1. Windows Azure Active Directory (WAAD)

首先,大家所熟悉的Windows server上的Active directory功能,现在有了云化的版本。该服务和之前的Azure ACS(Access Control Service)权限控制服务共同组成了新的Azure安全框架。这两个服务都是免费的!


WAAD简单来说就是一个运行在Azure上的用户目录服务,它是Office 365,Dynamic CRM Online等微软SaaS应用所使用的目录服务,目前已有2900万用户。该服务已存在很久,只不过今天它成为独立的一项服务对外提供出来,为Azure的用户和微软之外的应用提供认证服务,是一种第三方认证。大家可能了解过第三方认证,在国内,很多网站都可以支持使用百度/QQ/新浪微博等账号登录,从现在开始,这些网站也可以使用WAAD进行用户认证。而WAAD相比已有互联网目录服务的主要区别,是其对企业应用场景的支持。WAAD可以利用企业已有的AD进行认证,企业管理员也可以管理WAAD上面的所有用户信息,进行增删改查,并设置密码。因此,WAAD是结合了传统企业AD认证和目前流行的Web第三方认证两种场景。


WAAD与传统的AD不太相同,其主要区别在于:

  • 不需要安装,每个Azure用户可以创建一个自己的WAAD租户,这些WAAD租户都由Windows Azure统一运行管理
  • 主要面向Web应用提供认证,不支持传统的AD域认证,其认证协议包括SAML, OData 和WS-Federation等
  • 具有极高的可用性。统计数据显示,在最近的3个月内,该服务的可用性达到99.97%
  • 具有极高的处理能力。每天处理近1亿的认证请求

因此,传统使用AD认证服务器的应用并不能直接切换为WAAD。WAAD面向的是现有企业的新型应用。


WAAD服务的主要功能包括:

  • 托管用户认证信息,为应用提供用户认证服务。Azure用户可以在Azure界面上管理WAAD用户(增删改查)
  • 支持对多个应用进行单点登录验证。云化的认证服务的一个显然优势就是可以实现单点登录。由于多个应用都可连接WAAD进行认证,这些认证信息可以在浏览器中保存,当用户访问其他应用时就无需再次验证。
  • 支持与已有AD服务器集成。如果用户已有AD服务并且希望利用已有的用户信息,那么WAAD支持两种方式与现有AD集成,一种是复制,一种是联合。复制是在云端将AD上的用户信息导,也可以反向复制。而联合则是不进行复制,而是把认证请求转发给已有的AD服务器,这样避免了潜在的复制冲突和安全风险
  • 支持双因素认证。除了使用密码,认证时用户还需提供短信码或者应答电话
  • Azure管理界面可以利用用户自己的WAAD库进行认证。比如一个软件开发企业(比如www.abc.com)的管理员首先注册了WAAD服务并与自己企业的AD服务器进行了集成,他希望自己企业的员工使用Azure服务,但又不希望他们用自己的Live账号登录,此时他可以要求公司员工都用公司已有账号访问Azure。员工登录Azure门户时,使用manage.windowsazure.com/www.abc.com这个地址,这样就会跳转到该企业已有的AD上进行认证,认证成功后即可进入企业的Azure订阅。这样的好处是,一旦员工离职,用户信息从企业AD服务器上消失后,他就无法登录企业的Azure订阅,无需管理员手动维护。


2. Windows/HyperV备份至Azure

云存储的一个主要应用场景是备份。现在,Azure云备份功能终于正式公布了。

对于Windows Server(Windows Server 2008 R2 SP1 and Windows Server 2012,Windows Server 2012 Essentials),在安装一个Agent后,就可以将server中的文件备份到Windows Azure的存储账号上。

对于Hyperv,使用System Center Data Protection Manager 2012 SP1 可以实现将虚拟机实时异步复制到Windows Azure的存储账户上。针对HyperV的用户来说是一个重大利好,因为该功能让所有的Windows Server (2008以后)用户天然就具备了异地云容灾的能力。这种备份不仅仅是存储数据,而且一旦生产站点发生灾难,用户可以立即在Windows Azure上启动该备份的VM镜像,实现无缝的灾难切换。


3.网站日志实时监控

Azure上的网站服务可以产生日志文件。用户可以通过FTP下载日志。现在,网站服务支持将日志实时传输到客户端,通过tail的形式展现。这对于代码调试来说是一个利器。这样远程的一个网站跟本地服务器已经基本没有区别。开发者可以通过各种工具(ftp,web deploy)上传代码,然后通过Azure客户端工具实时查看日志输入。


10-03 23:11