在第一部分的《Office365身份管理:DirSync密碼同步與AD FS的區(qū)別是什么?》文章中,我們介紹了密碼同步與AD FS的區(qū)別是什么,本文繼續(xù)對(duì)兩種Office365身份管理方法進(jìn)行優(yōu)劣勢(shì)比較。
使用AD FS,你可以使用客戶端訪問策略精確控制誰被允許進(jìn)行驗(yàn)證,這是用密碼同步不可能做到的。
密碼同步功能也會(huì)引起混淆的情況,當(dāng)儲(chǔ)存在Windows Azure中的密碼與預(yù)置密碼不相同時(shí),盡管它會(huì)進(jìn)行同步,例如當(dāng)管理員在Office 365中重置某個(gè)最終用戶的密碼。此時(shí),用戶在Windows Azure的密碼將會(huì)變化而DirSync將不會(huì)觸發(fā)一次新的密碼同步除非最終用戶更改他的預(yù)置密碼。
還有可伸縮性的問題。密碼同步功能在較小的環(huán)境中更加適用,因?yàn)槊艽a變更會(huì)進(jìn)行得相當(dāng)頻繁。在我個(gè)人的測(cè)試中,沒能做到比密碼同步更快,每次我變更預(yù)置密碼時(shí),訪問門戶并登陸的同時(shí)它就會(huì)在Office 365中被變更。拋開這種現(xiàn)象不談,在較大的環(huán)境中是否能有相近的體驗(yàn)是很值得探究的問題。在有更多的公司實(shí)施它并且有更多的信息被公開之前,AD FS是一種安全的選擇,因?yàn)橐慌_(tái)單獨(dú)的AD FS服務(wù)器可以輕而易舉地為成千上萬的最終用戶服務(wù)。
密碼同步安全是一個(gè)值得關(guān)注的問題嗎?
“密碼同步”一詞使得很多安全經(jīng)理不必要地害怕起來。其實(shí)真正的密碼絕不會(huì)在你的環(huán)境和云端進(jìn)行明文同步的,被同步的只是一組被打亂又打亂的安全密鑰。所有的通訊都建立在SSL(安全嵌套層)上進(jìn)行并且通訊本身也被加密。即使黑客能夠破解SSL信道,面對(duì)一串密碼的散列值也只好收手,因?yàn)檫@些值毫無意義。
AD FS與密碼同步功能兩者之間并沒有特別明顯的技術(shù)差異,只是根據(jù)你需求的不同,使得各自在選項(xiàng)上有若干細(xì)微的差別。我們僅僅撥開了選項(xiàng)的表面,當(dāng)你在兩者間做出選擇時(shí)還必須將很多因素考慮進(jìn)去。我推薦企業(yè)研究密碼同步,我相信很多公司可以從密碼同步中獲得比AD FS更多的好處。