Identity Management

Authentication, Authorization, Entra ID (AD)...

Tożsamość i zarządzanie dostępem w Azure obejmuje wszystkie mechanizmy odpowiedzialne za ustalanie, kim jest użytkownik lub aplikacja, oraz jakie działania mogą wykonywać w środowisku. Ten obszar koncentruje się na trzech fundamentalnych pojęciach: tożsamości, uwierzytelnianiu oraz autoryzacji. Azure udostępnia w pełni zarządzoną usługę Azure Active Directory (Entra ID), która centralizuje zarządzanie użytkownikami, grupami, rolami i ustawieniami dostępu dla platform Azure, Microsoft 365 i setek aplikacji zintegrowanych.


  • Uwierzytelnianie (authentication) potwierdza tożsamość użytkownika lub aplikacji. Azure wspiera wieloskładnikowe uwierzytelnianie (MFA), które podnosi poziom bezpieczeństwa poprzez wymaganie więcej niż jednego dowodu tożsamości, na przykład hasła, telefonu lub odcisku palca.



  • Autoryzacja (authorization) proces nadawania i egzekwowania uprawnień, który zapewnia, że tylko uwierzytelnione tożsamości mogą uzyskać dostęp do zasobów, zgodnie z przypisanymi rolami i zasadami dostępu (np. Azure Role-Based Access Control i Conditional Access).



  • Access Management (Zarządzanie dostępem) proces kontrolowania, weryfikowania, śledzenia i administrowania dostępem dla autoryzowanych użytkowników i aplikacji, realizowany w Azure AD (Microsoft Entra ID) za pomocą mechanizmów takich jak Role-Based Access Control (RBAC), Conditional Access, Identity Protection i audyty aktywności.



  • Microsoft Entra ID dawniej Azure Active Directory (AD), to chmurowa usługa Identity and Access Management (IAM) w ekosystemie Microsoft. Umożliwia centralne zarządzanie tożsamościami użytkowników, grup, urządzeń i aplikacji oraz kontrolę dostępu do zasobów (zasoby zewnętrzne: Microsoft Office 365, portal Azure oraz dowolne aplikacje SaaS oraz zasoby wewnętrzne: aplikacje w sieci firmowej, intranecie oraz aplikacje chmurowe stworzone przez organizację.) na podstawie zasad uwierzytelniania i autoryzacji.

    Obsługuje:

    • Single Sign-On (SSO) – logowanie jednokrotne,
    • Multi-Factor Authentication (MFA) – uwierzytelnianie wieloskładnikowe,
    • Role-Based Access Control (RBAC) – kontrola dostępu oparta na rolach,
    • Conditional Access – dostęp warunkowy.

    Integruje się z usługami takimi jak Azure, Microsoft 365, Office 365, a także z aplikacjami firm trzecich. Zapewnia spójne i bezpieczne zarządzanie tożsamościami w środowiskach chmurowych i hybrydowych.

    Kto używa Microsoft Entra ID i do czego:

    • Administratorzy IT - Zarządzają dostępem do aplikacji i zasobów. Mogą wymuszać MFA (Multi-Factor Authentication). Ustalają polityki dostępu i zarządzają tożsamością.
    • Deweloperzy - Używają Entra ID do wdrażania Single Sign-On (SSO). Korzystają z API, aby budować aplikacje z integracją danych organizacyjnych.
    • Użytkownicy usług Microsoft - Każdy użytkownik Azure, Microsoft 365, Dynamics 365 automatycznie korzysta z Entra ID. Mogą korzystać z wersji podstawowej lub rozszerzyć funkcje dzięki licencjom Premium.

    Dodatkowe koncepcje w Entra ID

    • Identity Secure Score - mierzy jakość zabezpieczeń w ramach tenanta.

    • Tenant - kontener organizacji w Entra ID.

    • Directory - baza danych tożsamości w ramach tenanta.

    • Multi-tenant - model, gdzie organizacja ma kilka niezależnych tenantów Entra ID.



  • External Identities (B2B, CIAM (B2C)) to funkcje platformy Microsoft Entra ID, które umożliwiają bezpieczne zarządzanie tożsamościami użytkowników spoza organizacji. Umożliwienia użytkownikom zewnętrznym (partnerom, gościom, klientom) bezpiecznego dostępu do aplikacji i danych organizacji, używając własnych tożsamości (Konta służbowe lub rządowe, Tożsamości społeczne (np. Google, Facebook)).



  • Model B2B (Business-to-Business) pozwala partnerom i dostawcom logować się do zasobów przy użyciu własnych kont. Wykorzystuje tenant typu workforce. Umożliwia zapraszanie partnerów do aplikacji (np. Office 365, SaaS, aplikacje wewnętrzne). Goście logują się swoimi danymi (Microsoft lub inny dostawca tożsamości). Nie trzeba tworzyć haseł dla gości. Organizacja zachowuje pełną kontrolę nad dostępem i danymi
  • CIAM — Customer Identity and Access Management - CIAM to podejście oraz kategoria usług, służących do zarządzania tożsamościami użytkowników zewnętrznych — klientów, konsumentów i partnerów biznesowych. W Azure realizowane jest przez Microsoft Entra External ID. Udostępnia mechanizmy uwierzytelniania, rejestracji, SSO, zarządzania danymi profilu oraz zapewnia zgodność, bezpieczeństwo i wysoką skalowalność.
    • Model B2C (Business-to-Consumer) (implementacja CIAM dla klientów końcowych) Azure AD B2C to wcześniejsza usługa Microsoftu, będąca konkretną implementacją CIAM dla aplikacji kierowanych do klientów. Umożliwia uwierzytelnianie konsumentów przy użyciu kont społecznościowych oraz kont lokalnych. Wykorzystuje dedykowany tenant typu External. Zapewnia procesy rejestracji użytkowników, logowanie, SSO, personalizowane polityki (custom policies) i zarządzanie kontem. Jest stosowane głównie w aplikacjach konsumenckich (np. portale klienta, serwisy logowania B2C).
    Entra External ID zastępuje funkcjonalnie Azure AD B2C jako nowsza platforma CIAM — natomiast wiele wdrożeń B2C nadal jest utrzymywanych i rozwijanych. (CIAM to kategoria > Azure AD B2C to jedna (starsza) implementacja > Entra External ID jest nowszą implementacją CIAM).

  • Multi-Factor Authentication (MFA) to proces uwierzytelniania, w którym użytkownik potwierdza swoją tożsamość przy użyciu co najmniej dwóch niezależnych czynników, aby zwiększyć poziom bezpieczeństwa dostępu. Obejmuje różne typy czynników, takie jak:

    • Knowledge Factor (coś, co wiesz) np. hasło, PIN,
    • Possession Factor (coś, co masz) np. telefon, token, karta, klucz bezpieczeństwa,
    • Physical Characteristic Factor (coś, czym jesteś) np. odcisk palca, rozpoznawanie twarzy, skan tęczówki,
    • Location Factor (gdzie się znajdujesz) np. lokalizacja GPS.

    W usłudze Azure AD (Microsoft Entra ID) mechanizm MFA jest natywnie wspierany i może być łatwo włączony, stanowiąc skuteczny element polityk dostępu warunkowego (Conditional Access).



  • Conditional Access (dostęp warunkowy) to "Zero Trust policy engine" w Azure AD (Microsoft Entra ID), który wdraża zasady modelu Zero Trust poprzez dynamiczne kontrolowanie dostępu użytkowników i urządzeń na podstawie kontekstu ryzyka. Działa w logice if-then statements, czyli jeśli użytkownik lub aplikacja próbuje uzyskać dostęp do zasobu, system ocenia zestaw sygnałów (tożsamość, lokalizacja, urządzenie, aplikacja, poziom ryzyka) i egzekwuje decyzję polityki, np.: wymaga logowania MFA, zatwierdzonego urządzenia, zgodności z polityką Intune lub blokuje dostęp. Mechanizm ten pozwala organizacjom:
    • chronić zasoby przy zachowaniu produktywności użytkowników,
    • stosować granular access policies zależne od kontekstu,
    • integrować się z usługami takimi jak Microsoft Defender for Cloud Apps, Entra ID Protection i Microsoft Intune,
    • wspierać zasady Verify explicitly, Use least privilege access i Assume breach — będące fundamentem architektury Zero Trust.

Types of identities (Typy tożsamości)

  1. Human identities (Tożsamości użytkowników)

    • Internal – pracownicy (Employee), mają pełen dostęp.
    • External – goście, partnerzy, klienci, dostawcy (Guest). Mają ograniczony dostęp.

  2. Workload identities (Tożsamości obciążeń) - Tożsamość przypisana do aplikacji lub usługi (np. VM, kontener, funkcja).

    • Service principal – aplikacja loguje się z własną tożsamością, deweloper zarządza poświadczeniami.
    • Managed identity – specjalny typ service principal zarządzany przez Azure.
      • System-assigned – automatycznie tworzona razem z zasobem, usuwana z nim.
      • User-assigned – tworzona ręcznie, może być przypisana do wielu zasobów.

  3. Device identities (Tożsamości urządzeń)

    • Azure AD registered – własne urządzenie użytkownika (BYOD, np. smartfon).
    • Azure AD joined – urządzenie firmowe, w pełni zarządzane.
    • Hybrid joined – połączone z lokalnym AD i Entra ID (środowiska hybrydowe).

Groups - Microsoft Entra ID

Used to assign access to multiple users at once (instead of individually). Supports Zero Trust by limiting access to only those who need it. There are two group types:

  1. Security Group - for managing access to resources (apps, policies, devices). Members: users, devices, other groups, service principals. Needs admin to create

  2. Microsoft 365 Group - for collaboration (email, calendar, files, SharePoint, Teams). Members: users only (internal or external). Created without admin role by default.

Membership Types:

  • Assigned – manual user selection
  • Dynamic – automatic membership based on rules (e.g., department = "HR")

Hybrid Identity – Microsoft Entra ID

Jedna tożsamość do logowania się do zasobów lokalnych i chmurowych, dzięki synchronizacji i provisioningowi (Entra Connect / Cloud Sync).Spójne uwierzytelnianie i autoryzacja niezależnie od lokalizacji aplikacji. Typowy scenariusz: Użytkownik istnieje w lokalnym Active Directory. Jest udostępniany w Microsoft Entra ID. Może używać tej samej tożsamości do logowania do aplikacji lokalnych i chmurowych.

Jak to działa:

  • Provisioning (udostępnianie) – tworzy konto w chmurze dla użytkownika z AD
  • Synchronization (synchronizacja) – zapewnia zgodność danych użytkowników i grup między lokalnym AD i Entra ID

Narzędzia

  • Microsoft Entra Connect – klasyczne narzędzie do synchronizacji AD ↔ Entra ID
  • Microsoft Entra Cloud Sync – nowoczesny, lekki agent do synchronizacji. Wykorzystuje standard SCIM. Obsługuje użytkowników, grupy, kontakty. Agent instalowany lokalnie lub w IaaS, konfiguracja w Entra ID. (Instalowany lokalnie (on-premises) lub w środowisku IaaS (np. maszyna wirtualna w chmurze). Nie wymaga lokalnej konsoli do zarządzania).

References