Role Azure AD

7. 11. 2020 Azure, IT Pro

V tomto článku si rozšíříte znalosti o funkcích Azure Active Directory (AAD). Konkrétně se zaměříme na role identit. Dozvíte se co to role jsou, jak fungují a proč jde o tak důležitou a užitečnou součást AAD. Znalost rolí a jejich používání je klíčové ke správnému a efektivnímu využívání aplikace ve vaší organizaci.

Úvod

Tento článek je pro ty, kteří už mají obecnou představu, co to Azure AD je. Jestli o této aplikaci slyšíte poprvé doporučujeme projít si Úvod do Azure Active Directory. Pro připomenutí Azure AD je cloudová služba od Microsoftu. Slouží ke správě identit a zjednodušuje uživatelům přihlašování a přístup k interním i externím aplikacím a datům.

Obsah

Co jsou role a jak fungují

Správa přístupu ke cloudovým prostředkům je velmi důležitou funkcí pro jakoukoli organizaci, která používá cloud. Nejdříve si na příkladu co nejjednodušeji popíšeme o co vlastně jde. Představte si, že pracujete ve velké firmě s mnoha zaměstnanci, kteří pracují v mnoha odděleních. Společnost už AAD pro přehlednost a zjednodušení přihlášení používá. Nyní však řeší jiný problém. Firma pracuje s mnoha daty a nechce aby každý zaměstnanec měl zbytečně přístup ke všem datům, prostředkům a aplikacím. Přiřazením role každé identitě tento problém vyřeší. Například zaměstnanec ve vývojářském oddělení bude mít přístup pouze k prostředkům se kterými pracuje ve svém oddělení. Nepotřebuje přístup k prostředkům oddělení marketingu. A obráceně. Slouží to k lepšímu zabezpečení dat a přehlednosti.

Celá funkce rolí je samozřejmě mnohem komplexnější a složitější. Pojďme se s nimi seznámit podrobně. Je jen pár způsobů jak ovládat přiřazování rolí.

Správu rolí lze rozdělit do 4 kategorií:

Řízení přístupu na základě role (RBAC)

Řízení přístupu na základě role v Azure je autorizační systém, který používáte ke správě přístupu k prostředkům Azure. Pomáhá spravovat, kdo má přístup k prostředkům Azure, co může s těmito prostředky dělat a k jakým oblastem má přístup. Roli můžete přiřadit uživatelům, skupinám, instančním objektům nebo spravovaným identitám v konkrétním oboru. Pomocí RBAC můžete povinnosti v rámci týmu oddělit a udělit uživatelům jenom takový přístup, který potřebují k výkonu své práce. Role mohou být i časově omezené.

RBAC vychází z ACL (Access Control List), což je seznam oprávnění připojený k nějakému objektu (složka, aplikace…). Tento seznam určuje, kdo nebo co má povolení přistupovat k objektu a jaké operace s ním může provádět.

RBAC má několik předdefinovaných rolí pro prostředky Azure. Mezi ty základní patří vlastník, přispěvatel, čtenář a správce uživatelských přístupů.

Předdefinovaných rolí je opravdu široká škála (přes 70). Uveďme si pár dalších:

Všimněte si, že vetšina rolí je kombinace mezi základními třemi rolemi (vlastník, čtenář, přispěvatel) a označením aplikace či prostředím ve kterém má danou roli.

Samozřejmě pokud předdefinované role nevyhovují konkrétním požadavkům vaší organizace, můžete vytvořit vlastní role pro prostředky Azure, ale o tom až později.

Role správců klasického předplatného

Role spravců služby Azure AD

Role správce Azure AD slouží ke správě prostředků Azure AD v adresáři, například k vytváření nebo úpravě uživatelů, přiřazení administrativních rolí dalším uživatelům, resetování hesel uživatelů, správě uživatelských licencí a správě domén.

Privileged Identity Management

Pro úplné dokončení seznamu je potřebné zmínit i Privileged Identity Management. Je to služba, která umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci. Tyto prostředky zahrnují prostředky v Azure AD, Azure a další online služby Microsoftu, jako je Office 365 nebo Microsoft Intune.

Podstatou této funkce je, že k řízení má přístup jen úzká skupina lidí (například osoba s rolí globální správce či správce přístupu uživatelů). Je to proto, že organizace chtějí minimalizovat počet uživatelů, kteří mají přístup k zabezpečeným informacím a citlivým prostředkům. Správci PIM můžou ostatním uživatelům přidělit privilegovaný přístup podle potřeby (JIT – just in time). Nejprve schválí a aktivují danou roli uživateli na určitou dobu. Uživatel provede akci, ke které potřeboval roli PIM, a poté se mu tato role s oprávněním odebere (protože už ji nepotřebuje).

PIM může spravovat předdefinované role prostředků Azure i vlastní role.

Srovnání rolí

Pochopení různých rolí nemusí být zprvu jednoduché. Pojďme si shrnout hlavní rozdíly. Role Azure RBAC řídí oprávnění ke správě prostředků Azure a administrativní role správce Azure AD řídí oprávnění ke správě prostředků Azure Active Directory. RBAC také přiřazuje role na několika úrovních (skupina pro správu, předplatné, skupina prostředků, prostředek), na rozdíl od správců AAD, kteří jsou pouze na úrovni tenantu. Dále RBAC přiřazuje role k fungování v Azure a nemají přístup k Azure Active Directory. Naopak správci Azure AD pokrývají Azure AD i Microsoft Office 365 (ale nemají přístup k prostředkům Azure).

V některých případech se mohou různé role překrývat, jak už jsme naznačili výše. Například ve výchozí nastavením Globální správce nemá přístup k prostředkům Azure. Je však možné rozšířit jeho moc i tam. V tomto případě se mu udělí role Správce uživatelských přístupů.

Přehled všech rolí (Správci Azure AD, role RBAC a role klasických správců předplatného) a oblast jejich přístupů.
Obrázek č. 1 – Přehled všech rolí a jejich přístupů
Zdroj: Azure Portal

Vlastní role

Z hlediska bezpečnosti a přehlednosti ve vašem cloudovém adresáři můžete využít například službu přidání vlastní role. Představme si například modelovou situaci. Vaše firma se za poslední půlrok rozrostla tak, že jste museli přijmout pár nových administrátorů. Dejme tomu, že neuděláte zcela chytrý krok a všem novým administrátorům ve vašem cloudovém adresáři přiřadíte roli globálního správce. Co že jste vlastně udělali špatně? Nejprve si asi uvědomíme možnost nějakého bezpečnostního rizika, obecně se doporučuje nejít nad hranici maximálně 5-ti administrátorů, kteří mají oprávnění generálního správce. Ale ten druhý, často z hlediska běžného majitele firmy na denní bázi rozpoznatelnější důsledek je to, že za nějaký čas v tomto systému může nastat nepořádek a chaos z hlediska pravomocí. Právě proto existuje v AAD tato služba, která vám znatelně pomůže při řešení jednotlivých oprávnění. Roli vytvoříme, následně přidáme práva určité entity a její funkci výstižně popíšeme. Gratuluji, právě jste snížili bezpečnostní riziko ve vaší firmě a zpřehlednili si oprávnění svých adminů!

Princip nejmenšího oprávnění

Zapojme trošku představivosti, a přenesme se do světa, kde jste si otevřeli obchod s potravinami. Váš obchod prosperuje a s tím je také samozřejmě spojen jeho růst. Vy jste se rozhodli do vašeho bussinesu přinést trošku inovace, a tak jste se rozhodli, že si váš bussines zpřehledníte a zorganizujete pomocí Active Directory. Spočítali jste si náklady, a uznali jste za vhodné použít Azure Active Directory. Najednou stojíte před rozhodnutím, jakému ze zaměstnanců přiřadit jaká práva. V tomto případě by se dal velmi užitečně využít tzv. princip nejmenšího oprávnění. Tento princip spočívá v tom, že vašim zaměstnancům přiřadíte právě taková práva, která potřebují. To prakticky znamená, že z prodavačky neuděláte systémového administrátora a podobně. Vašim zaměstnancům přiřadíte právě takové oprávnění, ať už vytvořením vlastní role, nebo použitím role předdefinované, které jím mají náležet.

Ukázka administrace v Azure Active Directory

Vytvoření nového uživatele.

List všech uživatelů
List všech uživatelů | Zdroj: Azure Portal
Karta pro vytvoření nového uživatele
Karta pro vytvoření nového uživatele | Zdroj: Azure Portal
Karta pro vytvoření nového uživatele
Karta pro vytvoření nového uživatele | Zdroj: Azure Portal
List všech uživatelů i s nově vytvořeným uživatelem
List všech uživatelů i s nově vytvořeným uživatelem | Zdroj: Azure Portal
Detail nově vytvořeného uživatele
Detail nově vytvořeného uživatele | Zdroj: Azure Portal

Vytvoření nové skupiny a přidání člena.

Přehled všech skupin v adresář
Přehled všech skupin v adresáři | Zdroj: Azure Portal
Karta pro vytvoření nové skupiny
Karta pro vytvoření nové skupiny | Zdroj: Azure Portal
Výčet všech skupin, včetně nově vzniknuvší skupiny Klub vesmírných strážců
Výčet všech skupin, včetně nově vzniknuvší skupiny Klub vesmírných strážců| Zdroj: Azure Portal
Přidání člena do námi vytvořené skupiny
Přidání člena do námi vytvořené skupiny | Zdroj: Azure Portal

Závěr

Přiřazení rolí představuje způsob, kterým ovládáte přístup k vašim prostředkům Azure. Tyto znalosti vám mohou být přínosné k efektivnímu řízení zaměstnanců v rámci firmy.

Zdroje k obrázkům

Nastavení souborů Cookies

1. Co jsou soubory cookies

Soubory cookies jsou krátké textové soubory, které internetová stránka odešle do vašeho prohlížeče. Umožňují internetové stránce zaznamenat informace o vaší návštěvě, například zvolený jazyk a podobně. Následující návštěva stránek tak pro vás může být snazší a příjemnější. Soubory cookies jsou důležité, neboť bez nich by procházení sítě Internet bylo mnohem složitější. Soubory cookies umožňují lepší využití naší internetové stránky a přizpůsobení jejího obsahu vašim potřebám. Soubory cookies používá téměř každá internetová stránka na světě.

2. Druhy souborů cookies

Relační (tedy dočasné) soubory cookies nám umožňují propojovat vaše jednotlivé aktivity po dobu prohlížení těchto internetových stránek. V okamžiku otevření okna vašeho prohlížeče se tyto soubory vytvoří a po zavření okna vašeho prohlížeče se odstraní.

Trvalé soubory cookies nám pomáhají váš počítač identifikovat, jestliže opětovně navštívíte naši internetovou stránku.

3. Využívání souborů cookies

V souladu s ustanovením § 89 odst. 3 zák. č. 127/2005 Sb., o elektronických komunikacích, v účinném znění, si vás tímto dovolujeme informovat, že naše internetové stránky využívají pro svoji činnost soubory cookies, tedy vaše soubory cookies, včetně trvalých, zpracováváme.

Internetové prohlížeče obvykle obsahují správu souborů cookies. V rámci nastavení vašeho prohlížeče tak pravděpodobně můžete jednotlivé soubory cookies ručně mazat, blokovat či zcela zakázat jejich používání. Pro více informací použijte nápovědu vašeho internetového prohlížeče. Jsou-li cookies povoleny, lze toto nastavení internetového prohlížeče považovat za souhlas se zpracováním osobních údajů.

4. Účel použití souborů cookies

K personalizaci obsahu a reklam, poskytování funkcí sociálních médií a analýze naší návštěvnosti využíváme soubory cookies. Informace o tom, jak náš web používáte, sdílíme se svými partnery působícími v oblasti sociálních médií, inzerce a analýz. Používáním internetových stránek vyjadřujete souhlas propojením následujících služeb: Google Analytics, Google Tag Manager, Facebook Pixel, Microsoft Clarity.

Soubory cookies využíváme, kromě účelu uvedeného v předchozím odstavci, pouze pro měření návštěvnosti webové stránky.

5. Správce osobních údajů

Provozovatelem webové stránky studuj.digital a správcem osobních údajů je společnost: pg-sec s.r.o., sídlem Rybná 716/24, Staré Město, 110 00 Praha 1, identifikační číslo 09580905, zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl C, vložka 338028.

​6. Zásady ochrany osobních údajů

Podrobnější informace o souborech cookies a zpracování tvých osobních údajů najdete v našich Zásadách ochrany osobních údajů.

Nezbytné

Tyto soubory cookie jsou nutné pro základní funkce stránky, a jsou proto vždy povolené. Mezi ně patří soubory cookie, které stránce umožňují si vás zapamatovat při procházení stránky v rámci jedné relace nebo, pokud o ně požádáte, mezi relacemi.

Volitelné

Výkon

Tyto soubory cookie nám pomáhají vylepšovat funkce stránek sledováním využití této webové stránky. V některých případech zrychlují zpracování vašeho požadavku a umožňují nám zapamatovat si vaše vybrané předvolby na stránce. Pokud soubory cookie zakážete, může se tím zhoršit přesnost našich doporučení a zpomalit funkčnost stránek.

Sociální média a relamy

Díky souborům cookies sociálních médií si můžete připojit ke svým sociálním sítím a prostřednictvím sociálních médií sdílet obsah z naší webové stránky. Reklamní soubory cookie (třetích stran) shromažďují informace pro lepší přizpůsobení reklamy tvým zájmům, a to na webových stránkách studuj.digital i mimo ně. V některých případech tyto soubory cookies zpracovávají vaše osobní údaje. Pokud chcete získat více informací o zpracování osobních údajů, přečtěte si naše Zásady ochrany osobních údajů. Pokud zakážete soubory cookies, mohou se zobrazovat reklamy, které méně souvisejí s vašimi zájmy, nebo nebudete moci účinně používat odkazy na Facebook, Instagram či jiné sociální sítě anebo nebudete moci sdílet obsah na sociálnch médiích.