在第一部分的《Office365身份管理:DirSync密碼同步與AD FS的區別是什么?》文章中,我們介紹了密碼同步與AD FS的區別是什么,本文繼續對兩種Office365身份管理方法進行優劣勢比較。
使用AD FS,你可以使用客戶端訪問策略精確控制誰被允許進行驗證,這是用密碼同步不可能做到的。
密碼同步功能也會引起混淆的情況,當儲存在Windows Azure中的密碼與預置密碼不相同時,盡管它會進行同步,例如當管理員在Office 365中重置某個最終用戶的密碼。此時,用戶在Windows Azure的密碼將會變化而DirSync將不會觸發一次新的密碼同步除非最終用戶更改他的預置密碼。
還有可伸縮性的問題。密碼同步功能在較小的環境中更加適用,因為密碼變更會進行得相當頻繁。在我個人的測試中,沒能做到比密碼同步更快,每次我變更預置密碼時,訪問門戶并登陸的同時它就會在Office 365中被變更。拋開這種現象不談,在較大的環境中是否能有相近的體驗是很值得探究的問題。在有更多的公司實施它并且有更多的信息被公開之前,AD FS是一種安全的選擇,因為一臺單獨的AD FS服務器可以輕而易舉地為成千上萬的最終用戶服務。
密碼同步安全是一個值得關注的問題嗎?
“密碼同步”一詞使得很多安全經理不必要地害怕起來。其實真正的密碼絕不會在你的環境和云端進行明文同步的,被同步的只是一組被打亂又打亂的安全密鑰。所有的通訊都建立在SSL(安全嵌套層)上進行并且通訊本身也被加密。即使黑客能夠破解SSL信道,面對一串密碼的散列值也只好收手,因為這些值毫無意義。
AD FS與密碼同步功能兩者之間并沒有特別明顯的技術差異,只是根據你需求的不同,使得各自在選項上有若干細微的差別。我們僅僅撥開了選項的表面,當你在兩者間做出選擇時還必須將很多因素考慮進去。我推薦企業研究密碼同步,我相信很多公司可以從密碼同步中獲得比AD FS更多的好處。
京公網安備 11010502049343號