轻型目录访问协议(LDAP)是用于处理各种目录服务的应用程序协议。 目录服务(如 Active Directory), 存储用户和帐户信息,以及密码等安全信息。 然后,该服务允许与网络上的其他设备共享信息。 企业应用程序(如电子邮件、客户关系经理(CRM)和人力资源(HR)软件可以使用 LDAP 对信息进行身份验证、访问和查找信息。
Microsoft Entra ID 通过 Microsoft Entra 域服务(AD DS)支持此模式。 它允许采用云优先策略的组织通过将本地 LDAP 资源转移到云来现代化环境。 直接的好处是:
与 Microsoft Entra ID 集成。 添加用户和组或对其对象的属性更改会自动从 Microsoft Entra 租户同步到 AD DS。 对本地 Active Directory 中的对象的更改将同步到 Microsoft Entra ID,然后同步到 AD DS。
简化操作 减少手动保留和修补本地基础结构的需求。
可靠。 您将获得托管、高度可用的服务
何时使用
应用程序或服务需要使用 LDAP 身份验证。
系统组件
用户: 通过浏览器访问依赖于 LDAP 的应用程序。
浏览器: 用户与之交互以访问应用程序的外部 URL 的接口。
虚拟网络: Azure 中的专用网络,旧版应用程序可以使用 LDAP 服务。
旧版应用程序: 需要在 Azure 中的虚拟网络中部署 LDAP 的应用程序或服务器工作负载,或者通过网络路由能够访问 AD DS 实例的 IP 地址。
Microsoft Entra ID: 通过 Microsoft Entra Connect 从组织的本地目录同步标识信息。
Microsoft Entra 域服务(AD DS): 从 Microsoft Entra ID 执行单向同步,以提供对一组中央用户、组和凭据的访问权限。 AD DS 实例分配给虚拟网络。 连接到分配给 AD DS 的虚拟网络的 Azure 中的应用程序、服务和 VM 可以使用常见的 AD DS 功能,例如 LDAP、域加入、组策略、Kerberos 和 NTLM 身份验证。
注释
在组织无法同步密码哈希或用户使用智能卡登录的环境中,我们建议在 AD DS 中使用资源林。
Microsoft Entra Connect: 用于将本地标识信息同步到 Microsoft Entra ID 的工具。 部署向导和引导式体验可帮助你配置连接所需的先决条件和组件,包括从 Active Directory 同步和登录到 Microsoft Entra ID。
Active Directory: 存储 本地标识信息的目录服务,例如用户和帐户信息,以及密码等安全信息。