Arsitektur identitas untuk Azure Stack Hub
Saat memilih IdP untuk digunakan dengan Azure Stack Hub, Anda harus memahami perbedaan penting antara opsi ID Microsoft Entra dan Active Directory Federation Services (AD FS).
Kemampuan dan batasan
Penyedia identitas yang Anda pilih dapat membatasi pilihan Anda, termasuk dukungan untuk multi-penyewa.
| Kemampuan atau skenario | Microsoft Entra ID | Layanan Federasi Direktori Aktif |
|---|---|---|
| Tersambung ke internet | Ya | Opsional |
| Dukungan untuk multi-penyewa | Ya | Tidak |
| Tawarkan barang-barang di Marketplace | Ya | Ya (mengharuskan penggunaan alat Sindikasi Marketplace offline) |
| Dukungan untuk Pustaka Autentikasi Direktori Aktif (ADAL) | Ya | Ya |
| Dukungan untuk alat seperti Azure CLI, Visual Studio, dan PowerShell | Ya | Ya |
| Buat perwakilan layanan melalui portal Azure | Ya | Tidak |
| Buat perwakilan layanan dengan sertifikat | Ya | Ya |
| Buat perwakilan layanan dengan rahasia (kunci) | Ya | Ya |
| Aplikasi dapat menggunakan layanan Graph | Ya | Tidak |
| Aplikasi dapat menggunakan penyedia identitas untuk masuk | Ya | Ya (mengharuskan aplikasi untuk bergabung dengan instans AD FS di lokal) |
| Identitas Terkelola | Tidak | Tidak |
Topologi
Bagian berikut akan membahas berbagai topologi identitas yang dapat Anda gunakan.
ID Microsoft Entra: topologi penyewa tunggal
Secara default, saat Anda menginstal Azure Stack Hub dan menggunakan ID Microsoft Entra, Azure Stack Hub menggunakan topologi penyewa tunggal.
Topologi penyewa tunggal berguna ketika:
- Semua pengguna adalah bagian dari penyewa yang sama.
- Penyedia layanan meng-hosting instans Azure Stack Hub untuk organisasi.
Topologi ini menampilkan karakteristik berikut:
- Azure Stack Hub mendaftarkan semua aplikasi dan layanan ke direktori penyewa Microsoft Entra yang sama.
- Azure Stack Hub hanya mengautentikasi pengguna dan aplikasi dari direktori tersebut, termasuk token.
- Identitas untuk administrator (operator cloud) dan pengguna penyewa berada di penyewa direktori yang sama.
- Untuk mengaktifkan pengguna dari direktori lain agar dapat mengakses lingkungan Azure Stack Hub ini, Anda harus mengundang pengguna sebagai tamu ke direktori penyewa.
ID Microsoft Entra: topologi multi-penyewa
Operator cloud dapat mengonfigurasi Azure Stack Hub untuk mengizinkan akses ke aplikasi oleh penyewa dari satu atau beberapa organisasi. Pengguna dapat mengakses aplikasi melalui portal pengguna Azure Stack Hub. Dalam konfigurasi ini, portal administrator (digunakan oleh operator cloud) terbatas pada pengguna dari satu direktori.
Topologi multi-penyewa akan berguna ketika:
- Penyedia layanan ingin mengizinkan pengguna dari beberapa organisasi untuk mengakses Azure Stack Hub.
Topologi ini menampilkan karakteristik berikut:
- Akses ke sumber daya harus berdasarkan per organisasi.
- Pengguna dari satu organisasi harusnya tidak bisa memberikan akses ke sumber daya kepada pengguna yang berada di luar organisasi mereka.
- Identitas untuk administrator (operator cloud) dapat berada di penyewa direktori terpisah dari identitas pengguna. Pemisahan ini memberikan isolasi akun di tingkat penyedia identitas.
Layanan Federasi Direktori Aktif
Topologi AD FS diperlukan jika salah satu dari kondisi berikut benar:
- Azure Stack Hub tidak terhubung ke internet.
- Azure Stack Hub dapat terhubung ke internet, tetapi Anda memilih untuk menggunakan AD FS untuk penyedia identitas Anda.
Topologi ini menampilkan karakteristik berikut:
Untuk mendukung penggunaan topologi ini dalam produksi, Anda harus mengintegrasikan instans Azure Stack Hub AD FS bawaan dengan instans AD FS yang ada yang didukung oleh Direktori Aktif, melalui kepercayaan federasi.
Anda dapat mengintegrasikan layanan Graph di Azure Stack Hub dengan instans Direktori Aktif yang ada. Anda juga dapat menggunakan layanan API Graph berbasis OData yang mendukung API yang konsisten dengan API Graph Azure AD.
Untuk berinteraksi dengan instans Active Directory Anda, API Graph memerlukan kredensial pengguna dengan izin baca-saja ke instans Active Directory Anda, dan mengakses:
- Instans Active Directory Federation Services bawaan.
- Instans Active Directory Federation Services dan Active Directory Anda, yang harus didasarkan pada Windows Server 2012 atau versi lebih baru.
Antara instans Direktori Aktif dan instans AD FS bawaan, interaksi tidak terbatas pada OpenID Connect, dan mereka dapat menggunakan protokol yang didukung bersama.
- Akun pengguna dibuat dan dikelola dalam instans Direktori Aktif lokal Anda.
- Perwakilan layanan dan pendaftaran untuk aplikasi dikelola dalam instans Direktori Aktif bawaan.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk