Was bei Azure AD nicht so gut funktioniert

Damit eine Applikation Azure Active Directory als Quelle für Nutzerdaten verwenden kann, muss sie aber nicht erst selbst mit Azure AD sprechen. Denn Microsoft schaute bei Azure AD erkennbar über den Tellerrand und stellte dem Tool gleich eine Anbindung an SAML und OAuth an die Seite.

Stellenmarkt

1. Statistisches Bundesamt, Wiesbaden
2. Universität Passau, Passau

Im Klartext lassen sich diverse SSO-Implementierungen also ebenfalls direkt aus Azure AD heraus nutzen. Die Voraussetzung dafür ist lediglich, dass der Admin in seiner Azure-Active-Directory-Instanz für eine jeweilige Zielapplikation eine Identität anlegt.

• 

Azure AD lässt sich als Federation-Quelle für Protokolle wie OAuth oder SAML verwenden. (Quelle: Microsoft / Screenshot: Golem.de)

Einzelnen Nutzern erteilt der Admin anschließend die Zugriffsrechte für die spezifischen Applikationen. Durch seine generischen Schnittstellen lässt Azure AD sich viel weitläufiger einsetzen als sein On-Premises-Gegenstück.

Viele Features des herkömmlichen AD fehlen

Aus Sicht erfahrener Active-Directory-Nutzer ist die nicht so erfreuliche Nachricht, dass die beiden beschriebenen Funktionen den Kern von Azure Active Directory bilden - und viele Features der herkömmlichen Variante in Azure AD schlicht fehlen. Das Hinzufügen eines Servers zu einer Azure-AD-Domäne etwa scheitert schon daran, dass Azure AD das typische Domänen-Konzept nicht implementiert.

Gruppenrichtlinien gibt es in Azure AD ebenso wenig wie Unterstützung für LDAP, NTLM oder Kerberos. Obendrein ist Azure AD eine flache Hierarchie, Organizational Units gibt es also ebenso wenig. Letzteres können Admins aber über die Gruppen, die Azure AD implementiert und über die sich Berechtigungen vergeben lassen, ausgleichen.

Wie lässt sich eine gemeinsame Nutzerbasis realisieren?

Der Vergleich der beiden Ansätze macht deutlich: Azure AD ist nicht einfach eine in die Cloud verlagerte Azure-Instanz, sondern ein fundamental anderes, technisches Konzept. Das stellt Admins vor Herausforderungen: In praktisch jeder Firma gilt das Mantra der "Single Source of Truth" im Hinblick auf Benutzerdaten als heilig - und zwar aus den oben genannten Gründen.

Aus Sicht des ausführenden Personals wäre wohl nur ein rostiger Nagel im Fuß noch weniger reizvoll als die Idee, zwei Benutzerverzeichnisse - eines im lokalen AD, eines in der Cloud - für dieselbe Benutzerbasis zu pflegen. Das gilt umso mehr, als die meisten Firmen heute fix mit hybriden Workloads planen - ein Teil geht in die Cloud, ein Teil bleibt innerhalb der eigenen Infrastruktur.

Die gute Nachricht ist, dass es Mittel und Wege gibt, die Inhalte von einem On-Premises-AD und einem Azure AD sinnvoll zusammenzubringen. Welchen Weg Admins dabei gehen, hängt von mehreren Faktoren ab.