Integración con Active Directory - Extensión de la infraestructura de identidad on-premises a la nube con AWS Directory Service
Explicamos la integración en la nube de Active Directory con AWS Directory Service. Presentamos la diferenciación entre AWS Managed Microsoft AD, AD Connector y Simple AD, y la integración con WorkSpaces, RDS y FSx.
Desafíos de la integración de Active Directory en la nube
Muchas empresas operan Microsoft Active Directory (AD) on-premises, siendo el núcleo de la infraestructura de TI para autenticación de usuarios, políticas de grupo y control de acceso a servidores de archivos. Al migrar a la nube, surge el desafío de cómo manejar las aplicaciones que dependen de AD (aplicaciones empresariales basadas en Windows, SQL Server, servidores de archivos). AWS Directory Service ofrece 3 tipos de directorio, logrando la integración de AD en la nube según el caso de uso. AWS Managed Microsoft AD proporciona un Microsoft AD completo en la nube y puede establecer relaciones de confianza (Trust) con AD on-premises. AD Connector es un proxy hacia AD on-premises que no almacena datos en la nube. Simple AD es un directorio ligero basado en Samba 4 que proporciona solo funcionalidad LDAP básica.
Diferenciación de los 3 tipos de directorio
AWS Managed Microsoft AD se elige cuando se necesita construir un AD independiente en la nube o cuando se requiere una relación de confianza con AD on-premises. Soporta completamente políticas de grupo, LDAP, autenticación Kerberos y NTLM, permitiendo que las aplicaciones dependientes de AD funcionen tal cual. Hay Standard Edition (hasta 30,000 objetos) y Enterprise Edition (hasta 500,000 objetos). Los controladores de dominio se redundan automáticamente en múltiples AZ, y AWS gestiona la aplicación de parches y snapshots. AD Connector se elige cuando se desea seguir usando el AD on-premises existente. Funciona como un proxy que reenvía las solicitudes de autenticación de servicios AWS (WorkSpaces, IAM Identity Center, etc.) al AD on-premises. Como no almacena datos de usuario en la nube, es adecuado cuando hay requisitos de soberanía de datos. Hay 2 tamaños: Small (hasta 500 usuarios, 0.05 USD/hora) y Large (hasta 5,000 usuarios, 0.15 USD/hora). Simple AD es para entornos pequeños que solo necesitan funcionalidad básica de AD (gestión de usuarios, gestión de grupos, autenticación LDAP). No soporta políticas de grupo ni relaciones de confianza, pero es la opción de menor costo (Small: 0.05 USD/hora).
Integración con servicios AWS
El principal valor de Directory Service radica en la integración nativa con servicios AWS que requieren autenticación AD. Amazon WorkSpaces (escritorios virtuales) permite iniciar sesión con cuentas de usuario AD y controlar el entorno de escritorio con políticas de grupo. Amazon FSx for Windows File Server gestiona permisos a nivel de archivo con listas de control de acceso (ACL) de AD. RDS for SQL Server soporta autenticación Windows (Kerberos), permitiendo iniciar sesión en SQL Server con cuentas de usuario AD. Amazon Connect (centro de contacto) puede gestionar agentes con usuarios AD. Al integrarse con IAM Identity Center, se puede acceder a la consola de administración de AWS y CLI con inicio de sesión único usando cuentas de usuario AD. También es posible unir instancias Windows de EC2 al dominio, y usando la función de unión automática al dominio de Systems Manager, se unen automáticamente al dominio AD al iniciarse. Si desea aprender sistemáticamente sobre servicios de directorio, también puede consultar libros relacionados (Amazon).
Relación de confianza con AD on-premises
Al construir una confianza de bosque (Forest Trust) entre Managed Microsoft AD y AD on-premises, los usuarios de ambos lados pueden acceder a los recursos del otro. La construcción de la relación de confianza requiere una conexión VPN o Direct Connect entre on-premises y la VPC de AWS. La dirección de la confianza puede ser unidireccional (acceso solo desde un lado) o bidireccional (acceso mutuo). Desde la perspectiva de seguridad, se recomienda construir la confianza con la dirección mínima necesaria. Una vez construida la relación de confianza, los usuarios AD on-premises pueden iniciar sesión en WorkSpaces en AWS o acceder a recursos compartidos de archivos en FSx. Es necesario configurar reenviadores condicionales DNS para que la resolución de nombres de cada dominio funcione correctamente. Managed Microsoft AD proporciona las direcciones IP de los controladores de dominio, que se registran como reenviadores condicionales en el DNS del lado on-premises.
Precios de Directory Service
AWS Managed Microsoft AD Standard Edition cuesta aproximadamente 0.146 dólares por hora (aproximadamente 105 dólares mensuales), y Enterprise aproximadamente 0.292 dólares (aproximadamente 210 dólares mensuales). AD Connector cuesta aproximadamente 36 dólares mensuales para Small y aproximadamente 72 dólares para Large. Simple AD cuesta aproximadamente 36 dólares mensuales para Small y aproximadamente 72 dólares para Large. No hay cargos adicionales por la integración con WorkSpaces o RDS.
Resumen - Directrices de uso de Directory Service
AWS Directory Service ofrece 3 tipos de directorio para lograr la integración de Active Directory en la nube. Managed Microsoft AD se elige cuando se necesita funcionalidad AD completa, AD Connector cuando se desea seguir usando AD on-premises tal cual, y Simple AD cuando solo se necesita LDAP básico. Su principal valor es la integración nativa con servicios AWS que requieren autenticación AD como WorkSpaces, FSx y RDS for SQL Server. Al migrar aplicaciones dependientes de AD on-premises a la nube, Directory Service reduce significativamente la complejidad de la migración.