Přehled zprostředkovatelů identit pro Azure Stack Hub

  • Článek

Azure Stack Hub vyžaduje ID Microsoft Entra nebo Active Directory Federation Services (AD FS) (AD FS), které jako zprostředkovatel identity využívá Active Directory. Volba poskytovatele je jednorázové rozhodnutí, které uděláte při prvním nasazení služby Azure Stack Hub. Koncepty a podrobnosti o autorizaci v tomto článku vám můžou pomoct při výběru mezi zprostředkovateli identity.

Volba id Microsoft Entra nebo SLUŽBY AD FS závisí na režimu nasazení služby Azure Stack Hub:

  • Když ho nasadíte v režimu připojení, můžete použít id Microsoft Entra nebo službu AD FS.
  • Když ho nasadíte v odpojené režimu bez připojení k internetu, bude podporována pouze služba AD FS.

Další informace o možnostech, které závisí na vašem prostředí služby Azure Stack Hub, najdete v následujících článcích:

Důležité

Azure AD Graph je zastaralý a 30. června 2023 bude vyřazen z prodeje. Další informace najdete v této části.

Běžné koncepty pro zprostředkovatele identit

Další části popisují běžné koncepty zprostředkovatelů identit a jejich použití ve službě Azure Stack Hub.

Terminologie pro zprostředkovatele identit

Organizace a tenanti adresářů

Adresář je kontejner, který obsahuje informace o uživatelích, aplikacích, skupinách a instančních objektech.

Tenant adresáře je organizace, například Microsoft nebo vaše vlastní společnost.

  • Microsoft Entra ID podporuje více tenantů a může podporovat více organizací, z nichž každá je ve svém vlastním adresáři. Pokud používáte id Microsoft Entra a máte více tenantů, můžete aplikacím a uživatelům z jednoho tenanta udělit přístup k jiným tenantům stejného adresáře.
  • SLUŽBA AD FS podporuje pouze jednoho tenanta, a proto pouze jednu organizaci.

Uživatelé a skupiny

Uživatelské účty (identity) jsou standardní účty, které ověřují jednotlivce pomocí ID uživatele a hesla. Skupiny můžou zahrnovat uživatele nebo jiné skupiny.

Způsob vytváření a správy uživatelů a skupin závisí na řešení identit, které používáte.

Ve službě Azure Stack Hub uživatelské účty:

  • Jsou vytvořeny ve formátu username@domain . Přestože služba AD FS mapuje uživatelské účty na instanci služby Active Directory, nepodporuje použití formátu \<doména>\<alias> .
  • Dá se nastavit tak, aby používalo vícefaktorové ověřování.
  • Jsou omezeni na adresář, ve kterém se poprvé zaregistrují, což je adresář organizace.
  • Můžete importovat z místních adresářů. Další informace najdete v tématu Integrace místních adresářů s ID Microsoft Entra.

Když se přihlásíte k portálu User Portal vaší organizace, použijete adresu https://portal.local.azurestack.external URL. Při přihlašování k portálu Azure Stack Hub z jiných domén, než je doména použitá k registraci služby Azure Stack Hub, musí být k adrese URL portálu připojen název domény použitý k registraci služby Azure Stack Hub. Pokud je například služba Azure Stack Hub zaregistrovaná ve službě fabrikam.onmicrosoft.com a přihlášení k uživatelskému účtu je admin@contoso.com, adresa URL, pomocí které se můžete přihlásit k portálu User Portal, bude: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Uživatelé s účtem Host

Uživatelé typu host jsou uživatelské účty z jiných tenantů adresáře, kterým byl udělen přístup k prostředkům ve vašem adresáři. Pokud chcete podporovat uživatele typu host, použijete id Microsoft Entra a povolíte podporu víceklientské architektury. Pokud je povolená podpora, můžete pozvat uživatele typu host, aby přistupovali k prostředkům ve vašem tenantovi adresáře, což zase umožňuje jejich spolupráci s externími organizacemi.

K pozvání uživatelů typu host můžou operátoři cloudu a uživatelé využít Microsoft Entra spolupráci B2B. Pozvaní uživatelé získají přístup k dokumentům, prostředkům a aplikacím z vašeho adresáře a vy si zachováte kontrolu nad svými vlastními prostředky a daty.

Jako uživatel typu host se můžete přihlásit k tenantovi adresáře jiné organizace. Uděláte to tak, že k adrese URL portálu připojíte název adresáře dané organizace. Pokud například patříte do organizace Contoso a chcete se přihlásit k adresáři Fabrikam, použijete https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Aplikace

Aplikace můžete zaregistrovat do Microsoft Entra ID nebo AD FS a pak je nabídnout uživatelům ve vaší organizaci.

Mezi aplikace patří:

  • Webové aplikace: Mezi příklady patří Azure Portal a Azure Resource Manager. Podporují volání webového rozhraní API.
  • Nativní klient: Mezi příklady patří Azure PowerShell, Visual Studio a Azure CLI.

Aplikace můžou podporovat dva typy tenantů:

  • Jeden tenant: Podporuje uživatele a služby jenom ze stejného adresáře, ve kterém je aplikace zaregistrovaná.

    Poznámka

    Vzhledem k tomu, že služba AD FS podporuje pouze jeden adresář, aplikace, které vytvoříte v topologii služby AD FS, jsou záměrně aplikace s jedním tenantem.

  • Více tenantů: Podporuje použití uživateli a službami z adresáře, ve kterém je aplikace zaregistrovaná, i dalších adresářů tenanta. U aplikací s více tenanty se k vaší aplikaci můžou přihlásit uživatelé jiného adresáře tenanta (jiného Microsoft Entra tenanta).

    Další informace o víceklientské architektury najdete v tématu Povolení architektury s více tenanty.

    Další informace o vývoji aplikace s více tenanty najdete v tématu Aplikace s více tenanty.

Při registraci aplikace vytvoříte dva objekty:

  • Objekt aplikace: Globální reprezentace aplikace ve všech tenantech. Tento vztah je 1:1 se softwarovou aplikací a existuje pouze v adresáři, kde je aplikace poprvé zaregistrována.

  • Instanční objekt: Přihlašovací údaje vytvořené pro aplikaci v adresáři, ve kterém je aplikace poprvé zaregistrovaná. Instanční objekt se také vytvoří v adresáři každého dalšího tenanta, ve kterém se tato aplikace používá. Tento vztah se softwarovou aplikací může být 1:N.

Další informace o objektech aplikací a instančních objektů najdete v tématu Aplikace a instanční objekty ve Microsoft Entra ID.

Instanční objekty

Instanční objekt je sada přihlašovacích údajů pro aplikaci nebo službu, které uděluje přístup k prostředkům ve službě Azure Stack Hub. Použití instančního objektu odděluje oprávnění aplikace od oprávnění uživatele aplikace.

Instanční objekt se vytvoří v každém tenantovi, ve kterém se aplikace používá. Instanční objekt vytvoří identitu pro přihlášení a přístup k prostředkům (například uživatelům), které jsou tímto tenantem zabezpečené.

  • Aplikace s jedním tenantem má jenom jeden instanční objekt, který je v adresáři, kde se poprvé vytvořila. Tento instanční objekt se vytvoří a souhlasí s jeho použitím během registrace aplikace.
  • Webová aplikace nebo rozhraní API s více tenanty má instanční objekt vytvořený v každém tenantovi, kde uživatel z tohoto tenanta souhlasí s používáním aplikace.

Přihlašovacími údaji pro instanční objekty můžou být buď klíč vygenerovaný prostřednictvím Azure Portal, nebo certifikát. Použití certifikátu je vhodné pro automatizaci, protože certifikáty jsou považovány za bezpečnější než klíče.

Poznámka

Pokud používáte službu AD FS se službou Azure Stack Hub, může instanční objekty vytvářet pouze správce. Instanční objekty ve službě AD FS vyžadují certifikáty a vytvářejí se prostřednictvím privilegovaného koncového bodu (PEP). Další informace najdete v tématu Použití identity aplikace pro přístup k prostředkům.

Další informace o instančních objektech pro Azure Stack Hub najdete v tématu Vytváření instančních objektů.

Služby

Služby ve službě Azure Stack Hub, které komunikují se zprostředkovatelem identity, se zaregistrují jako aplikace u zprostředkovatele identity. Podobně jako aplikace umožňuje registrace službě ověřování v systému identit.

Všechny služby Azure používají protokoly OpenID Connect a webové tokeny JSON k vytvoření své identity. Vzhledem k tomu, že Microsoft Entra ID a SLUŽBA AD FS používají protokoly konzistentně, můžete použít knihovnu Microsoft Authentication Library (MSAL) k získání tokenu zabezpečení pro ověření v místním prostředí nebo v Azure (v připojeném scénáři). S MSAL můžete také použít nástroje, jako je Azure PowerShell a Azure CLI, pro správu prostředků napříč cloudy a místními prostředky.

Identity a váš systém identit

Identity pro službu Azure Stack Hub zahrnují uživatelské účty, skupiny a instanční objekty.

Při instalaci služby Azure Stack Hub se několik integrovaných aplikací a služeb automaticky zaregistruje u vašeho zprostředkovatele identity v tenantovi adresáře. Některé služby, které se registrují, se používají ke správě. Další služby jsou k dispozici pro uživatele. Výchozí registrace poskytují základní identity služeb, které mohou vzájemně komunikovat i s identitami, které přidáte později.

Pokud nastavíte id Microsoft Entra s více tenanty, některé aplikace se rozšíří do nových adresářů.

Ověřování a autorizace

Ověřování aplikacemi a uživateli

Identita mezi vrstvami služby Azure Stack Hub

Pro aplikace a uživatele je architektura služby Azure Stack Hub popsaná čtyřmi vrstvami. Interakce mezi každou z těchto vrstev můžou používat různé typy ověřování.

Vrstva Ověřování mezi vrstvami
Nástroje a klienti, jako je portál pro správu K přístupu k prostředku nebo jeho úpravě ve službě Azure Stack Hub nástroje a klienti používají k volání azure Resource Manager webový token JSON.
Azure Resource Manager ověří webový token JSON a nahlédne do deklarací identity ve vydaném tokenu, aby se odhadla úroveň autorizace uživatele nebo instančního objektu ve službě Azure Stack Hub.
Azure Resource Manager a její základní služby Azure Resource Manager komunikuje s poskytovateli prostředků za účelem přenosu komunikace od uživatelů.
Přenosy používají přímá imperativní volání nebo deklarativní volání prostřednictvím šablon Azure Resource Manager.
Poskytovatelé prostředků Volání předaná poskytovatelům prostředků jsou zabezpečená ověřováním na základě certifikátů.
Azure Resource Manager a poskytovatel prostředků pak dál komunikují prostřednictvím rozhraní API. U každého volání přijatého z Azure Resource Manager poskytovatel prostředků ověří volání pomocí daného certifikátu.
Infrastruktura a obchodní logika Poskytovatelé prostředků komunikují s obchodní logikou a infrastrukturou pomocí režimu ověřování podle svého výběru. Výchozí poskytovatelé prostředků, kteří se dodávají se službou Azure Stack Hub, používají k zabezpečení této komunikace ověřování Windows.

Informace potřebné pro ověřování

Ověřování v Azure Resource Manager

Pokud se chcete ověřit pomocí zprostředkovatele identity a získat webový token JSON, musíte mít následující informace:

  1. Adresa URL pro systém identit (autorita): Adresa URL, na které je možné získat přístup k vašemu zprostředkovateli identity. Například, https://login.windows.net.
  2. Identifikátor URI ID aplikace pro Azure Resource Manager: Jedinečný identifikátor azure Resource Manager zaregistrovaný u zprostředkovatele identity. Je také jedinečný pro každou instalaci služby Azure Stack Hub.
  3. Přihlašovací údaje: Přihlašovací údaje, které používáte k ověření u zprostředkovatele identity.
  4. Adresa URL pro Azure Resource Manager: Adresa URL je umístění služby Azure Resource Manager. Příkladem je https://management.azure.com nebo https://management.local.azurestack.external.

Když objekt zabezpečení (klient, aplikace nebo uživatel) odešle žádost o ověření pro přístup k prostředku, musí požadavek obsahovat:

  • Přihlašovací údaje objektu zabezpečení.
  • Identifikátor URI ID aplikace prostředku, ke kterému chce objekt zabezpečení získat přístup.

Přihlašovací údaje jsou ověřeny zprostředkovatelem identity. Zprostředkovatel identity také ověří, že identifikátor URI ID aplikace je pro zaregistrovanou aplikaci a že objekt zabezpečení má správná oprávnění k získání tokenu pro tento prostředek. Pokud je požadavek platný, udělí se webový token JSON.

Token pak musí předat hlavičku požadavku do Azure Resource Manager. Azure Resource Manager v žádném konkrétním pořadí:

  • Ověří deklaraci identity vystavitele (iss), aby se potvrdilo, že token pochází od správného zprostředkovatele identity.
  • Ověří deklaraci cílové skupiny (aud) a potvrdí, že token byl vydán do Azure Resource Manager.
  • Ověří, že je webový token JSON podepsaný certifikátem, který je nakonfigurovaný prostřednictvím OpenID a který je známý pro Azure Resource Manager.
  • Zkontrolujte vystavené deklarace identity na (iat) a vypršení platnosti (exp) a ověřte, že je token aktivní a dá se přijmout.

Po dokončení všech ověření azure Resource Manager použije ID objektu (oid) a deklarace identity skupin k vytvoření seznamu prostředků, ke kterým může objekt zabezpečení přistupovat.

Diagram protokolu výměny tokenů

Poznámka

Po nasazení se Microsoft Entra oprávnění globálního správce nevyžaduje. Některé operace však můžou vyžadovat přihlašovací údaje globálního správce (například instalační skript poskytovatele prostředků nebo novou funkci vyžadující udělení oprávnění). Můžete buď dočasně znovu nastavit oprávnění globálního správce účtu, nebo použít samostatný účet globálního správce, který je vlastníkem výchozího předplatného poskytovatele.

Použití Role-Based Access Control

Role-Based Access Control (RBAC) ve službě Azure Stack Hub je konzistentní s implementací v Microsoft Azure. Přístup k prostředkům můžete spravovat přiřazením příslušné role RBAC uživatelům, skupinám a aplikacím. Informace o tom, jak používat RBAC se službou Azure Stack Hub, najdete v následujících článcích:

Ověřování s využitím Azure PowerShellu

Podrobnosti o použití Azure PowerShell k ověřování ve službě Azure Stack Hub najdete v tématu Konfigurace prostředí PowerShell uživatele služby Azure Stack Hub.

Ověřování pomocí Azure CLI

Informace o použití Azure PowerShell k ověřování ve službě Azure Stack Hub najdete v tématu Instalace a konfigurace Azure CLI pro použití se službou Azure Stack Hub.

Azure Policy

Azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém. Prostřednictvím řídicího panelu dodržování předpisů poskytuje agregované zobrazení pro vyhodnocení celkového stavu prostředí s možností přejít k podrobnostem pro jednotlivé prostředky a zásady. Napomáhá tomu, aby prostředky dodržovaly předpisy, a sice prostřednictvím hromadné nápravy existujících prostředků a automatické nápravy nových prostředků.

Mezi běžné případy použití služby Azure Policy patří implementace zásad správného řízení v zájmu zajištění konzistence prostředků, dodržování legislativních předpisů, zabezpečení, řízení nákladů a správa. Definice zásad pro tyto běžné případy použití jsou už integrované v prostředí Azure, aby vám pomohly začít.

Poznámka

služba Azure Stack Hub v současné době nepodporuje Azure Policy.

Azure AD Graph

Microsoft Azure oznámila vyřazení Azure AD Graphu 30. června 2020 a datum vyřazení z provozu je 30. června 2023. Společnost Microsoft o této změně informovala zákazníky e-mailem. Podrobnější informace najdete v blogu o vyřazení Azure AD Graphu a vyřazení modulu PowerShellu.

Následující část popisuje, jak toto vyřazení ovlivní Službu Azure Stack Hub.

Tým služby Azure Stack Hub úzce spolupracuje s týmem Azure Graphu, aby vaše systémy v případě potřeby fungovaly i po 30. červnu 2023 a zajistily hladký přechod. Nejdůležitější akcí je zajistit, abyste dodržovali zásady údržby služby Azure Stack Hub. Zákazníci obdrží upozornění na portálu pro správu služby Azure Stack Hub a budou muset aktualizovat domovský adresář a všechny nasazené adresáře hostů.

Většinu samotné migrace bude provádět prostředí pro aktualizaci integrovaného systému. K udělení nových oprávnění těmto aplikacím budou zákazníci vyžadovat ruční krok, který bude vyžadovat oprávnění globálního správce v každém adresáři Microsoft Entra používaném s prostředími služby Azure Stack Hub. Po dokončení instalace balíčku aktualizace s těmito změnami se na portálu pro správu vyvolá upozornění, které vás nasměruje, abyste tento krok dokončili pomocí víceklientské uživatelské rozhraní nebo skriptů PowerShellu. Jedná se o stejnou operaci, kterou provádíte při onboardingu dalších adresářů nebo poskytovatelů prostředků. Další informace najdete v tématu Konfigurace víceklientské architektury ve službě Azure Stack Hub.

Pokud používáte službu AD FS jako systém identit se službou Azure Stack Hub, tyto změny grafu nebudou mít přímý vliv na váš systém. Nejnovější verze nástrojů, jako je Azure CLI, Azure PowerShell atd., ale vyžadují nová rozhraní Graph API a nebudou fungovat. Ujistěte se, že používáte jenom verze těchto nástrojů, které jsou explicitně podporované v daném buildu Služby Azure Stack Hub.

Kromě upozornění na portálu pro správu budeme o změnách informovat prostřednictvím poznámek k vydání aktualizace a budeme informovat o tom, který balíček aktualizace vyžaduje aktualizaci domovského adresáře a všech onboardovaných adresářů hosta.

Další kroky