O Active Directory (AD) da Microsoft foi criado há mais de 20 anos para proteger e gerenciar redes. Ele estabelece uma hierarquia organizacional de usuários e dispositivos para redes Windows, centraliza a administração, gerencia o controle de acesso para usuários e serviços e fornece autenticação de fator único para redes. Essa tecnologia e a era da computação para a qual foi criada são muito diferentes dos Serviços de Identidade do Google – um método moderno de gerenciamento de serviços em nuvem e logon único (SSO). A Microsoft reconhece esta mudança e tem se movido constantemente em direção à nuvem, e as lojas de AD não podem evitar a transformação de identidade que está em andamento.
Os serviços de identidade do Google oferecem a opção de substituir o Active Directory da Microsoft ou estender o AD para utilizar o pacote de produtividade Workspace do Google e outros serviços em nuvem. Ele acomoda empresas de todos os tamanhos. O Google recomenda o JumpCloud como o diretório para pequenas e médias empresas (PMEs) gerenciarem usuários, unificarem o gerenciamento de dispositivos e protegerem o acesso a todos os recursos. O Identity Services adota uma abordagem interoperável em vez de proprietária.
O campo de batalha se expandiu além do AD independente e não é possível fazer uma comparação informada entre o AD e os diretórios baseados em nuvem sem reconhecer essa realidade. Este artigo aborda o dilema que muitos administradores de TI enfrentam: seguir o caminho da Microsoft, combinando AD com serviços em nuvem, ou procurar outro lugar. Google + JumpCloud oferece um novo caminho para modernizar o AD.
Legado AD da Microsoft
Não é novidade que há uma diferença na arquitetura entre essas plataformas. O componente de nível superior do AD é a floresta, que pode conter um ou mais domínios. Os domínios são contêineres de recursos e representam limites organizacionais, como escritórios da costa leste e da costa oeste. Unidades organizacionais (OUs) são subcontêineres dentro de domínios como um departamento de vendas.
Os domínios têm confiança inerente e as credenciais podem cruzar domínios, mas as florestas não “confiam” em outras florestas por padrão. Este é um modelo local centrado no Windows que não interopera com serviços Web por conta própria ou com protocolos diferentes do LDAP (sem adicionar a função de servidor NPS).
O AD pode ser rigorosamente controlado e personalizado, mas dominá-lo e seguir as recomendações de segurança mais recentes pode ser desafiador, caro e demorado. É melhor para implantações locais que devem atender a requisitos muito específicos de conformidade ou aplicativos personalizados. O Google, por outro lado, foi construído do zero para ambientes onde as identidades são o perímetro e muitos dispositivos acessam recursos. Isso é diferente da abordagem cliente/servidor clássica da Microsoft para gerenciamento de sistemas de TI. Em resposta, a Microsoft está conduzindo os clientes para a nuvem e mudando para uma abordagem que prioriza a nuvem para o gerenciamento da infraestrutura de TI.
O caminho da Microsoft para a nuvem
A Microsoft não desistiu dos usuários AD que estão migrando para infraestruturas em nuvem. Pelo contrário, o Azure Active Directory (AAD) é a base para um ecossistema de serviços inteiramente novo, fortemente focado em casos de utilização empresarial e que oferece à Microsoft novas receitas recorrentes mensais significativas. As equipes de TI podem integrar AAD e AD para criar configurações híbridas ou migrar o AD para infraestruturas de diretório somente em nuvem. No entanto, é necessária uma colcha de retalhos de serviços, incluindo o Intune , para a gestão de pontos finais. Os recursos incluídos no ecossistema AD estão sendo incluídos em seus níveis de licenciamento. Vamos explorar como é isso.
- O Intune substitui essencialmente o Microsoft System Center Configuration Manager (SCCM) e espera-se que o Intune se integre ao Configuration Manager para “cogerenciamento” de recursos locais existentes. O Intune está disponível como uma assinatura complementar do Microsoft 365 e está incluído em muitos de seus SKUs. O Intune também possui sua própria variedade de complementos, com custo, para assistência remota e muito mais.
- Os Serviços de Domínio do Azure Active Directory ( AAD DS ) cumprem amplamente a função do NPS. Este é um serviço de assinatura separado. O Cloud LDAP agora está incluído neste pacote complementar.
- O Privileged Access Management (PAM) do Microsoft Identity Manager (MIM) permanece em uso para ambientes AD isolados. No entanto, o Privileged Identity Management (PIM) é um recurso AAD de nível 2 Premium. Os planos premium do AAD incluem licenças de acesso para MIM.
- O AAD tem uma arquitetura significativamente diferente do AD. Por exemplo, as UOs foram substituídas por unidades administrativas (UAs). Os objetos de usuário são membros de AUs versus existentes em uma UO.
O portfólio do Azure pode fornecer SSO para muitos recursos e pode funcionar em várias plataformas, mas é um investimento em outro ecossistema da Microsoft que existe na nuvem em vez de na(s) sua(s) sala(s) de servidores.
Uma solução IDaaS moderna pode substituir ou expandir o Active Directory e transferir praticamente toda a sua infraestrutura de TI para a nuvem; As assinaturas 365 da Microsoft não são a única opção que as PME têm.
Alternativas de diretório do Google
O Google Workspace também utiliza unidades organizacionais de nível superior com unidades organizacionais secundárias para departamentos. Ele se integra ao AD para serviços LDAP, mas usa o protocolo SAML (Security Assertion Markup Language) para disponibilizar serviços da Web aos usuários através de domínios e limites de rede. O Google oferece um provedor de identidade (IdP) premium e aproveita parceiros para a melhor opção. O AD não pode fazer isso sem um farm de servidores dos Serviços de Federação do Active Directory (AD FS) ou sem ser estendido por meio da integração com a plataforma Azure Active Directory (AAD) da Microsoft .
O Google oferece as seguintes opções de serviço de diretório:
Login do Google: o Login do Google é a plataforma de gerenciamento de usuários mais básica para aplicativos do Workspace e outros serviços. Estas são contas de usuário gerenciadas que os administradores de TI podem controlar centralmente com seu locatário. IdPs externos podem ser usados por meio de federação baseada em SAML.
IdPs parceiros: o Google reconhece que um tamanho único não serve para todos e selecionou o JumpCloud como o mais adequado para PMEs, especialmente quando as organizações estão migrando do AD. Essa combinação oferece às PMEs uma verdadeira alternativa aos 365 SKUs da Microsoft para estender as identidades do Google para gerenciamento de identidade e acesso (IAM) gerenciado de forma integrada e centralizada com gerenciamento unificado de dispositivos.
“A plataforma de diretório aberto da JumpCloud integra e aprimora o AD com SSO, gerenciamento unificado de endpoints (UEM) e gerenciamento de TI, incluindo gerenciamento de patches e assistência remota.”
Google Cloud Identity: Cloud Identity é uma plataforma de IAM e gerenciamento de endpoints do Google. Existem edições gratuitas e premium, com a principal diferença sendo gerenciamento de aplicativos, gerenciamento de dispositivos, regras, relatórios e outros recursos que não estão disponíveis gratuitamente.
Active Directory: o Google Workspace tem a opção de integração com o Active Directory usando o Cloud Identity. O AD é usado para provisionamento de contas de usuário/grupo e pode ser configurado para SSO usando AD FS.
O melhor dos dois mundos
JumpCloud e Google são melhores juntos; AD e JumpCloud também.
A maneira mais simples para um departamento de TI orientado a AD pensar na plataforma de diretório aberto do JumpCloud é imaginar um amálgama de serviços AD, AAD e Intune (sem as licenças fechadas). Primeiro, o JumpCloud garante que cada recurso tenha uma “melhor maneira” de se conectar a ele.
Por exemplo:
- Os servidores usam chaves SSH que são mais seguras que senhas.
- Autenticação LDAP para dispositivos de rede, com autenticação multifator (MFA) integrada. O MFA abrange todo o ambiente em todos os protocolos de rede.
- Certificados sem senha protegem o acesso Wi-Fi RADIUS.
- Os aplicativos da Web usam SAML e OIDC para SSO e provisionamento. Um gerenciador de senhas descentralizado é integrado para situações em que o SSO não é viável.
- Regras de acesso condicional estão disponíveis para gerenciamento de acesso privilegiado.
JumpCloud e Google são complementares. Ambas as plataformas usam grupos dinâmicos que aproveitam atributos do usuário para automatizar associações a grupos. JumpCloud importa usuários para grupos de outras fontes, incluindo AD. O AD não fornece integrações pré-construídas para sistemas de RH; JumpCloud sim. A diferença está em como os grupos do JumpCloud separam logicamente os objetos de uma maneira que é mais simples do que gerenciar UOs, ao mesmo tempo que fornece gerenciamento avançado do ciclo de vida.
JumpCloud fornece identidade unificada e gerenciamento de dispositivos para endpoints Android, Apple, Linux e Windows. As equipes de TI podem optar por uma abordagem sem agente para dispositivos Android por meio do Enterprise Mobility Management (EMM) ou do gerenciamento de dispositivos móveis (MDM) para produtos Apple.
“O Windows MDM é usado para fluxos de trabalho de integração de dispositivos de autoatendimento e aproveita os mais recentes recursos de registro e gerenciamento de dispositivos da Microsoft. As lojas da Microsoft podem usar sistemas com os quais estão familiarizados enquanto unificam o IAM e o gerenciamento de TI para Windows e muito mais.”
Os agentes executam modelos de política predefinidos e comandos de nível raiz para segurança e conformidade de endpoints Apple, Linux e Mac. A telemetria é coletada para os relatórios do JumpCloud e os eventos podem ser visualizados com a ferramenta System Insights . Não há necessidade de relatórios de complementos que o AD geralmente exige e o JumpCloud também sincroniza com soluções SIEM populares. Além disso, os agentes possibilitam que as equipes de TI ofereçam assistência remota ilimitada por meio do portal de administração JumpCloud sem custos adicionais. O navegador entre sistemas operacionais e o gerenciamento de patches são serviços opcionais.
Experimente o JumpCloud
Se você quiser saber mais sobre como usar o JumpCloud com os Serviços de Identidade do Google em vez do Active Directory, nos envie uma mensagem ou inscreva-se para uma avaliação.
