Architecture d’identité pour Azure Stack Hub

Lorsque vous choisissez un fournisseur d’identité à utiliser avec Azure Stack Hub, vous devez comprendre les différences importantes entre les options de Microsoft Entra ID et Services ADFS (AD FS).

Capacités et limitations

Le fournisseur d’identité que vous choisissez peut limiter vos options, dont la prise en charge d’architecture mutualisée.

Capacité ou scénario Microsoft Entra ID AD FS
Connecté à Internet Oui Facultatif
Prise en charge d’architecture mutualisée Oui Non
Proposer des articles dans la place de marché Oui Oui (nécessite l’utilisation de l’outil Syndication de Place de marché hors ligne)
Prise en charge de la bibliothèque d’authentification Active Directory (ADAL) Oui Oui
Prise en charge des outils tels que Azure CLI, Visual Studio et PowerShell Oui Oui
Créer des principaux de service via le portail Azure Oui Non
Créer des principaux de service avec des certificats Oui Oui
Créer des principaux de service avec des secrets (clés) Oui Oui
Les applications peuvent utiliser le service Graph Oui Non
Les applications peuvent utiliser le fournisseur d’identité pour se connecter Oui Oui (les applications doivent fédérer avec vos instances AD FS locales)
Identités managées Non Non

Topologies

Les sections suivantes traitent des différentes topologies d’identité que vous pouvez utiliser.

ID Microsoft Entra : topologie à locataire unique

Par défaut, lorsque vous installez Azure Stack Hub et utilisez Microsoft Entra ID, Azure Stack Hub utilise une topologie à locataire unique.

Une topologie de client unique est utile quand :

  • Tous les utilisateurs sont compris dans le même client.
  • Un fournisseur de services héberge une instance Azure Stack Hub pour une organisation.

Topologie à locataire unique Azure Stack Hub avec ID de Microsoft Entra

Cette topologie présente les caractéristiques suivantes :

  • Azure Stack Hub inscrit toutes les applications et services dans le même répertoire de locataire Microsoft Entra.
  • Azure Stack Hub n’authentifie que les utilisateurs et applications de cet annuaire, jetons compris.
  • Les identités pour administrateurs (opérateurs cloud) et les utilisateurs client sont dans le même répertoire de client.
  • Pour permettre à un utilisateur d’un autre annuaire d’accéder à cet environnement Azure Stack Hub, vous devez inviter l’utilisateur en tant qu’invité à l’annuaire du locataire.

ID Microsoft Entra : topologie multilocataire

Des opérateurs cloud peuvent configurer Azure Stack Hub pour autoriser l’accès aux applications par les locataires d’une ou plusieurs organisations. Les utilisateurs accèdent aux applications via le portail utilisateur Azure Stack Hub. Dans cette configuration, le portail administrateur (dont se sert l’opérateur cloud) est limité aux utilisateurs d’un annuaire unique.

Une topologie d’architecture mutualisée est utile quand :

  • Un fournisseur de services souhaite autoriser des utilisateurs de plusieurs organisations à accéder à Azure Stack Hub.

Topologie multilocataire Azure Stack Hub avec ID de Microsoft Entra

Cette topologie présente les caractéristiques suivantes :

  • L’accès aux ressources doit se faire pour chaque organisation.
  • Les utilisateurs d’une organisation ne devraient pas être capables d’autoriser l’accès aux ressources à des utilisateurs qui ne font pas partie de leur organisation.
  • Les identités des administrateurs (opérateurs cloud) peuvent se trouver dans des répertoires de client différents des identités des utilisateurs. Cette séparation offre une isolation de compte au niveau du fournisseur d’identité.

AD FS

La topologie AD FS est nécessaire lorsqu’une des conditions suivantes s’applique :

  • Azure Stack Hub ne se connecte pas à Internet.
  • Azure Stack Hub peut se connecter à Internet, mais vous choisissez d’utiliser AD FS comme fournisseur d’identité.

Topologie Azure Stack Hub utilisant AD FS

Cette topologie présente les caractéristiques suivantes :

  • Pour prendre en charge l’utilisation de cette topologie en production, vous devez intégrer l’instance AD FS Azure Stack Hub dans une instance AD FS existante sauvegardée dans Active Directory, via une approbation de fédération.

  • Vous pouvez intégrer le service Graph dans Azure Stack Hub avec votre instance Active Directory existante. Vous pouvez également utiliser le service API Graph basé sur OData qui prend en charge les API cohérentes avec l’API Graph Azure AD.

    Pour interagir avec votre instance Active Directory, l’API Graph nécessite des informations d’identification utilisateur de votre instance Active Directory correspondant à une autorisation en lecture seule. Il doit aussi avoir accès à :

    • l’instance AD FS intégrée.
    • Vos instances AD FS et Active Directory qui doivent être basées sur Windows Server 2012 ou version ultérieure.

    Entre votre instance Active Directory et l’instance AD FS intégrée, les interactions ne sont pas limitées à OpenID Connect, et peuvent utiliser n’importe quel protocole mutuel pris en charge.

    • Les comptes utilisateurs sont créés et gérés dans votre instance Active Directory locale.
    • Les principaux de service et les inscriptions d’applications sont gérés dans l’instance Active Directory intégrée.

Étapes suivantes