Sdílet prostřednictvím


Architektura identit pro Azure Stack Hub

Při výběru zprostředkovatele identity pro použití se službou Azure Stack Hub byste měli pochopit důležité rozdíly mezi možnostmi id Microsoft Entra a Active Directory Federation Services (AD FS) (AD FS).

Funkce a omezení

Vámi zvolený zprostředkovatel identity může omezit vaše možnosti, včetně podpory víceklientské architektury.

Schopnost nebo scénář Microsoft Entra ID AD FS
Připojeno k internetu Yes Volitelné
Podpora víceklientské architektury Yes No
Položky nabídek na Marketplace Yes Ano (vyžaduje použití offline nástroje Syndication marketplace)
Podpora knihovny Active Directory Authentication Library (ADAL) Yes Yes
Podpora nástrojů, jako jsou Azure CLI, Visual Studio a PowerShell Yes Yes
Vytváření instančních objektů prostřednictvím Azure Portal Yes No
Vytváření instančních objektů s certifikáty Yes Yes
Vytváření instančních objektů s tajnými klíči (klíče) Yes Yes
Aplikace můžou používat službu Graph. Yes No
Aplikace můžou pro přihlášení používat zprostředkovatele identity. Yes Ano (vyžaduje, aby aplikace byly federované s místními instancemi služby AD FS)
Spravované identity No No

Topologie

Následující části popisují různé topologie identit, které můžete použít.

ID Microsoft Entra: topologie s jedním tenantem

Když nainstalujete službu Azure Stack Hub a použijete ID Microsoft Entra, použije azure Stack Hub ve výchozím nastavení topologii s jedním tenantem.

Topologie s jedním tenantem je užitečná v následujících případech:

  • Všichni uživatelé jsou součástí stejného tenanta.
  • Poskytovatel služeb hostuje instanci služby Azure Stack Hub pro organizaci.

Topologie jednoho tenanta služby Azure Stack Hub s ID Microsoft Entra

Tato topologie má následující charakteristiky:

  • Azure Stack Hub registruje všechny aplikace a služby do stejného adresáře tenanta Microsoft Entra.
  • Azure Stack Hub ověřuje pouze uživatele a aplikace z daného adresáře, včetně tokenů.
  • Identity pro správce (operátory cloudu) a uživatele tenanta jsou ve stejném tenantovi adresáře.
  • Pokud chcete uživateli z jiného adresáře povolit přístup k tomuto prostředí služby Azure Stack Hub, musíte ho pozvat jako hosta do adresáře tenanta.

ID Microsoft Entra: topologie s více tenanty

Operátoři cloudu můžou nakonfigurovat službu Azure Stack Hub tak, aby umožňovala přístup k aplikacím tenantům z jedné nebo více organizací. Uživatelé přistupují k aplikacím prostřednictvím uživatelského portálu služby Azure Stack Hub. V této konfiguraci je portál pro správu (používaný operátorem cloudu) omezený na uživatele z jednoho adresáře.

Topologie s více tenanty je užitečná v následujících případech:

  • Poskytovatel služeb chce uživatelům z více organizací povolit přístup ke službě Azure Stack Hub.

Topologie více tenantů služby Azure Stack Hub s ID Microsoft Entra

Tato topologie má následující charakteristiky:

  • Přístup k prostředkům by měl být v jednotlivých organizacích.
  • Uživatelé z jedné organizace by neměli mít možnost udělovat přístup k prostředkům uživatelům, kteří nejsou z jejich organizace.
  • Identity pro správce (operátory cloudu) můžou být v samostatném tenantovi adresáře, než je identita uživatelů. Toto oddělení zajišťuje izolaci účtů na úrovni zprostředkovatele identity.

AD FS

Topologie služby AD FS je vyžadována, pokud je splněna kterákoliv z následujících podmínek:

  • Azure Stack Hub se nepřipojí k internetu.
  • Azure Stack Hub se může připojit k internetu, ale jako zprostředkovatele identity se rozhodnete použít SLUŽBU AD FS.

Topologie služby Azure Stack Hub s využitím služby AD FS

Tato topologie má následující charakteristiky:

  • Pokud chcete podporovat použití této topologie v produkčním prostředí, musíte integrovat integrovanou instanci služby AD FS služby Azure Stack Hub s existující instancí služby AD FS, která je podporována službou Active Directory prostřednictvím vztahu důvěryhodnosti federace.

  • Službu Graph ve službě Azure Stack Hub můžete integrovat se stávající instancí Active Directory. Můžete také použít službu Graph API založenou na OData, která podporuje rozhraní API, která jsou konzistentní s Azure AD Graph API.

    Pro interakci s vaší instancí služby Active Directory vyžaduje Graph API přihlašovací údaje uživatele s oprávněním jen pro čtení k vaší instanci služby Active Directory a přistupuje k:

    • Integrovaná instance služby AD FS.
    • Vaše instance služby AD FS a Active Directory, které musí být založené na Windows Server 2012 nebo novějším.

    Mezi instancí služby Active Directory a integrovanou instancí služby AD FS nejsou interakce omezeny na OpenID Connect a můžou používat jakýkoli vzájemně podporovaný protokol.

    • Uživatelské účty se vytvářejí a spravují ve vaší instanci místní Active Directory.
    • Instanční objekty a registrace pro aplikace se spravují v integrované instanci Active Directory.

Další kroky