cis 2014: azure active directory (sean deuby)
DESCRIPTION
Sean Deuby's most excellent presentation on the identity services in Azure Active Directory.TRANSCRIPT
Azure Active Directory: The Future of Microsoft
Identity4 billion authentications per day can’t be wrong
Sean DeubyTechnical Director, Windows IT Pro@shorinsean
Official Phishing Boat Of CIS 2014
Agenda•Microsoft’s Relevance Today• Azure Active Directory•Getting to Azure AD•Observations
Is Microsoft Still Relevant?• Long history of• Corporate arrogance• Slow to react to trends• Misguided products
• Microsoft has reset its market share from 90% (PCs only) to 14% (all devices)• None of these are enterprise infrastructure services
Dismiss Microsoft at your Peril
• Microsoft operating systems dominate the enterprise data center• 75% of servers worldwide run
Windows Server • Active Directory dominates on-
premises identity• 90% of businesses with a directory
run AD• 95% of Fortune 1000 • > 750M AD users worldwide
• 1+ billion Office users• Office 365 fastest growing product in
Microsoft history
• Cloud & Enterprise FY13 revenue: $20 billion
Azure Is Microsoft’s Future• > $19B invested• 16 data centers• > 1M physical servers• 17% of WW purchased
server hardware in 2013• “…data center build-outs at
a scale no one has ever seen before”• Planned 2x capacity in 2015• … and 2x again in 2016
Azure Dublin Data Center (note outside-air cooling)
…and Azure Active Directory is its Identity Foundation
World’s largest cloud directory
• 4/2013: 2.9M org tenants• Supports all Microsoft
Online Services• 6/9/2014
• 3.35M org tenants• 326 million users
• 4B AuthNs / day• Resides in 27 data centers• 99.997% availability (5.5
sigma) for last 23 months
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Tenant
Microsoft AzureActive Directory
You Are Here
Azure AD Premium
Microsoft ‘s identity management as a service solution (IDaaS) offering• Integrates with Windows
Server AD• Internet SSO to 2200
apps• “Table stakes” features
IdentityBridge
Azure AD
Windows ServerActive Directory
OtherIdentity
Databases
On Premises
Web Services
Azure AD Premium• Superset of free Azure AD• GA in April 2014• Multi-factor authenticatio
n via PhoneFactor• Anomalous activity report
ing (machine learning-based)• Self service password res
et (cloud & on premises)
• 6/10: Cloud Application Proxy• FIM Server (& CALs)
usage rights• 99.9% SLA• $4/user, Enterprise
Agreement (EA) customers only• 90-day free trial
Getting to Azure ADMicrosoft’s Identity Bridge Strategy
The Sundial bridge, Redding CA (Aaron Patterson)
Microsoft Hybrid Identity Architecture
PCs and devices
Microsoft apps
Non-MS cloud-based apps
Custom LOB apps
ISV/CSVapps
Active Directory
Windows ServerActive Directory AD FS
DirSyncAADSync
AD Connector
Other Directories
Federation: AD FS • Authentication head for
Windows Server AD• Development focus• Workplace Join• Web Application Proxy• Multi Factor Authentication
• Not simple, not lightweight• Microsoft will make AD FS
easier
Windows ServerActive Directory
OtherIdentity
Databases
Azure AD
Federation Service
Provisioning Service
Identity Bridge
Identity Provisioning:DirSync
• Current production tool• 1 forest• Identities & fixed
attribute set• Optional password hash
sync• Optional attribute
writeback to Windows Server AD• Supporting self-service
password reset (SSPR)
Windows ServerActive Directory Azure AD
Federation Service
Provisioning Service:DirSync
Identity Bridge
Identity Provisioning:Azure AD Sync
• Next gen DirSync• Supports >1 forest• Supports LDAP v3, SQL
(ODBC)• Configurable sync scope• Configurable sync rules• 7/15: SSPR• B2 last week (3Q14
release)
Forest 1
LDAP V3,SQL Server
(ODBC)
Azure AD
Federation
Service
Provisioning
Service:AADSync
Identity Bridge
Forest 2
Forest N
…
Identity Provisioning:Azure AD Connect Tool
• Identity bridge configuration tool to Azure AD• AD FS • DirSync / AADSync
• Wizard driven• Federation failback with
password sync• June preview?
ObservationsFor all• Cloud is Microsoft’s
future…Azure AD is at the center of Microsoft’s cloud strategy
• Strongly resourced• New Azure AD features
every few weeks• Weak points are being
reinforced
ObservationsFor ISVs• Azure AD is a player to be
reckoned with• “(Microsoft has) the
potential to significantly impact the IDaaS market." *
• Don’t assume “lowest common denominator” functionality
• Must differentiate products from Azure AD Premium
* Gregg Kreizman, Gartner Magic Quadrant for Identity and Access Management As A Service, June 2014
ObservationsFor end users• Azure AD Premium is still
rough around the edges• Improving fast• Initially targeted at large
enterprises• Designed to be easy for
MOS (e.g. Office 365) users• But doesn’t require MOS• Proceed from
requirements
Resources• Windows IT Pro Enterprise Identity• http://windowsitpro.com/go/enterpriseidentity
• Active Directory Team Blog (Azure AD announcements)• http://blogs.technet.com/b/ad/
• Azure AD home• http://azure.microsoft.com/en-us/services/active-directory