถึงหรือ Access Resources เช่นเดียวกันครับ ดังนั้นในการที่เราจะเข้าไปทำการบริหารจัดการ Identity ในองค์กรมีความเป็นไปได้ครับ ที่เราอาจจะเกี่ยวข้องกับ Identity หลายหลายรูปแบบ และเราสามารถบริหารจัดการ Identity หลากหลายรูปแบบได้โดยอาศัยความสามารถของ Microsoft Entra ID ที่เรารู้จักครับผม.....
ไม่มีความคิดเห็น:
แสดงความคิดเห็น