当事情着火时:Office 365的身份

让我们讨论一些场景,这些场景可能是当本地环境着火,停电或因灾难而中断时,云可能会派上用场。您如何利用云技术来接管业务,以便在恢复的同时受益于业务连续性?

我收到了许多客户的声音,他们计划使用云计划最关键资产的业务连续性。考虑一下他们的情况:他们投资了Office 365,这意味着他们在Sharepoint中拥有大量业务数据,他们在云中拥有电子邮件和日历以及即时消息传递,同时还拥有一个云托管的会议解决方案。广大用户(>90%的用户使用这些功能,而同时又不得不让少数用户保持本地部署(例如,出于监管原因)。这些客户通过传统设置管理对云的访问:他们具有本地Windows Active Directory(AD),这是身份验证和粗粒度访问的主要目录。他们还拥有一个身份提供程序,该身份提供程序向云颁发访问令牌,并具有一个目录同步引擎,该身份同步引擎将身份数据从其本地目录(即AD)传输到云目录(在本例中为Azure AD(AAD))。

当事情着火时:Office 365的身份

您会看到,仍然需要在本地托管一些组件才能成功使用这些业务应用程序,从而使用户的日常工作成为可能。

现在,这些客户之一正在查看他们的业务连续性计划,并以此作为其最有价值资产的清单。这种分析的思想很简单。他们需要能够尽快收回最有价值的资产-遏制对公司的损害并继续或恢复运营。作为调查的一部分,他们将即时消息(IM)和电子邮件确定为关键组件。您会同意,这些资产可能不是包含公司机密或宝贵制造数据的资产,尽管这些数据库当然也列在清单中。不,电子邮件和即时消息被认为是至关重要的,以便在灾难持续进行或正在解决时,在寻求帮助的员工与公司之间恢复清晰的通信路径。

显然,IM和电子邮件目前依赖于许多本地组件:Windows AD,身份提供程序,目录同步–以及云中的Azure AD。您如何使这些组件具有弹性和防灾能力?

我们正在考虑两种方法:

  • 复制整个环境 在其他地方,您可以轻松地连接到环境并可以轻松地将其连接到环境:在使用IaaS的另一个云环境中构建所有必需的组件(Windows AD,Identity Provider,Directory Sync)。
  • 更改身份验证配置 并在密码哈希同步的帮助下,从本地Windows AD身份验证切换到简单的Azure AD身份验证。

两种不同的方法在恢复速度,构建,维护和操作的复杂性以及安全性方面各不相同:

复制整个环境更改authN配置
恢复速度
恢复的复杂性
建造成本
维修费用
构建的复杂性
用户体验

万一您的脚趾甲卷起,请考虑以下事实:密码永远不会以明文形式离开Windows AD,并且将Windows AD中的密码哈希值再哈希1000次,然后再安全地传输到云中。

当然,会有安全性要求,尤其是在密码哈希同步方面。在此特定示例中,客户在云中已经拥有了不错的足迹,这当然有助于信任云提供商。另外,从透视图的角度来看,在此示例中,整个本地基础结构都崩溃,崩溃,脱机,并且您需要以安全的方式使业务重新恢复在线状态。

向前,客户接受了密码哈希同步作为后备选项,并根据Microsoft的建议进行了配置。密码哈希的哈希作为回退流到Azure AD,而对于正常操作,主要身份验证仍通过Identity Provider和Windows AD进行。仅在紧急情况下,当他们的Windows AD死亡或受到威胁或任何程度的威胁时,他们才直接在Azure AD中切换到基于密码的登录。那“flip over”一旦密码同步成功,从IDP-SSO到Azure AD中的密码就是一个时髦的Powershell命令。在客户通过的测试中,切换仅需几秒钟。

长话短说-由于多种原因,您可能会或可能不喜欢密码哈希同步-并希望在灾难情况下建立更多的基础架构(希望永远不会发生!),但是我们希望您摆脱困境是:

  • 查看您的宝贵资产,并列出 对您的业务至关重要 –并且必须尽快恢复什么以防万一。
  • 不仅从业务应用程序角度来看这些资产– 你如何沟通 在这场危机中如何向员工提供帮助/协助/指导? Whatsapp组是否可能是合适的替代方案
  • 考虑你的 云足迹 已经-您对从云/其他供应商托管的核心服务的本地依赖关系是什么?
  • 你的...是 投资意愿 进入灾难恢复“setup”。考虑复杂性(构建,维护,操作),成本(构建,维护,操作,设备,VM等的资源)和安全性(考虑到您的处境非常严峻)。您将能够使所有环境保持同步吗?
  • 一旦有了计划,您有多少机会 执行计划 (文档,实践,指示是否清晰,最新?),什么时候着火了,并且您的手在颤抖?

有趣的现实检查,是吗?顺便问一下 Azure站点恢复(ASR)?

标签

相关文章

发表评论

该网站使用Akismet减少垃圾邮件。 了解如何处理您的评论数据.