Übersicht über Identitätsanbieter für Azure Stack Hub
Azure Stack Hub erfordert Microsoft Entra ID oder Active Directory-Verbunddienste (AD FS) (AD FS), die von Active Directory als Identitätsanbieter unterstützt wird. Die Wahl eines Anbieters ist eine einmalige Entscheidung, die Sie bei der ersten Bereitstellung von Azure Stack Hub treffen. Die Konzepte und Autorisierungsdetails in diesem Artikel können Ihnen bei der Wahl des Identitätsanbieters als Hilfe dienen.
Ihre Wahl zwischen Microsoft Entra ID oder AD FS wird durch den Modus bestimmt, in dem Sie Azure Stack Hub bereitstellen:
- Wenn Sie sie in einem verbundenen Modus bereitstellen, können Sie entweder Microsoft Entra-ID oder AD FS verwenden.
- Bei der Bereitstellung im nicht verbundenen Modus ohne Internetverbindung wird nur AD FS unterstützt.
Weitere Informationen zu Ihren Optionen, die von Ihrer Azure Stack Hub-Umgebung abhängen, finden Sie in den folgenden Artikeln:
- Azure Stack Hub Development Kit: Überlegungen zur Identität.
- Integrierte Azure Stack Hub-Systeme: Planungsentscheidungen zu mit Azure verbundenen Bereitstellungen für in Azure Stack Hub integrierte Systeme
Wichtig
Azure AD Graph ist veraltet und wird am 30. Juni 2023 eingestellt. Weitere Informationen finden Sie in diesem Abschnitt.
Häufige Konzepte für Identitätsanbieter
In den nächsten Abschnitten werden häufige Konzepte für Identitätsanbieter und deren Nutzung in Azure Stack Hub beschrieben.
Verzeichnismandanten und Organisationen
Ein Verzeichnis ist ein Container mit Informationen zu Benutzern, Anwendungen, Gruppen und Dienstprinzipalen.
Ein Verzeichnismandant ist eine Organisation, z.B. Microsoft oder Ihr eigenes Unternehmen.
- Microsoft Entra-ID unterstützt mehrere Mandanten und kann mehrere Organisationen unterstützen, die sich jeweils in einem eigenen Verzeichnis befinden. Wenn Sie Microsoft Entra-ID verwenden und über mehrere Mandanten verfügen, können Sie Apps und Benutzern aus einem Mandanten Zugriff auf andere Mandanten desselben Verzeichnisses gewähren.
- AD FS unterstützt nur einen Mandanten und somit auch nur eine Organisation.
Benutzer und Gruppen
Benutzerkonten (Identitäten) sind Standardkonten, die Einzelpersonen per Benutzer-ID und Kennwort authentifizieren. Gruppen können Benutzer oder andere Gruppen enthalten.
Die Erstellung und Verwaltung von Benutzern und Gruppen hängt von der Identitätslösung ab, die Sie verwenden.
In Azure Stack Hub gilt für Benutzerkonten Folgendes:
- Sie werden im Format Benutzername@Domäne erstellt. AD FS ordnet Benutzerkonten zwar einer Active Directory-Instanz zu, aber für AD FS wird die Verwendung des Formats \<Domäne>\<Alias> nicht unterstützt.
- Sie können für die Verwendung der mehrstufigen Authentifizierung konfiguriert werden.
- Sie sind auf das Verzeichnis beschränkt, für das sie zuerst registriert werden. Dies ist das Organisationsverzeichnis.
- Sie können aus Ihren lokalen Verzeichnissen importiert werden. Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Verzeichnisse mit Microsoft Entra ID.
Beim Anmelden am Benutzerportal Ihrer Organisation verwenden Sie die URL https://portal.local.azurestack.external. Wenn Sie sich beim Azure Stack Hub-Portal nicht über die Domäne anmelden, die zum Registrieren für Azure Stack Hub verwendet wurde, sondern über andere Domänen, muss der Domänenname für die Registrierung bei Azure Stack Hub an die Portal-URL angefügt werden. Wenn beispielsweise Azure Stack Hub mit „fabrikam.onmicrosoft.com“ registriert wurde und das Benutzerkonto für die Anmeldung admin@contoso.com ist, lautet die URL für die Anmeldung am Benutzerportal wie folgt: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com..
Gastbenutzer
Gastbenutzer sind Benutzerkonten anderer Verzeichnismandanten, denen Zugriff auf die Ressourcen in Ihrem Verzeichnis gewährt wurde. Um Gastbenutzer zu unterstützen, verwenden Sie Microsoft Entra-ID und aktivieren die Unterstützung für mehrinstanzenfähige Mandanten. Wenn die Unterstützung aktiviert ist, können Sie Gastbenutzer zum Zugreifen auf Ressourcen in Ihrem Verzeichnismandanten einladen, wodurch wiederum die Zusammenarbeit mit externen Organisationen ermöglicht wird.
Um Gastbenutzer einzuladen, können Cloudbetreiber und Benutzer Microsoft Entra B2B-Zusammenarbeit verwenden. Eingeladene Benutzer erhalten Zugriff auf Dokumente, Ressourcen und Apps aus Ihrem Verzeichnis, und Sie behalten die Kontrolle über Ihre eigenen Ressourcen und Daten.
Als Gastbenutzer können Sie sich am Verzeichnismandanten einer anderen Organisation anmelden. Hierzu hängen Sie den Verzeichnisnamen der Organisation an die Portal-URL an. Wenn Sie beispielsweise zur Organisation Contoso gehören und sich am Fabrikam-Verzeichnis anmelden möchten, verwenden Sie https://portal.local.azurestack.external/fabrikam.onmicrosoft.com..
Apps
Sie können Apps für Microsoft Entra ID oder AD FS registrieren und die Apps dann Benutzern in Ihrem organization anbieten.
Folgende Arten von Apps sind verfügbar:
- Web-Apps: Beispiele hierfür sind das Azure-Portal und Azure Resource Manager. Sie unterstützen Web-API-Aufrufe.
- Nativer Client: Beispiele hierfür sind Azure PowerShell, Visual Studio und die Azure CLI.
Apps können zwei Arten von Mandanten unterstützen:
Ein Mandant: Unterstützt Benutzer und Dienste nur für das Verzeichnis, unter dem die App registriert ist.
Hinweis
Da AD FS nur ein einzelnes Verzeichnis unterstützt, sind Apps, die Sie in einer AD FS-Topologie erstellen, entsprechend immer Apps mit nur einem Mandanten.
Mehrere Mandanten (Mehrinstanzenfähigkeit): Hierbei wird die Nutzung durch Benutzer und Dienste sowohl für das Verzeichnis, unter dem die App registriert ist, als auch für weitere Mandantenverzeichnisse unterstützt. Bei mehrinstanzenfähigen Apps können sich Benutzer eines anderen Mandantenverzeichnisses (ein anderer Microsoft Entra Mandant) bei Ihrer App anmelden.
Weitere Informationen zur Mehrinstanzenfähigkeit finden Sie unter Aktivieren der Mehrinstanzenfähigkeit in Azure Stack.
Weitere Informationen zum Entwickeln einer mehrinstanzenfähigen App finden Sie unter Anmelden von Azure Active Directory-Benutzern (AD) mit dem mehrinstanzenfähigen Anwendungsmuster.
Beim Registrieren einer App erstellen Sie zwei Objekte:
Anwendungsobjekt: Die globale Darstellung der App über alle Mandanten hinweg. Dies ist eine 1:1-Beziehung mit der Software-App, die nur in dem Verzeichnis vorhanden ist, in dem die App zuerst registriert wurde.
Dienstprinzipalobjekt: Anmeldeinformationen, die für eine App in dem Verzeichnis erstellt wurden, in dem diese zuerst registriert wurde. Ein Dienstprinzipal wird auch in dem Verzeichnis jedes zusätzlichen Mandanten erstellt, in dem diese App verwendet wird. Dies kann eine 1:n-Beziehung mit der Software-App sein.
Weitere Informationen zu App- und Dienstprinzipalobjekten finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID.
Dienstprinzipale
Ein Dienstprinzipal umfasst einen Satz mit Anmeldeinformationen für eine App oder einen Dienst zum Gewähren von Zugriff auf Ressourcen in Azure Stack Hub. Bei Verwendung eines Dienstprinzipals werden die App-Berechtigungen von den Berechtigungen des Benutzers der App getrennt.
In jedem Mandanten, in dem die App genutzt wird, wird ein Dienstprinzipal erstellt. Der Dienstprinzipal richtet eine Identität für die Anmeldung und den Zugriff auf Ressourcen (z.B. Benutzer) ein, die durch diesen Mandanten geschützt sind.
- Eine App mit nur einem Mandanten verfügt nur in dem Verzeichnis, in dem sie zuerst erstellt wurde, über einen Dienstprinzipal. Dieser Dienstprinzipal wird während der Registrierung der App erstellt, und die Zustimmung für die Verwendung wird eingerichtet.
- Eine Web-App oder API mit mehreren Mandanten verfügt über einen Dienstprinzipal, der in jedem Mandanten erstellt wird, in dem ein Benutzer des Mandanten der App-Nutzung zugestimmt hat.
Bei Anmeldeinformationen für Dienstprinzipale kann es sich entweder um einen Schlüssel, der über das Azure Portal generiert wird, oder um ein Zertifikat handeln. Die Nutzung eines Zertifikats ist für die Automatisierung geeignet, da Zertifikate im Vergleich zu Schlüsseln als sicherer anzusehen sind.
Hinweis
Wenn Sie AD FS mit Azure Stack Hub verwenden, kann nur der Administrator Dienstprinzipale erstellen. Bei AD FS sind für Dienstprinzipale Zertifikate erforderlich, die über den privilegierten Endpunkt (PEP) erstellt werden. Weitere Informationen finden Sie unter Verwenden einer App-Identität für den Ressourcenzugriff.
Weitere Informationen zu Dienstprinzipalen für Azure Stack Hub finden Sie unter Bereitstellen des Anwendungszugriffs auf Azure Stack.
Dienste
Dienste in Azure Stack Hub, die mit dem Identitätsanbieter interagieren, werden als Apps beim Identitätsanbieter registriert. Wie bei Apps auch, wird für Dienste durch die Registrierung die Authentifizierung beim Identitätssystem ermöglicht.
Für alle Azure-Dienste werden OpenID Connect-Protokolle und JSON Web Tokens genutzt, um die Identität einzurichten. Da Microsoft Entra ID und AD FS Protokolle konsistent verwenden, können Sie die Microsoft Authentication Library (MSAL) verwenden, um ein Sicherheitstoken für die lokale Authentifizierung oder bei Azure (in einem verbundenen Szenario) abzurufen. Mit MSAL können Sie auch Tools wie Azure PowerShell und Azure CLI für die cloudübergreifende und lokale Ressourcenverwaltung verwenden.
Identitäten und Ihr Identitätssystem
Zu den Identitäten für Azure Stack Hub gehören Benutzerkonten, Gruppen und Dienstprinzipale.
Bei der Installation von Azure Stack Hub werden mehrere integrierte Apps und Dienste automatisch bei Ihrem Identitätsanbieter im Verzeichnismandanten registriert. Einige Dienste, die registriert werden, werden für die Verwaltung verwendet. Andere Dienste sind für Benutzer verfügbar. Über die Standardregistrierungen werden für Kerndienste Identitäten bereitgestellt, die sowohl untereinander als auch mit später hinzugefügten Identitäten interagieren können.
Wenn Sie Microsoft Entra ID mit Mehrinstanzenfähigkeit einrichten, werden einige Apps an die neuen Verzeichnisse weitergegeben.
Authentifizierung und Autorisierung
Authentifizierung durch Apps und Benutzer
Für Apps und Benutzer wird die Architektur von Azure Stack Hub anhand von vier Ebenen beschrieben. Für Interaktionen zwischen den einzelnen Ebenen können unterschiedliche Authentifizierungsarten verwendet werden.
Ebene | Authentifizierung zwischen Ebenen |
---|---|
Tools und Clients, z. B. das Administratorportal | Zum Zugreifen auf oder Ändern einer Ressource in Azure Stack Hub nutzen Tools und Clients JSON Web Tokens, um einen Aufruf von Azure Resource Manager durchzuführen. Azure Resource Manager überprüft das JSON Web Token und sieht sich die Ansprüche im ausgestellten Token an, um die Autorisierungsebene einzuschätzen, die für den Benutzer oder den Dienstprinzipal in Azure Stack Hub besteht. |
Azure Resource Manager und seine Kerndienste | Azure Resource Manager kommuniziert mit Ressourcenanbietern, um die Kommunikation von Benutzern zu übertragen. Für Übertragungen werden direkte imperative Aufrufe oder deklarative Aufrufe über Azure Resource Manager-Vorlagen verwendet. |
Ressourcenanbieter | Aufrufe, die an Ressourcenanbieter übergeben werden, sind per zertifikatbasierter Authentifizierung geschützt. Azure Resource Manager und der Ressourcenanbieter kommunizieren dann über eine API. Für jeden Aufruf, der vom Azure Resource Manager eingeht, überprüft der Ressourcenanbieter den Aufruf mit diesem Zertifikat. |
Infrastruktur und Geschäftslogik | Ressourcenanbieter kommunizieren mit der Geschäftslogik und der Infrastruktur, indem ein Authentifizierungsmodus ihrer Wahl verwendet wird. Für die Standardressourcenanbieter von Azure Stack Hub wird die Windows-Authentifizierung verwendet, um die Kommunikation zu schützen. |
Authentifizierung bei Azure Resource Manager
Sie müssen über die folgenden Informationen verfügen, um die Authentifizierung mit dem Identitätsanbieter durchzuführen und ein JSON Web Token zu erhalten:
- URL für das Identitätssystem (Autorität): Die URL, unter der Ihr Identitätsanbieter erreichbar ist. Beispiel: https://login.windows.net.
- App-ID-URI für Azure Resource Manager: Der eindeutige Bezeichner für Azure Resource Manager, der bei Ihrem Identitätsanbieter registriert ist. Außerdem ist er für jede Azure Stack Hub-Installation eindeutig.
- Anmeldeinformationen: Die Anmeldeinformationen, die Sie zum Authentifizieren beim Identitätsanbieter verwenden
- URL für Azure Resource Manager: Die URL gibt den Speicherort des Azure Resource Manager-Diensts an. Zum Beispiel: https://management.azure.com oder https://management.local.azurestack.external.
Wenn ein Prinzipal (Client, Apps oder Benutzer) eine Authentifizierungsanforderung zum Zugreifen auf eine Ressource sendet, muss diese Folgendes enthalten:
- Die Anmeldeinformationen des Prinzipals.
- Der App-ID-URI der Ressource, auf die der Prinzipal zugreifen möchte.
Die Anmeldeinformationen werden vom Identitätsanbieter überprüft. Der Identitätsanbieter überprüft auch, ob der App-ID-URI für eine registrierte App bestimmt ist und ob der Prinzipal über die richtigen Berechtigungen zum Abrufen eines Tokens für die Ressource verfügt. Wenn die Anforderung gültig ist, wird ein JSON Web Token gewährt.
Das Token muss dann den Header einer Anforderung an Azure Resource Manager übergeben. Azure Resource Manager führt Folgendes durch (ohne feste Reihenfolge):
- Überprüft den Anspruch issuer (iss), um zu bestätigen, dass das Token vom richtigen Identitätsanbieter stammt.
- Überprüft den Anspruch audience (aud), um zu bestätigen, dass das Token für Azure Resource Manager ausgestellt wurde.
- Überprüft, ob das JSON Web Token mit einem Zertifikat signiert ist, das per OpenID konfiguriert wurde und das Azure Resource Manager bekannt ist.
- Überprüft die Ansprüche issued at (iat) und expiry (exp), um zu bestätigen, dass das Token aktiv ist und akzeptiert werden kann.
Nachdem alle Überprüfungen abgeschlossen sind, verwendet der Azure Resource Manager die Ansprüche object id (oid) und groups, um eine Liste mit Ressourcen zu erstellen, auf die der Prinzipal zugreifen kann.
Hinweis
Nach der Bereitstellung ist Microsoft Entra Berechtigung "Globaler Administrator" nicht erforderlich. Für einige Vorgänge werden aber ggf. die Anmeldeinformationen des globalen Administrators benötigt (z. B. für ein Ressourcenanbieter-Installationsskript oder zum Gewähren einer Berechtigung für ein neues Feature). Sie können entweder die globalen Administratorrechte des Kontos vorübergehend wiederherstellen oder ein separates globales Administratorkonto verwenden, das Besitzer des Standardanbieterabonnements ist.
Verwenden der rollenbasierten Zugriffssteuerung
Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Stack Hub ist mit der Implementierung in Microsoft Azure konsistent. Sie können den Zugriff auf Ressourcen verwalten, indem Sie Benutzern, Gruppen und Apps die jeweils geeignete RBAC-Rolle zuweisen. Informationen zur Verwendung von RBAC mit Azure Stack Hub finden Sie in den folgenden Artikeln:
- Erste Schritte mit der rollenbasierten Zugriffssteuerung im Azure-Portal
- Verwenden der rollenbasierten Zugriffssteuerung zum Verwalten des Zugriffs auf Ihre Azure-Abonnementressourcen
- Erstellen von benutzerdefinierten Rollen für die rollenbasierte Zugriffssteuerung in Azure
- Verwalten der rollenbasierten Zugriffssteuerung in Azure Stack Hub
Authentifizieren mit Azure PowerShell
Ausführliche Informationen zur Verwendung von Azure PowerShell für die Authentifizierung bei Azure Stack Hub finden Sie unter Konfigurieren der PowerShell-Umgebung des Azure Stack Hub-Benutzers.
Authentifizieren mit der Azure CLI
Informationen zur Verwendung von Azure PowerShell für die Authentifizierung bei Azure Stack Hub finden Sie unter Installieren und Konfigurieren der Azure CLI für die Verwendung mit Azure Stack Hub.
Azure Policy
Azure Policy unterstützt Sie bei der Durchsetzung von Organisationsstandards und der Bewertung der Compliance im großen Stil. Über sein Compliance-Dashboard bietet der Dienst eine aggregierte Ansicht zur Bewertung des Gesamtzustands der Umgebung mit der Möglichkeit, einen Drilldown zur Granularität pro Ressource und Richtlinie durchzuführen. Außerdem trägt er durch Massenwartung für vorhandene Ressourcen und automatische Wartung dazu bei, dass Ihre Ressourcen Compliance-Anforderungen erfüllen.
Häufige Anwendungsfälle für Azure Policy sind die Implementierung von Governance für Ressourcenkonsistenz, Einhaltung gesetzlicher Bestimmungen, Sicherheit, Kosten und Verwaltung. Richtliniendefinitionen für diese häufigen Anwendungsfälle sind in ihrer Azure-Umgebung bereits integriert, um Ihnen den Einstieg zu erleichtern.
Hinweis
Azure Policy wird unter Azure Stack Hub derzeit nicht unterstützt.
Azure AD Graph
Microsoft Azure hat die Einstellung von Azure AD Graph am 30. Juni 2020 und den 30. Juni 2023 angekündigt. Microsoft hat Kunden per E-Mail über diese Änderung informiert. Ausführlichere Informationen finden Sie im Blog zum Auslaufen von Azure AD Graph und zum Veraltet des PowerShell-Moduls .
Im folgenden Abschnitt wird beschrieben, wie sich diese eingestellte Unterstützung auf Azure Stack Hub auswirkt.
Das Azure Stack Hub-Team arbeitet eng mit dem Azure Graph-Team zusammen, um sicherzustellen, dass Ihre Systeme bei Bedarf auch über den 30. Juni 2023 hinaus funktionieren, um einen reibungslosen Übergang sicherzustellen. Die wichtigste Aufgabe besteht darin, die Einhaltung der Azure Stack Hub-Wartungsrichtlinie sicherzustellen. Kunden erhalten eine Warnung im Administratorportal von Azure Stack Hub und müssen das Stammverzeichnis und alle aufgenommenen Gastverzeichnisse aktualisieren.
Der Großteil der Migration selbst erfolgt über die integrierte Systemaktualisierungsumgebung. Kunden benötigen einen manuellen Schritt, um diesen Anwendungen neue Berechtigungen zu erteilen. Dieser erfordert globale Administratorberechtigungen in jedem Microsoft Entra Verzeichnis, das mit Ihren Azure Stack Hub-Umgebungen verwendet wird. Nachdem die Installation des Updatepakets mit diesen Änderungen abgeschlossen ist, wird im Verwaltungsportal eine Warnung ausgelöst, die Sie anweisen wird, diesen Schritt mithilfe der mehrinstanzenfähigen Benutzeroberfläche oder PowerShell-Skripts abzuschließen. Dies ist derselbe Vorgang, den Sie beim Onboarding zusätzlicher Verzeichnisse oder Ressourcenanbieter ausführen. Weitere Informationen finden Sie unter Konfigurieren der Mandantenfähigkeit in Azure Stack Hub.
Wenn Sie AD FS als Identitätssystem mit Azure Stack Hub verwenden, wirken sich diese Graph-Änderungen nicht direkt auf Ihr System aus. Die neuesten Versionen von Tools wie Azure CLI, Azure PowerShell usw. erfordern jedoch die neuen Graph-APIs und funktionieren nicht. Stellen Sie sicher, dass Sie nur die Versionen dieser Tools verwenden, die explizit mit dem jeweiligen Azure Stack Hub-Build unterstützt werden.
Zusätzlich zur Warnung im Verwaltungsportal kommunizieren wir Änderungen über die Versionshinweise für Updates. Außerdem informieren wir Sie darüber, bei welchem Updatepaket das Stammverzeichnis und alle aufgenommenen Gastverzeichnisse aktualisiert werden müssen.