Uma ponte do Active Directory (AD) é uma ferramenta que permite que as organizações continuem usando o AD como sua fonte autorizada de identidade, ao mesmo tempo em que o estendem a sistemas, aplicativos e protocolos que não podem ser gerenciados nativamente, além de modernizarem seu controle de acesso. Outros termos para esse tipo de solução são extensão do Active Directory ou ponte de identidade em nuvem.
Se você está procurando informações especificamente sobre a oferta de ponte AD da JumpCloud, ela é chamada de Integração com Active Directory (ADI). Visite a página do produto para um resumo completo dos recursos e capturas de tela. A ponte AD estende identidades para a nuvem e permite que essas identidades sejam implantadas em recursos não vinculados ao AD por meio da plataforma de diretório aberto do JumpCloud.
Você encontrará uma definição mais detalhada de uma ponte AD abaixo, juntamente com algumas informações básicas sobre o estado do AD, o cenário dos serviços de diretório e por que tantas organizações estão procurando modernizar ou substituir implantações legadas do AD por alternativas mais produtivas.
Por que modernizar o Active Directory?
Se você olhar para a virada do século, verá um ambiente principalmente Windows local em todas as organizações. Os usuários entravam no escritório todos os dias, sentavam-se em suas mesas, conectavam-se a uma rede privada e autenticavam suas identidades em um controlador de domínio (DC) local do Active Directory . A Microsoft armazenou identidades de usuários em servidores Windows privados em um data center em algum lugar no local, o que permitiu acesso contínuo a recursos como aplicativos baseados em Windows, plataformas de produtividade e dispositivos de armazenamento, para citar alguns.
As coisas parecem muito diferentes hoje. Outros sistemas operacionais (por exemplo, Android, Linux, Mac e Windows), pontos de acesso sem fio (WAPs) e redes, usuários remotos e recursos de nuvem são a norma. Embora esses e muitos outros aspectos tenham mudado, uma coisa permaneceu a mesma: o Active Directory. AD é uma tecnologia legada central para muitas propriedades digitais, mas não atende mais aos requisitos. A Microsoft posiciona o AD como uma tecnologia legada devido às suas restrições funcionais e problemas de segurança.
Limitações do Active Directory
Muitas organizações ainda utilizam o AD para serviços de diretório, e isso é especialmente verdadeiro quando possuem infraestruturas de TI mais maduras. O desafio para esses tipos de organizações é estender as credenciais dos usuários para gerenciar recursos que estão fora do domínio do Active Directory, ou seja, sistemas, aplicativos e recursos de nuvem não Windows. Também carece de autenticação moderna.
Gerenciamento de dispositivos entre sistemas operacionais
Por exemplo, o gerenciamento centralizado para sistemas Mac e Linux sempre foi notoriamente difícil de implementar e manter com o AD.
Ao mesmo tempo, a DA está tão arraigada na infraestrutura de uma organização que é improvável livrar-se dela. Como resultado, não é incomum que esses sistemas não Windows fiquem sem gerenciamento, o que é algo que o novo modelo de controle de acesso da Microsoft para AD e o plano de modernização Zero Trust desencorajam.
Controle de acesso
O AD foi projetado e desenvolvido para gerenciar endpoints do Windows, e o gerenciamento de um ambiente de sistema operacional heterogêneo requer soluções adicionais. Mais importante ainda, nem todos os dispositivos que acessam recursos via AD precisam ser compatíveis ou gerenciados. Portanto, é possível que os invasores aproveitem PCs confiáveis mal gerenciados como ponto de entrada nas redes.
AD também não conseguevalidar explicitamente a confiança para todas as solicitações de acesso. Essa fraqueza, juntamente com vulnerabilidades de segurança no Windows, pode levar ao escalonamento de privilégios usando técnicas como tíquetes de confiança Kerberos forjados para obter acesso não autorizado em domínios AD. O AD trata o firewall, e não as identidades, como o único perímetro. Essa é uma abordagem desatualizada que apresenta riscos de segurança.
O AD também requer complementos para fornecer logon único (SSO), gerenciamento de acesso privilegiado (PAM) e autenticação multifator (MFA). O AD carece de recursos essenciais de gerenciamento de identidade e acesso (IAM) necessários para ambientes de TI modernos. Isso inclui:
- Logon único
- Verificação de MFA/usuário
- Políticas de acesso condicional/ZTNA
- Esquemas de autenticação modernos como OIDC
- Gerenciamento avançado do ciclo de vida do usuário
- Gerenciamento de dispositivos multiplataforma
O gerenciamento e a autorização do ciclo de vida também são limitados no AD, o que aumenta os riscos de segurança e a sobrecarga de gerenciamento. Os membros de grupos filhos no AD herdam os direitos do(s) seu(s) grupo(s) pai(s), o que pode resultar em direitos não intencionais, conflitos de direitos, desafios de solução de problemas, etc., especialmente quando há uma estrutura organizacional complexa.
Felizmente, a ponte AD da JumpCloud, ADI, torna possível estender ambientes de vários domínios para a nuvem, a fim de modernizar o AD para Zero Trust e oferece a opção de manter o AD como armazenamento de autenticação ou usar um provedor de identidade em nuvem (IdP). como JumpCloud.
Active Directory e JumpCloud
JumpCloud integra nuvem IAM com gerenciamento universal de endpoint (UEM) e outras ferramentas essenciais que são necessárias para gerenciar seus dispositivos, como gerenciamento de patches e acesso remoto com assistência remota . JumpCloud também aumenta a eficiência da TI, fornecendo automações para gerenciamento do ciclo de vida de dispositivos e usuários por meio de grupos dinâmicos , que é uma abordagem mais madura e fácil de administrar. O ADI possui opções de configuração flexíveis e é simples de configurar. Facilita a sincronização de usuários, grupos e senhas entre o JumpCloud e o AD local ou externo. ADI oferece suporte a vários casos de uso, incluindo:
- Estendendo sua instância do AD para oferecer suporte a recursos adicionais na nuvem
- Minimizando a área ocupada pelo AD sem substituir sua implementação atual
- Migrando totalmente do AD
Integrando AD com JumpCloud
Abaixo, explicaremos como conseguir a integração entre o Active Directory e o JumpCloud em três etapas, com base no seu caso de uso. Consulte o Centro de Suporte para ADI para obter orientações detalhadas.
1. Prepare-se para as instalações do agente no AD
A primeira etapa no uso do ADI é identificar o controlador de domínio do Active Directory (ou servidores membros) onde os agentes de sincronização do ADI serão instalados. Seu caso de uso determinará quais agentes são necessários, a direção da sincronização e qual diretório serve como autoridade.
Revise o gráfico a seguir para selecionar a configuração de implantação apropriada:
A instalação de agentes em cada DC garante que as propagações de senha — não importa de onde venham as alterações de autenticação — sejam devidamente identificadas e depois transmitidas com segurança para o JumpCloud. Os serviços do Agente de Sincronização usam TLS para todas as comunicações e o tráfego é enviado (apenas) para console.jumpcloud.com. ADI oferece suporte a fluxos de trabalho de vários domínios como caminho de migração.
As etapas de instalação podem variar dependendo do seu caso de uso, mas podem incluir:
- Concluindo a lista de verificação de pré-requisitos
- Determinando o contêiner do usuário raiz no AD
- Criando o grupo de segurança de integração JumpCloud ADI no AD
- Criando a conta de serviço de importação do AD
- Criando a conta de serviço AD Sync
- Delegando controle para as contas de serviço AD Import e AD Sync
2. Crie uma instância ADI no JumpCloud
A próxima etapa é criar uma nova instância ADI, seguindo as instruções do seu guia de configuração. Isso é feito por meio da folha Integrações de diretório do Portal de administração JumpCloud. Você será guiado pelo processo de seleção do seu caso de uso para baixar o Agente de Importação e/ou o Agente de Sincronização. Haverá etapas de instalação e pós-instalação a serem seguidas para iniciar o serviço e configurar o(s) agente(s). Essas etapas estão documentadas nos guias vinculados acima.
3. Use e gerencie o AD Bridge (ADI)
Depois que os agentes ponte AD são instalados em seus controladores de domínio (ou servidores membros) e configurados, eles criam automaticamente a conexão com o JumpCloud. Você pode atribuir um subconjunto da sua organização que precise de acesso aos recursos da nuvem ou ao gerenciamento de dispositivos. O artigo de suporte com link abaixo fornece uma descrição detalhada de como usar os agentes para gerenciar usuários, grupos e senhas no JumpCloud, bem como algumas práticas recomendadas para gerenciar ADI.
Como os diretórios são sincronizados
O agente ponte AD é muito semelhante ao agente de sistema do JumpCloud , pois pesquisa alterações em uma cadência. Nesse caso, o agente ponte AD executa uma cadência de aproximadamente 90 segundos, ouvindo eventos como alterações de senha, alterações de membros de grupos, atualizações de novos usuários, edições de usuários, etc. As alterações são replicadas e sincronizadas com os objetos de diretório JumpCloud correspondentes. Esta é uma visão geral dos fluxos de trabalho de sincronização:
Somente importação de AD – Fluxo de trabalho de domínio único
Somente importação de AD – fluxo de trabalho de vários domínios
Sincronização bidirecional – Fluxo de trabalho de domínio único
Sincronização bidirecional – fluxo de trabalho de vários domínios
O que o AD Bridge se estende
Além desse relacionamento de ponte AD , o JumpCloud é uma plataforma de diretório aberto . Em muitos casos é um substituto ou alternativa ao AD ; torna possível a modernização e a extensão do AD. Nesse caso, como o JumpCloud é um diretório completo, significa que você pode utilizar os benefícios dos protocolos disponíveis na plataforma JumpCloud. Agora vamos examinar alguns dos protocolos e como eles permitem que o JumpCloud atenda às necessidades de uma ampla variedade de casos de uso.
Caso de uso: conectando sistemas Android, Mac e Linux
JumpCloud é capaz de gerenciar endpoints Windows, Android, Mac e Linux por meio de seu agente ou gerenciamento de dispositivos móveis (MDM).
Nenhuma VPN ou domínio é necessário; você simplesmente gerencia esses sistemas por meio do console de administração do JumpCloud usando políticas pré-construídas ou personalizadas, comandos ou acesso remoto opcional. Você pode até implantar aplicativos por meio de um repositório personalizado para agilizar a integração. O MDM oferece garantia de que as configurações de segurança sejam aplicadas e que o acesso aos recursos em Macs e Windows possa ser simulado por uma credencial resistente a phishing .
JumpCloud até mesmo federa com outros IdPs, como Okta, para gerenciamento de dispositivos entre sistemas operacionais.
Caso de uso: Conectando servidores baseados em nuvem
O gerenciamento de servidores baseados em nuvem na AWS , Google Cloud Platform (GCP) ou Azure é outro caso de uso. Assim como suas estações de trabalho ou laptops, eles têm o agente do sistema JumpCloud instalado e ocorre o mesmo processo –– porta 443, sem VPN.
Se desejar proteger seu ambiente atrás de um firewall ou VPN para acesso privilegiado ao seu ambiente, você poderá continuar a fazê-lo.
Observação: JumpCloud se integra ao AWS IAM Identity Center.
Caso de uso: Conectando escritórios remotos
Outro caso de uso robusto envolve o escritório remoto .
Você precisa que as pessoas se autentiquem com segurança com suas credenciais do AD, mas não quer ter que fazer redes elaboradas, criar túneis ou usar VPNs. Então é aqui que entra o RADIUS. Novamente, as identidades dos usuários são todas identidades controladas pelo AD, mas os serviços do protocolo RADIUS podem ser usados para adicionar escritórios remotos e fazer com que eles se autentiquem efetivamente em redes sem fio usando o Cloud RADIUS da JumpCloud.
Por exemplo, essas redes podem ser configuradas em pontos de acesso Meraki, Mist ou Ruckus. Tudo isso pode ser alcançado utilizando a infraestrutura RADIUS da JumpCloud na nuvem. Basta usar a ponte AD para propagar identidades do AD para o JumpCloud. JumpCloud fornece MFA em todo o ambiente , incluindo autenticação baseada em certificado para RADIUS para eliminar senhas e fortalecer a segurança.
Caso de uso: Conectando recursos LDAP
Digamos que você tenha recursos locais ou recursos que acessam a autenticação por meio de LDAP . O serviço LDAP em nuvem da JumpCloud fornece acesso protegido por MFA a recursos sem requisitos de hardware. Isso é útil para aplicativos e hardware que possuem requisitos de conformidade de rede para MFA. JumpCloud ajuda a proteger sua infraestrutura de rede.
Caso de uso: Conectando aplicativos baseados na Web
Até agora falamos sobre agentes de sistema, RADIUS e LDAP. JumpCloud também oferece suporte a SAML e OIDC .
O acesso condicional opcional ajuda a proteger o acesso aos recursos, especialmente para contas privilegiadas. O mesmo conjunto de credenciais do AD pode usar protocolos web para federar aplicativos SSO que o JumpCloud suporta no produto sem a instalação do Entra AD Connect (Azure AD Connect). Instale o agente, selecione seus usuários e grupos para propagar para o JumpCloud, aponte e clique e conceda-lhes acesso imediato a uma variedade de aplicativos da web.
Saiba mais sobre JumpCloud e AD Bridge (ADI)
A solução de ponte AD da JumpCloud, ADI, facilita a extensão/modernização de suas identidades gerenciadas pelo Microsoft AD para autenticação com recursos baseados em nuvem e não Windows que não são suportados diretamente pelo AD. Ele também fornece gerenciamento de dispositivos entre sistemas operacionais, gerenciamento avançado do ciclo de vida e autenticação moderna para restabelecer o forte controle de acesso que o AD já teve.
A extensão do Active Directory não é para todas as organizações . Se você não tiver nenhum diretório ou tiver investimento limitado na infraestrutura existente do Active Directory, provavelmente fará mais sentido fazer a transição completa para um diretório baseado em nuvem. JumpCloud tem os recursos para apoiá-lo.
Para saber mais sobre como a integração AD do JumpCloud pode beneficiar sua organização, envie-nos uma mensagem. Convidamos você a começar a usar o JumpCloud gratuitamente para ver se o ADI é adequado para sua organização.
