隨著軟件即服務(wù)（SaaS）模式逐漸普及，開發(fā)人員開始尋找更易于管理流程的方法。其中一種途徑是使用客戶身份驗證和訪問管理（CIAM）解決方案來減輕管理最終用戶數(shù)據(jù)庫的工作量。Auth0 和微軟 Azure AD 是針對這個用例的兩個常被用來對比的解決方案。更具體地說，Auth0 經(jīng)常與 Azure AD 的 B2C 方案進行比較。原因在下文進行分析。

本文將探討 Auth0 和 Azure AD 的優(yōu)缺點以及它們之間的區(qū)別。

01 什么是Azure AD？

Azure AD 是一個身份管理平臺，其核心產(chǎn)品是用于管理內(nèi)部身份的 B2B 解決方案。但它也提供 B2C 服務(wù)， 旨在管理 Web 和移動應(yīng)用程序的客戶身份，通常 Auth0 與 Azure AD 的對比是針對 Auth0 和 Azure AD B2C 的，所以這是我們在本文中重點關(guān)注的解決方案。

與傳統(tǒng)的微軟 Active Directory（AD）平臺不同，Azure AD 是基于云的。它的傳統(tǒng)版本微軟 AD 是一種歷史悠久且廣為人知的目錄解決方案，深受微軟用戶的歡迎。

當(dāng)公司開始轉(zhuǎn)向云時，微軟推出了 Azure AD 作為基于云的解決方案，以取代本地的 AD。然而，Azure AD 不僅僅是 AD 的云端副本或替代品。它是完全不同的工具：AD 和 Azure AD 的架構(gòu)、安全策略和功能都不同，它們之間是獨立運行的。

02 什么是Auth0？

Auth0 是一種用于移動設(shè)備和 Web 應(yīng)用程序的用戶身份驗證解決方案。通常，公司使用 Auth0 來驗證外部身份而不是內(nèi)部身份。這在一定程度上涉及到用戶身份管理，但它更像是一個客戶身份數(shù)據(jù)庫，而不是一個內(nèi)部 IAM 平臺。

Auth0 比 Azure AD 更年輕（成立于2013年），但增長迅速——它于2022年被 Okta 收購。在過去的十年中，它已成為管理最終用戶訪問應(yīng)用的另一種流行解決方案。

03 Azure AD和Auth0對比

● 兼容性和集成

Azure AD B2C 和 Auth0 都提供了各種與不同解決方案和平臺的集成。然而，作為微軟產(chǎn)品，Azure AD 是為在微軟生態(tài)系統(tǒng)內(nèi)工作而設(shè)計的。它可以與外部身份配合使用，但需要付出一定代價，成本或者復(fù)雜性。

在微軟環(huán)境中工作通常需要迂回的自定義配置、令人困惑的許可和第三方插件。隨著時間的推移，這些因素會使得環(huán)境變得脆弱、昂貴且難以管理。如果企業(yè)日后想要遠離 Azure AD 或微軟，更難以將不同的元素分開。

隨著企業(yè)中的異構(gòu)性增加，微軟 AD 或 Azure AD 的方案越來越難以應(yīng)對這種情況。例如，企業(yè)內(nèi)增多的 SaaS 應(yīng)用，員工使用不同類型的設(shè)備辦公，包括各種操作系統(tǒng)和移動設(shè)備。事實上，約有四分之三的中小型企業(yè)報告稱，至少有一些員工在工作時會用到個人設(shè)備。

微軟歷來傾向于自己的產(chǎn)品套件和 Windows 設(shè)備，難以管理多樣化和多操作系統(tǒng)的環(huán)境。盡管微軟發(fā)布了 Intune 來解決這個問題，它提供了非 Windows 設(shè)備的移動設(shè)備管理解決方案（MDM）。但是，Intune 本身就是一個產(chǎn)品套件，需要額外的許可費用。它在某些方面仍支持微軟產(chǎn)品套件——例如，需要微軟 Edge 來執(zhí)行某些功能。

在兼容性上，Azure AD B2C 更適合以微軟生態(tài)和 Azure 為中心的企業(yè)（即在 Azure 上構(gòu)建應(yīng)用程序的團隊）。

● 可用性

你所選擇的解決方案必須能適配你的 IT 環(huán)境、流程和團隊。IT 團隊的偏好和解決方案與現(xiàn)有方案的配合能力可能決定著該解決方案最終是否適合。您也可以通過這兩個方案的優(yōu)缺點來判斷是否可用。

Azure AD B2C 常見優(yōu)點：

● 用戶提供身份的單點登錄 SSO

● 監(jiān)控訪問

常見缺點：

● 令人困惑的定價

● Azure AD 應(yīng)用代理

Auth0 ?常見優(yōu)點：

● 社交媒體登錄集成

● SSO登錄

● 應(yīng)用程序和網(wǎng)站的單獨域登錄

常見缺點：

● 自定義域的實現(xiàn)不太容易

● 常用托管平臺的部署集成過于復(fù)雜

對于需要使用社交媒體登錄集成應(yīng)用的企業(yè)而言，Auth0 優(yōu)于 Azure AD。

● 成本和擴展性

這兩個平臺的定價都基于活躍用戶的數(shù)量。不過，Auth0 的定價通常更高。Azure AD B2C 為前5萬個月度活躍用戶提供免費層服務(wù)，而 Auth0 的定價層在7000個月度活躍用戶時從免費跳轉(zhuǎn)到付費。因此，用戶數(shù)量有一定規(guī)模的大型公司更適合Azure AD。

綜上，企業(yè)應(yīng)充分考慮每個解決方案在其環(huán)境中的兼容性、可用性偏好以及當(dāng)前和未來短期內(nèi)的活躍用戶數(shù)，來綜合考慮成本，再進行決策。

04 增多的云IAM需求

讓我們關(guān)注下企業(yè)內(nèi)部身份認(rèn)證和管理（內(nèi)部IAM）。出于與 Auth0 和 Azure AD 需要支持多樣化工作場所的相同原因，內(nèi)部 IAM 解決方案在平臺、協(xié)議、功能上應(yīng)具備足夠的擴展性以易于使用且有效（當(dāng)然還需考慮供應(yīng)商的品牌力及服務(wù)支持力度）。

開放目錄平臺旨在通過最適當(dāng)?shù)纳矸蒡炞C方法將用戶連接到他們需要安全工作的資源。NingDS 身份目錄云 的開放目錄平臺可以根據(jù)需要執(zhí)行盡可能少或盡可能多的操作來管理你的環(huán)境。一些公司使用 NingDS 作為云 LDAP 服務(wù)，而其他公司則將其用作他們的核心，基于云的目錄，適用于任何設(shè)備（包括Mac、Windows、Linux 和 iOS 移動設(shè)備）的移動設(shè)備管理器（MDM），連接用戶到所有資源的真正單點登錄SSO解決方案、多因素身份認(rèn)證（MFA）、無線網(wǎng)絡(luò)認(rèn)證等等。

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）