Vittorio Bertocci hat auf der diesjährigen Build wieder einen sehenswerten Talk abgeliefert. In seiner bekannt charmanten Art und mit italienisch geprägtem Akzent hat er einen souveränen Vortrag über „Windows Azure Active Direcotry“ abgeliefert. Jeder der den Talk noch einmal nachvollziehen möchte sei dies unter http://www.buildwindows.com wärmstens empfohlen. Eine Zusammenfassung des Task möchte ich hier kurz geben:
Was ist Windows Azure Active Directory?
Abstrakt betrachtet kann man sich darunter eine AD Infrastruktur, wie man sie von einer on-premise Installation gewöhnt ist, betrieben in Windows Azure vorstellen. Nur dass diese Infrastruktur über „Internet-Freundliche“ Zugriffspunkte die sowohl von on-premise Applikationen als auch von SaaS Applikationen (natürlich auch von WebSites / PaaS oder Applikationen die auf IaaS Plattformen gehosted werden) verfügt.
Ein auf der Build offiziell vorgestelltes Feature ist hier der neue SAML-P Endpunkt.
Eine Verbindung zu einem lokal installiertem AD ist hierbei natürlich auch möglich. Dabei werden Informationen von einem lokalen AD nach Windows Azure Active Directory projiziert bzw. synchronisiert (siehe Dir-Sync in der obigen Grafik).
Was ist nicht ausreichend an der Kombination von ADFS und WIF?
Warum benötigt man nun ein AD in der Cloud und reicht nicht die Verwendung von ADFS in der on-premise Domäne und die Verwendung des Windows Azure Access Control Service (ACS) in Verbindung mit WIF in der Relying Party?
Es gibt Anwendungsfälle, bei dem die Information die im SAML Token an die Relying Party übertragen werden einfach nicht ausreichen. Es werden zwar alle im ADFS konfigurierten Informationen via Token an die Relying Party übertragen, aber z. B. die Informationen über alle User in einer bestimmtem Gruppe oder weitergehende Informationen (welche im Directory gespeichert sind) die nicht direkt dem User zugeordnet sind, können zwar theoretisch im SAML Token übertragen werden. Aufgrund der möglichen Datenmenge erscheint dies jedoch nicht erstrebenswert. Hier erscheint die Verwendung des Azure Active Directory als sehr einleuchtende Lösung.
Als weiteres Feature welches in der aktuellen Implementierung des ACS nicht zu finden ist, ist die Möglichkeit Benutzer innerhalb des Azure Active Directory anzulegen.
Anmeldung am Azure Management Portal
Vittorio hat im Talk gezeigt, wie einfach es ist, sich am Azure Management Portal anzumelden und hierbei nicht wie bisher einen Microsoft Account (a.k.a. Windows Live-ID) zu verwenden. Stattdessen kann via Azure Active Directory z. B. eine Smartcard sowie die Login-Credentials einer lokalen AD verwendet werden. Für mittelständische bzw. größere Firmen erscheint diese Funktionalität sehr sinnvoll und macht es den lokalen Administratoren einfacher Berechtigungen für den Zugriff auf das Management-Portal zu vergeben und zu verwalten.
Zugriff auf Windows Azufe Active Directory
Zum Abschluss des Talk hat Vittorio noch gezeigt, wie einfach es ist innerhalb von Visual Studio Windows Azure Active Directory zu verwenden. Hierbei wird das Windows Azure SDK 1.8 benötigt, welches bereits zum Download bereitsteht.
