Tweet
[Identity trong Azure – Nền tảng quan trọng nhất nhưng dễ bị hiểu sai]
Khi học hoặc làm việc với Azure, một trong những chủ đề quan trọng nhất nhưng thường bị xem nhẹ chính là Identity (Danh tính). Đây là nền tảng của mọi thứ: từ đăng nhập, phân quyền, đến bảo mật toàn hệ thống.
Trong bài này, chúng ta sẽ làm rõ các khái niệm cốt lõi mà bất kỳ kỹ sư hệ thống hay cloud nào cũng cần nắm.
1. Identity là gì? User và Group khác nhau như thế nào?
Trong Azure:
Điểm khác biệt cốt lõi:
Trong thực tế:
Không ai đi assign quyền trực tiếp cho từng user trong môi trường lớn.
2. Azure AD vs Active Directory Domain Services (AD DS)
Đây là câu hỏi rất hay gặp trong các kỳ thi và thực tế triển khai.
Active Directory Domain Services (AD DS):
Azure Active Directory (Azure AD / Entra ID):
Hiểu đơn giản:
Hai hệ thống này thường được đồng bộ (sync) với nhau trong mô hình Hybrid.
3. User Account có những đặc điểm gì?
Một user trong Azure AD thường có:
Ngoài ra còn có:
4. Có 2 cách gán user vào group
Trong Azure, đây là phần rất quan trọng:
Assigned (gán thủ công):
Dynamic (tự động):
Trong môi trường enterprise → Dynamic group là bắt buộc.
5. Các loại Group trong Azure
Có 2 loại chính:
6. Identity không chỉ là nội bộ – còn có B2B
Azure AD hỗ trợ:
Ví dụ:
Đây là nền tảng cho mô hình Zero Trust.
Kết luận
Nếu bạn học Azure mà chưa nắm chắc Identity, thì gần như mọi thứ phía sau sẽ rất khó:
Hãy nhớ:
Identity = trái tim của Cloud Security.
Khi học hoặc làm việc với Azure, một trong những chủ đề quan trọng nhất nhưng thường bị xem nhẹ chính là Identity (Danh tính). Đây là nền tảng của mọi thứ: từ đăng nhập, phân quyền, đến bảo mật toàn hệ thống.
Trong bài này, chúng ta sẽ làm rõ các khái niệm cốt lõi mà bất kỳ kỹ sư hệ thống hay cloud nào cũng cần nắm.
1. Identity là gì? User và Group khác nhau như thế nào?
Trong Azure:
- User (Người dùng):
Là một thực thể đại diện cho một cá nhân hoặc hệ thống có thể đăng nhập.
Ví dụ: nhân viên, admin, service account. - Group (Nhóm):
Là tập hợp nhiều user lại để quản lý tập trung.
Thay vì gán quyền cho từng user, ta gán cho group → dễ quản lý và scale.
Điểm khác biệt cốt lõi:
- User = thực thể đăng nhập
- Group = công cụ quản lý quyền
Trong thực tế:
Không ai đi assign quyền trực tiếp cho từng user trong môi trường lớn.
2. Azure AD vs Active Directory Domain Services (AD DS)
Đây là câu hỏi rất hay gặp trong các kỳ thi và thực tế triển khai.
Active Directory Domain Services (AD DS):
- Chạy on-premises
- Dùng cho môi trường truyền thống (Windows domain)
- Hỗ trợ:
- GPO
- Kerberos / NTLM
- Join domain máy tính
Azure Active Directory (Azure AD / Entra ID):
- Cloud-native identity
- Dùng cho SaaS, cloud apps
- Hỗ trợ:
- SSO
- MFA
- Conditional Access
- OAuth / SAML
Hiểu đơn giản:
- AD DS = quản lý máy và user trong nội bộ
- Azure AD = quản lý identity cho cloud
Hai hệ thống này thường được đồng bộ (sync) với nhau trong mô hình Hybrid.
3. User Account có những đặc điểm gì?
Một user trong Azure AD thường có:
- Profile (thông tin cá nhân): username, email, department
- Authentication: password, MFA
- Authorization: quyền truy cập tài nguyên
Ngoài ra còn có:
- License (Office 365, Azure services)
- Role (RBAC – Global Admin, User Admin…)
4. Có 2 cách gán user vào group
Trong Azure, đây là phần rất quan trọng:
Assigned (gán thủ công):
- Admin thêm user vào group bằng tay
- Dễ kiểm soát nhưng không scalable
Dynamic (tự động):
- Dựa trên rule (ví dụ: department = IT)
- Azure tự động thêm user vào group
Trong môi trường enterprise → Dynamic group là bắt buộc.
5. Các loại Group trong Azure
Có 2 loại chính:
- Security Group
→ dùng để phân quyền (RBAC, access control) - Microsoft 365 Group
→ dùng cho collaboration (Teams, SharePoint, Outlook)
6. Identity không chỉ là nội bộ – còn có B2B
Azure AD hỗ trợ:
- Guest users (B2B)
- Kết nối với external identity providers
Ví dụ:
- Đối tác đăng nhập bằng Gmail
- Vendor truy cập hệ thống nội bộ
Đây là nền tảng cho mô hình Zero Trust.
Kết luận
Nếu bạn học Azure mà chưa nắm chắc Identity, thì gần như mọi thứ phía sau sẽ rất khó:
- IAM
- Security
- RBAC
- Conditional Access
- Zero Trust
Hãy nhớ:
Identity = trái tim của Cloud Security.
Attached Files