DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Heeft iemand voor mij misschien een link naar een website of Youtube-filmpje die Azure Active Directory in Jip en Janneke-taal uitlegt?
Ik moet voor mijn werk onderzoeken of dit een mogelijke optie is om een nieuwe toepassing van onze webapplicaties mee te beveiligen. Omdat security-eisen voor webapplicaties (terecht) steeds hoger worden, zijn we op zoek naar de juiste manier om een goed login-proces voor onze webapplicaties te realiseren. AAD werd als suggestie genoemd, maar ik begrijp er echt niks van.
Moet ik me er iets bij voorstellen zoals een DigiD-inlog? Dus je wordt van onze webapplicatie doorgelinkt oid naar de Microsoft-inlog, daar vindt de authenticatie plaats en vervolgens keer je weer terug op de webapplicatie en ben je ingelogd?
En als er dan een account moet worden toegevoegd, waar moet dat dan en wie heeft daar toegang toe? Kunnen wij dat ook vanuit de webapplicatie faciliteren?
Ik hoop echt dat iemand kan helpen, Google maakt het tot nog toe alleen nog maar onduidelijker voor me...
Ik moet voor mijn werk onderzoeken of dit een mogelijke optie is om een nieuwe toepassing van onze webapplicaties mee te beveiligen. Omdat security-eisen voor webapplicaties (terecht) steeds hoger worden, zijn we op zoek naar de juiste manier om een goed login-proces voor onze webapplicaties te realiseren. AAD werd als suggestie genoemd, maar ik begrijp er echt niks van.
Moet ik me er iets bij voorstellen zoals een DigiD-inlog? Dus je wordt van onze webapplicatie doorgelinkt oid naar de Microsoft-inlog, daar vindt de authenticatie plaats en vervolgens keer je weer terug op de webapplicatie en ben je ingelogd?
En als er dan een account moet worden toegevoegd, waar moet dat dan en wie heeft daar toegang toe? Kunnen wij dat ook vanuit de webapplicatie faciliteren?
Ik hoop echt dat iemand kan helpen, Google maakt het tot nog toe alleen nog maar onduidelijker voor me...
Als ik naar myapps.microsoft.com ga, kom ik op een algemene login page uit waar ik mijn domein account invoer banaanvragen@bedrijfX.com
omdat bedrijfX.com bekend is wordt ik doorgestuurd naar een de site: sts.bedrijfX.com, daar voer ik mijn wachtwoord in
Ik kom daarna op de myapps portal waar ik kan kiezen uit diverse online applicaties die aan mijn profiel hangen.
--
Stel dat er een applicatie Y (jouw webapp) beschikbaar is, dan kan de beheerder van die applicatie mensen toegang geven die een azure domeinaccount hebben
Dus piet@bedrijfZ.nl en klaas@bedrijf2.com
[ Bericht 3% gewijzigd door #ANONIEM op 23-10-2018 13:11:33 ]
omdat bedrijfX.com bekend is wordt ik doorgestuurd naar een de site: sts.bedrijfX.com, daar voer ik mijn wachtwoord in
Ik kom daarna op de myapps portal waar ik kan kiezen uit diverse online applicaties die aan mijn profiel hangen.
--
Stel dat er een applicatie Y (jouw webapp) beschikbaar is, dan kan de beheerder van die applicatie mensen toegang geven die een azure domeinaccount hebben
Dus piet@bedrijfZ.nl en klaas@bedrijf2.com
[ Bericht 3% gewijzigd door #ANONIEM op 23-10-2018 13:11:33 ]
Je kan AAD ook gebruiken om bv. SSO te regelen voor je on-prem applicaties. Google eens een whitepaper over de security als dat het belangrijkste punt is. De vraag is een beetje hoe je het op wil zetten, ga je helemaal verhuizen naar AAD, of doe je bv. een sync van je interne AD naar AAD, en wat sync je dan allemaal. Er zijn dusdanig veel smaakjes en opties dat er niet een eenduidig antwoord te geven is.
@Banaanvragen: dus als ik het goed begrijp dan moeten die mensen Piet en Klaas dan eerst naar myapps.microsoft.com gaan, daar inloggen met hun azure account en komen ze daarna in de portaalomgeving terecht waarin ze naast toegang tot Microsoft-applicaties als Powerpoint, Onedrive, etc ook toegang hebben tot onze webapp?
Dat geeft wel een heel andere ervaring van een webapplicatie voor mijn gevoel. Ik zat meer te denken aan een inlogsystematiek zoals "Login met Facebook" zoals je vaak op websites ziet, of het voorbeeld met DigiD dat ik al noemde. Dit is dus totaal iets anders?!
Dat geeft wel een heel andere ervaring van een webapplicatie voor mijn gevoel. Ik zat meer te denken aan een inlogsystematiek zoals "Login met Facebook" zoals je vaak op websites ziet, of het voorbeeld met DigiD dat ik al noemde. Dit is dus totaal iets anders?!
Btw, heel fijn dat ik reacties krijg, ook van jou Cyanide-!
Ik heb nu een aantal whitepapers gedownload en ben aan het lezen, maar bij de meeste teksten moet ik al na de eerste paar termen weer gaan googlen, en dat maakt het allemaal niet heel leesbaar voor me.
Zijn er voorbeelden van (bekende) websites waar je via AAD moet inloggen? (Of is dat juist al een domme vraag omdat die er niet zijn...?)
Of een Youtube-filmpje waarin uitgelegd wordt hoe je in een bepaalde website met AAD kunt inloggen? (En ik heb uiteraard gezocht, maar kan echt geen voorbeeld vinden, tussen de massa's aan ingewikkelde schema-filmpjes)
Ik heb nu een aantal whitepapers gedownload en ben aan het lezen, maar bij de meeste teksten moet ik al na de eerste paar termen weer gaan googlen, en dat maakt het allemaal niet heel leesbaar voor me.
Zijn er voorbeelden van (bekende) websites waar je via AAD moet inloggen? (Of is dat juist al een domme vraag omdat die er niet zijn...?)
Of een Youtube-filmpje waarin uitgelegd wordt hoe je in een bepaalde website met AAD kunt inloggen? (En ik heb uiteraard gezocht, maar kan echt geen voorbeeld vinden, tussen de massa's aan ingewikkelde schema-filmpjes)
Je moet AAD niet zien als een dienst om mee in te loggen, maar als een dienst waar je inlogt. Bekend voorbeeld is bijvoorbeeld hoe veel bedrijven office aan hun medewerkers aanbieden: De gebruiker gaat naar office365, wordt geredirect naar een microsoft inlogpagina waar gevraagd wordt om inloggegevens van bedrijf x, en gebruiker wordt teruggeredirect naar office 365 omgeving van bedrijf x. Feitelijk stuur je dus je gebruikersnaam+wachtwoord naar AAD waar je geauthenticeerd wordt. Bij 'inloggen met' diensten zoals facebook en google gaat je ww+username naar facebook danwel google, je webapp krijgt alleen te horen dat je bent ingelogd en wat basis gegevens. Voor de eindgebruiker is de ervaring hetzelfde, echter bij AAD kan je applicatie aan zowel de voor- als achterkant via AAD beveiligd worden, omdat ook niet web-based applicaties met AAD beschermd kunnen worden.quote:Op dinsdag 23 oktober 2018 14:48 schreef Jiggle het volgende:
@Banaanvragen: dus als ik het goed begrijp dan moeten die mensen Piet en Klaas dan eerst naar myapps.microsoft.com gaan, daar inloggen met hun azure account en komen ze daarna in de portaalomgeving terecht waarin ze naast toegang tot Microsoft-applicaties als Powerpoint, Onedrive, etc ook toegang hebben tot onze webapp?
Dat geeft wel een heel andere ervaring van een webapplicatie voor mijn gevoel. Ik zat meer te denken aan een inlogsystematiek zoals "Login met Facebook" zoals je vaak op websites ziet, of het voorbeeld met DigiD dat ik al noemde. Dit is dus totaal iets anders?!
Het voordeel van AAD is dat een bedrijf zijn eigen AD kan syncen (of verplaatsen, of koppelen naar) met die in de Azure cloud, om zo werknemers toegang te verschaffen tot bijvoorbeeld office of andere webapplicaties met hun eigen werkaccount. Zodoende is 'Jiggle' in je webapp precies dezelfde 'Jiggle' die in het bedrijfsnetwerk op zijn account inlogt. Werk je bijvoorbeeld bij AH én Jumbo? Dan herkent AAD je account ahv je mailadres (jiggle@ah.nl of jiggle@jumbo.nl) en weet daardoor om welke inloggegevens hij moet vragen.
AAD authenticatie is vrij makkelijk in te bouwen in een webapplicatie, maar kan ook gebruikt worden om applicaties te laten inloggen op een database of andere diensten, of om in te loggen op virtuele machines. Omdat al deze diensten hieraan gekoppeld kunnen worden is het eenvoudig een ecosysteem van diensten, applicaties, achterliggende infrastructuur, databases, virtuele computers etc. aan inlogaccounts te hangen.
Qua gebruikersmanagement is AAD volledig naar eigen smaak in te richten; als beheerder kun je zelf (handmatig) accounts toe voegen, of dit overlaten aan een andere AD (bijvoorbeeld die van je bedrijf) of een groep admins. Of een applicatie met de juiste rechten. Uiteraard is de veiligheid hiervan afhankelijk van hoe je deze rechten uitdeelt (en aan wie).
Geweldig ralfie, dank voor de uitleg!
Over de integratie van de authenticatie in de applicatie (rijmt mooi...;) ) heb ik nog een vraag:
In een youtube-filmpje heb ik gezien dat bijv. de app van RealMadrid van AAD gebruik maakt. Daar zie ik inderdaad dat we de login helemaal kunnen integreren in onze applicatie, dus dat je eigenlijk niet ziet dat er op de achtergrond AAD wordt gebruikt. Is dit echter wat we ook echt moeten gebruiken in onze situatie:
- Wij willen geen register-optie. Een beheerder bepaalt wie er wel en wie er niet kan. Zit ik dan naar het goede filmpje te kijken of is dit geen B2C? Kan de register-optie ook weg?
- We willen dus ook geen mogelijkheden om in te loggen met Facebook en Google, enkel met de door de beheerder bepaalde accounts. Kan dat dan?
- Hoe zit het met kosten? Hoe hoog zijn die en hoe moeten die betaald worden? Ik heb wel een pricing site gezien maar weet nog niet eens welke functionaliteit we nodig zouden hebben.
Over de integratie van de authenticatie in de applicatie (rijmt mooi...;) ) heb ik nog een vraag:
In een youtube-filmpje heb ik gezien dat bijv. de app van RealMadrid van AAD gebruik maakt. Daar zie ik inderdaad dat we de login helemaal kunnen integreren in onze applicatie, dus dat je eigenlijk niet ziet dat er op de achtergrond AAD wordt gebruikt. Is dit echter wat we ook echt moeten gebruiken in onze situatie:
- Wij willen geen register-optie. Een beheerder bepaalt wie er wel en wie er niet kan. Zit ik dan naar het goede filmpje te kijken of is dit geen B2C? Kan de register-optie ook weg?
- We willen dus ook geen mogelijkheden om in te loggen met Facebook en Google, enkel met de door de beheerder bepaalde accounts. Kan dat dan?
- Hoe zit het met kosten? Hoe hoog zijn die en hoe moeten die betaald worden? Ik heb wel een pricing site gezien maar weet nog niet eens welke functionaliteit we nodig zouden hebben.
B2C is er juist voor bedoeld dat je in je AAD met facebook of google kunt inloggen. Heb je dus niet nodig.quote:
Geweldig ralfie, dank voor de uitleg!
Over de integratie van de authenticatie in de applicatie (rijmt mooi...;) ) heb ik nog een vraag:
In een youtube-filmpje heb ik gezien dat bijv. de app van RealMadrid van AAD gebruik maakt. Daar zie ik inderdaad dat we de login helemaal kunnen integreren in onze applicatie, dus dat je eigenlijk niet ziet dat er op de achtergrond AAD wordt gebruikt. Is dit echter wat we ook echt moeten gebruiken in onze situatie:
- Wij willen geen register-optie. Een beheerder bepaalt wie er wel en wie er niet kan. Zit ik dan naar het goede filmpje te kijken of is dit geen B2C? Kan de register-optie ook weg?
- We willen dus ook geen mogelijkheden om in te loggen met Facebook en Google, enkel met de door de beheerder bepaalde accounts. Kan dat dan?
- Hoe zit het met kosten? Hoe hoog zijn die en hoe moeten die betaald worden? Ik heb wel een pricing site gezien maar weet nog niet eens welke functionaliteit we nodig zouden hebben.
Welke versie je nodig hebt weet ik ook niet, is afhankelijk van je app. Als je het simpel houdt kun je zelfs met de gratis versie al een eind vooruit
Azure AD kun je ook gebruiken voor mobiele devices inplaats van dat je ze aan je lokale domein hangt koppel je de laptop bijvoorbeeld via een account dat bekend is in je AAD en dan kun je telkens met je bedrijfs mailadres en wachtwoord inloggen daarnaast kun je het dan nog beveiligen met bitlocker etc. verder is het ook handig voor mobile device management.
I'm no longer a slave of fear.
I am a child of God
God is not dead.
I am a child of God
God is not dead.
Ik zit hier te kijken: https://azure.microsoft.c(...)ls/active-directory/quote:
[..]
Welke versie je nodig hebt weet ik ook niet, is afhankelijk van je app. Als je het simpel houdt kun je zelfs met de gratis versie al een eind vooruit
Je geeft aan dat als we het simpel houden dat het dan gratis zou kunnen zijn. Als ik naar het kopje met verschillen tussen gratis en basic kijk dan vrees ik dat we basic nodig gaan hebben. Ik neem aan dat we als bedrijf een SLA zullen willen hebben. Toepassingsproxy hebben we niet nodig. En groepsbeheer, Resetbare wachtwoorden en huisstijl, tja, liever wel, maar zou ook zonder kunnen.
Dan zie ik vervolgens bij Basic een prijs staan van ¤ 0,84 per gebruiker per maand.
Dat lijkt me echt bizar hoog?!?! Wij mikken op een applicatie met ongeveer 500 gebruikers, dat zou dan 5000 euro per jaar gaan kosten?! Maak ik een denkfout?!
Ik las dat bijv. ook Real Madrid met AAD werkt. Die zullen vast afspraken op maat hebben, maar met miljoenen gebruikers moet dat toch extreem veel goedkoper per gebruiker zijn dan dit?!
Is de gratis versie vooral gerecht op huis-, tuin- en keukenapplicaties, of maken ook gerenommeerde bedrijven hier gebruik van? (Ik laat even in het midden waaronder ikzelf met mijn onwetende vragen val...
)
Voor SSO login kan je ook ADFS (ook wel SAML) gebruiken. Icm een AAD. Kan zowel native als openen traditionele wijze geïmplementeerd worden.
Hee. Zeg nou zelf, ik ben toch gewoon een hartstikke lekker ding? TOch?
Pfoe, die term - ADFS - is weer helemaal nieuw voor mij. Ik kan het niet echt positioneren. Is het een alternatief voor AAD, een variant, of een uitbreiding op?
En bedoel je dit ook als antwoord op mijn vraag over de kosten? Is dit bijv. gratis?
En bedoel je dit ook als antwoord op mijn vraag over de kosten? Is dit bijv. gratis?
wat is duur? Als je daar een ander product voor kan vinden dat zo schaalbaar is met deze mogelijkheden. Veel succes, dat gaat je niet lukken. Dus nee, 5000 euro is niet duur, en het betaald alleen wat je afneemt.quote:
[..]
Ik zit hier te kijken: https://azure.microsoft.c(...)ls/active-directory/
Je geeft aan dat als we het simpel houden dat het dan gratis zou kunnen zijn. Als ik naar het kopje met verschillen tussen gratis en basic kijk dan vrees ik dat we basic nodig gaan hebben. Ik neem aan dat we als bedrijf een SLA zullen willen hebben. Toepassingsproxy hebben we niet nodig. En groepsbeheer, Resetbare wachtwoorden en huisstijl, tja, liever wel, maar zou ook zonder kunnen.
Dan zie ik vervolgens bij Basic een prijs staan van ¤ 0,84 per gebruiker per maand.
Dat lijkt me echt bizar hoog?!?! Wij mikken op een applicatie met ongeveer 500 gebruikers, dat zou dan 5000 euro per jaar gaan kosten?! Maak ik een denkfout?!
Ik las dat bijv. ook Real Madrid met AAD werkt. Die zullen vast afspraken op maat hebben, maar met miljoenen gebruikers moet dat toch extreem veel goedkoper per gebruiker zijn dan dit?!
Is de gratis versie vooral gerecht op huis-, tuin- en keukenapplicaties, of maken ook gerenommeerde bedrijven hier gebruik van? (Ik laat even in het midden waaronder ikzelf met mijn onwetende vragen val...
En menig voor bedrijf gebryijt Azure AD, meestal wel icm net P1 of p2.
En vergeet adsf maar. Dat is om Azure te laten authentiseren met een lokale AD. Gaat je nog veel meer geld kosten.
Ja, goede vraag, ik heb inderdaad geen idee wat duur is. Ik vergelijk het met wat mijn werkgever aan licentie-inkomsten voor hun applicatie vraagt. Dat zou lager zijn dan dit. Maar goed, dat is een steekproef van 1, dus dat zegt niks .
En toch, als je zegt dat de meeste bedrijven het zelf icm P1 of P2 gebruiken. Dan ga je naar 5 euro per gebruiker per maand. Om wat voor applicaties gaat het dan? Dan kan het toch niet om consumenten-applicaties gaan zou je zeggen? Zo'n RealMadrid-app waar iedereen zich kan registreren, hoe werkt dat dan met kosten?!
.En toch, als je zegt dat de meeste bedrijven het zelf icm P1 of P2 gebruiken. Dan ga je naar 5 euro per gebruiker per maand. Om wat voor applicaties gaat het dan? Dan kan het toch niet om consumenten-applicaties gaan zou je zeggen? Zo'n RealMadrid-app waar iedereen zich kan registreren, hoe werkt dat dan met kosten?!
Het zou heeeeeeeel fijn zijn als er nog iemand zou willen helpen!
Ik loop nog steeds vast in mijn begrip van het hele concept:
- Kan iemand me uitleggen wat een toepassingsproxy is? Waarom zou je dat willen gebruiken? En wanneer niet?
- Hoe werkt het qua licentie. Stel je maakt een applicatie waarvoor je een bedrijf toegang wil geven die al met AAD werkt. Dus die daar zelf een licentie voor hebben. Is het dan kostenloos?
Ik loop nog steeds vast in mijn begrip van het hele concept:
- Kan iemand me uitleggen wat een toepassingsproxy is? Waarom zou je dat willen gebruiken? En wanneer niet?
- Hoe werkt het qua licentie. Stel je maakt een applicatie waarvoor je een bedrijf toegang wil geven die al met AAD werkt. Dus die daar zelf een licentie voor hebben. Is het dan kostenloos?
|
|
