Identity Management

Tożsamość i zarządzanie dostępem w Azure obejmuje wszystkie mechanizmy odpowiedzialne za ustalanie, kim jest użytkownik lub aplikacja, oraz jakie działania mogą wykonywać w środowisku. Ten obszar koncentruje się na trzech fundamentalnych pojęciach: tożsamości, uwierzytelnianiu oraz autoryzacji. Azure udostępnia w pełni zarządzoną usługę Azure Active Directory (Entra ID), która centralizuje zarządzanie użytkownikami, grupami, rolami i ustawieniami dostępu dla platform Azure, Microsoft 365 i setek aplikacji zintegrowanych.

• Uwierzytelnianie (authentication) potwierdza tożsamość użytkownika lub aplikacji. Azure wspiera wieloskładnikowe uwierzytelnianie (MFA), które podnosi poziom bezpieczeństwa poprzez wymaganie więcej niż jednego dowodu tożsamości, na przykład hasła, telefonu lub odcisku palca.

  
  
  
  
  

  # Tworzenie nowego użytkownika w Entra ID (Azure AD) - bash
  az ad user create \
  --display-name "Jan Kowalski" \
  --user-principal-name "jan.kowalski@xg.com" \
  --password "Test123!" \
  --force-change-password-next-login true \
  --mail-nickname "jan.kowalski"
  

  CopyCopied!

• Autoryzacja (authorization) proces nadawania i egzekwowania uprawnień, który zapewnia, że tylko uwierzytelnione tożsamości mogą uzyskać dostęp do zasobów, zgodnie z przypisanymi rolami i zasadami dostępu (np. Azure Role-Based Access Control i Conditional Access).

  
  
  
  
  

  # Nadaj rolę użytkownikowi w subskrypcji - bash
  az role assignment create \
  --assignee jan.kowalski@firma.pl \
  --role "Contributor" \
  --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab
  
  # Nadaj rolę w konkretnej grupie zasobów - bash
  az role assignment create \
  --assignee jan.kowalski@firma.pl \
  --role "Reader" \
  --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MojaGrupa
  

  CopyCopied!
  
  

• Access Management (Zarządzanie dostępem) proces kontrolowania, weryfikowania, śledzenia i administrowania dostępem dla autoryzowanych użytkowników i aplikacji, realizowany w Azure AD (Microsoft Entra ID) za pomocą mechanizmów takich jak Role-Based Access Control (RBAC), Conditional Access, Identity Protection i audyty aktywności.

  
  
  
  
  

• Azure Active Directory (AD) obecnie Microsoft Entra ID, to chmurowa usługa Identity and Access Management (IAM) w platformie Azure, umożliwiająca centralne zarządzanie tożsamościami użytkowników, grup i aplikacji oraz kontrolę dostępu do zasobów w oparciu o zasady uwierzytelniania i autoryzacji. Zapewnia integrację z wieloma usługami Microsoft, takimi jak Azure, Microsoft 365, Office 365 czy Live.com (OneDrive, Skype), a także obsługuje logowanie jednokrotne (SSO), wieloskładnikowe uwierzytelnianie (MFA) i role oparte na uprawnieniach (RBAC) w celu bezpiecznego i spójnego zarządzania dostępem w środowisku chmurowym.

  
  
  

• External Identities (B2B, B2C) to funkcje platformy Microsoft Entra ID, które umożliwiają bezpieczne zarządzanie tożsamościami użytkowników spoza organizacji.
  • Model B2B (Business-to-Business) pozwala partnerom i dostawcom logować się do zasobów przy użyciu własnych kont,
  • Model B2C (Business-to-Consumer) umożliwia klientom końcowym uwierzytelnianie się przy pomocy kont społecznościowych lub lokalnych, zapewniając bezpieczny dostęp i spójne doświadczenie logowania.

• Multi-Factor Authentication (MFA) to proces uwierzytelniania, w którym użytkownik potwierdza swoją tożsamość przy użyciu co najmniej dwóch niezależnych czynników, aby zwiększyć poziom bezpieczeństwa dostępu. Obejmuje różne typy czynników, takie jak:

  • Knowledge Factor (coś, co wiesz) np. hasło, PIN,
  • Possession Factor (coś, co masz) np. telefon, token, karta, klucz bezpieczeństwa,
  • Physical Characteristic Factor (coś, czym jesteś) np. odcisk palca, rozpoznawanie twarzy, skan tęczówki,
  • Location Factor (gdzie się znajdujesz) np. lokalizacja GPS.

  W usłudze Azure AD (Microsoft Entra ID) mechanizm MFA jest natywnie wspierany i może być łatwo włączony, stanowiąc skuteczny element polityk dostępu warunkowego (Conditional Access).

  
  
  

• Conditional Access (dostęp warunkowy) to "Zero Trust policy engine" w Azure AD (Microsoft Entra ID), który wdraża zasady modelu Zero Trust poprzez dynamiczne kontrolowanie dostępu użytkowników i urządzeń na podstawie kontekstu ryzyka. Działa w logice if-then statements, czyli jeśli użytkownik lub aplikacja próbuje uzyskać dostęp do zasobu, system ocenia zestaw sygnałów (tożsamość, lokalizacja, urządzenie, aplikacja, poziom ryzyka) i egzekwuje decyzję polityki, np.: wymaga logowania MFA, zatwierdzonego urządzenia, zgodności z polityką Intune lub blokuje dostęp. Mechanizm ten pozwala organizacjom:
  • chronić zasoby przy zachowaniu produktywności użytkowników,
  • stosować granular access policies zależne od kontekstu,
  • integrować się z usługami takimi jak Microsoft Defender for Cloud Apps, Entra ID Protection i Microsoft Intune,
  • wspierać zasady Verify explicitly, Use least privilege access i Assume breach — będące fundamentem architektury Zero Trust.

---

References

• https://www.youtube.com/watch?v=Ma7VAQE7ga4
• https://learn.microsoft.com/en-us/training/modules/explore-microsoft-identity-platform/?WT.mc_id=AZ-MVP-5003556
• https://learn.microsoft.com/en-us/entra/fundamentals/what-is-entra?WT.mc_id=AZ-MVP-5003556
• https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id
• https://learn.microsoft.com/en-us/training/paths/azure-fundamentals-describe-azure-architecture-services/?WT.mc_id=AZ-MVP-5003556
• https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview