Identitásarchitektúra az Azure Stack Hubban
Az Azure Stack Hubbal használni kívánt identitásszolgáltató kiválasztásakor tisztában kell lennie a Microsoft Entra azonosító és a Active Directory összevonási szolgáltatások (AD FS) (AD FS) lehetőségei közötti fontos különbségekkel.
Képességek és korlátozások
A választott identitásszolgáltató korlátozhatja a lehetőségeket, beleértve a több-bérlős támogatást is.
| Képesség vagy forgatókönyv | Microsoft Entra ID | AD FS |
|---|---|---|
| Internetkapcsolat | Yes | Választható |
| Több-bérlős támogatás | Igen | Nem |
| Elemek felajánlása a Marketplace-en | Yes | Igen (az offline Marketplace Syndication eszköz használatát igényli) |
| Az Active Directory Authentication Library (ADAL) támogatása | Igen | Yes |
| Az olyan eszközök támogatása, mint az Azure CLI, a Visual Studio és a PowerShell | Igen | Yes |
| Szolgáltatásnevek létrehozása a Azure Portal | Igen | Nem |
| Szolgáltatásnevek létrehozása tanúsítványokkal | Igen | Yes |
| Szolgáltatásnevek létrehozása titkos kódokkal (kulcsokkal) | Igen | Yes |
| Az alkalmazások használhatják a Graph szolgáltatást | Igen | Nem |
| Az alkalmazások identitásszolgáltatót használhatnak a bejelentkezéshez | Yes | Igen (az alkalmazásoknak össze kell kapcsolniuk a helyszíni AD FS-példányokat) |
| Felügyelt identitások | Nem | Nem |
Topológiák
A következő szakaszok a különböző identitástopológiákat ismertetik, amelyeket használhat.
Microsoft Entra azonosító: egybérlős topológia
Alapértelmezés szerint az Azure Stack Hub telepítésekor és Microsoft Entra id használatakor az Azure Stack Hub egybérlős topológiát használ.
Az egybérlős topológia akkor hasznos, ha:
- Minden felhasználó ugyanahhoz a bérlőhöz tartozik.
- Egy szolgáltató üzemeltet egy Azure Stack Hub-példányt egy szervezet számára.
Ez a topológia a következő jellemzőket tartalmazza:
- Az Azure Stack Hub az összes alkalmazást és szolgáltatást ugyanarra a Microsoft Entra bérlői címtárra regisztrálja.
- Az Azure Stack Hub csak a címtárból származó felhasználókat és alkalmazásokat hitelesíti, a jogkivonatokat is beleértve.
- A rendszergazdák (felhőszolgáltatók) és a bérlői felhasználók identitásai ugyanabban a címtár-bérlőben találhatók.
- Ahhoz, hogy egy másik címtárból származó felhasználó hozzáférjen ehhez az Azure Stack Hub-környezethez, meg kell hívnia a felhasználót vendégként a bérlői címtárba.
Microsoft Entra azonosító: több-bérlős topológia
A felhőüzemeltetők úgy konfigurálhatják az Azure Stack Hubot, hogy lehetővé tegyék egy vagy több szervezet bérlői alkalmazásainak elérését. A felhasználók az Azure Stack Hub felhasználói portálján keresztül férnek hozzá az alkalmazásokhoz. Ebben a konfigurációban a rendszergazdai portál (amelyet a felhőszolgáltató használ) egyetlen címtár felhasználóira korlátozódik.
A több-bérlős topológia akkor hasznos, ha:
- Egy szolgáltató engedélyezni szeretné, hogy több szervezet felhasználói hozzáférjenek az Azure Stack Hubhoz.
Ez a topológia a következő jellemzőket tartalmazza:
- Az erőforrásokhoz való hozzáférésnek szervezetenként kell lennie.
- Az egyik szervezet felhasználói nem adhatnak hozzáférést az erőforrásokhoz a szervezeten kívüli felhasználóknak.
- A rendszergazdák (felhőüzemeltetők) identitásai a felhasználók identitásaitól eltérő címtárbérlőben lehetnek. Ez az elkülönítés biztosítja a fiókelkülönítést az identitásszolgáltató szintjén.
AD FS
Az AD FS-topológiára akkor van szükség, ha az alábbi feltételek valamelyike teljesül:
- Az Azure Stack Hub nem csatlakozik az internethez.
- Az Azure Stack Hub képes csatlakozni az internethez, de ön úgy dönt, hogy az AD FS-t használja az identitásszolgáltatójához.
Ez a topológia a következő jellemzőket tartalmazza:
A topológia éles környezetben való használatának támogatásához integrálnia kell a beépített Azure Stack Hub AD FS-példányt egy meglévő AD FS-példánnyal, amelyet az Active Directory támogat egy összevonási megbízhatósági kapcsolaton keresztül.
Integrálhatja a Graph szolgáltatást az Azure Stack Hubban a meglévő Active Directory-példánnyal. Az OData-alapú Graph API szolgáltatást is használhatja, amely támogatja az Azure AD Graph API konzisztens API-kat.
Az Active Directory-példány kezeléséhez a Graph API az Active Directory-példányhoz írásvédett engedéllyel rendelkező felhasználói hitelesítő adatokra és hozzáférésekre van szükség:
- A beépített AD FS-példány.
- Az AD FS-nek és az Active Directory-példányoknak Windows Server 2012 vagy újabb verzión kell alapulniuk.
Az Active Directory-példány és a beépített AD FS-példány között az interakciók nem korlátozódnak az OpenID Connectre, és bármely kölcsönösen támogatott protokollt használhatnak.
- A felhasználói fiókok a helyi Active Directory példányban jönnek létre és kezelhetők.
- Az alkalmazások szolgáltatásneveit és regisztrációit a beépített Active Directory-példány kezeli.