Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Saat memilih penyedia identitas untuk digunakan dengan Azure Stack Hub, Anda harus memahami perbedaan penting antara opsi Microsoft Entra ID dan Layanan Federasi Direktori Aktif (AD FS).
Kemampuan dan batasan
Penyedia identitas yang Anda pilih dapat membatasi opsi Anda, termasuk dukungan untuk multi-penyewa.
| Kemampuan atau skenario | Microsoft Entra ID | AD FS (Layanan Federasi Direktori Aktif) |
|---|---|---|
| Tersambung ke internet | Ya | Fakultatif |
| Dukungan untuk multi-penyewaan | Ya | Tidak |
| Menawarkan item di Marketplace | Ya | Ya (memerlukan penggunaan alat Sindikasi Marketplace offline) |
| Dukungan untuk Pustaka Autentikasi Direktori Aktif (ADAL) | Ya | Ya |
| Dukungan untuk alat seperti Azure CLI, Visual Studio, dan PowerShell | Ya | Ya |
| Membuat principal layanan melalui portal Azure | Ya | Tidak |
| Membuat prinsipal layanan dengan sertifikat | Ya | Ya |
| Membuat prinsipal layanan dengan kredensial rahasia (kunci) | Ya | Ya |
| Aplikasi dapat menggunakan layanan Graph | Ya | Tidak |
| Aplikasi dapat menggunakan penyedia identitas untuk masuk ke sistem | Ya | Ya (mengharuskan aplikasi untuk bergabung dengan instans AD FS lokal) |
| Identitas terkelola | Tidak | Tidak |
Topologi
Bagian berikut membahas berbagai topologi identitas yang dapat Anda gunakan.
ID Microsoft Entra: topologi penyewa tunggal
Secara default, saat Anda menginstal Azure Stack Hub dan menggunakan ID Microsoft Entra, Azure Stack Hub menggunakan topologi penyewa tunggal.
Topologi penyewa tunggal berguna saat:
- Semua pengguna adalah bagian dari penyewa yang sama.
- Penyedia layanan menghosting instans Azure Stack Hub untuk organisasi.
Topologi ini menampilkan karakteristik berikut:
- Azure Stack Hub mendaftarkan semua aplikasi dan layanan ke direktori penyewa Microsoft Entra yang sama.
- Azure Stack Hub hanya mengautentikasi pengguna dan aplikasi dari direktori tersebut, termasuk token.
- Identitas untuk administrator (operator cloud) dan pengguna tenant berada di tenant direktori yang sama.
- Untuk mengaktifkan pengguna dari direktori lain untuk mengakses lingkungan Azure Stack Hub ini, Anda harus mengundang pengguna sebagai tamu ke direktori penyewa.
Microsoft Entra ID: topologi multi-tenant
Operator cloud dapat mengonfigurasi Azure Stack Hub untuk mengizinkan akses ke aplikasi oleh penyewa dari satu atau beberapa organisasi. Pengguna mengakses aplikasi melalui portal pengguna Azure Stack Hub. Dalam konfigurasi ini, portal administrator (digunakan oleh operator cloud) terbatas pada pengguna dari satu direktori.
Topologi multi-penyewa berguna saat:
- Penyedia layanan ingin mengizinkan pengguna dari beberapa organisasi mengakses Azure Stack Hub.
Topologi ini menampilkan karakteristik berikut:
- Akses ke sumber daya harus berdasarkan per organisasi.
- Pengguna dari satu organisasi seharusnya tidak dapat memberikan akses ke sumber daya kepada pengguna yang berada di luar organisasi mereka.
- Identitas administrator (operator cloud) dapat disimpan dalam direktori penyewa yang terpisah dari identitas pengguna. Pemisahan ini menyediakan isolasi akun di tingkat penyedia identitas.
AD FS (Layanan Federasi Direktori Aktif)
Topologi Active Directory Federation Services diperlukan ketika salah satu dari kondisi berikut ini benar:
- Azure Stack Hub tidak tersambung ke internet.
- Azure Stack Hub dapat tersambung ke internet, tetapi Anda memilih untuk menggunakan AD FS sebagai penyedia identitas Anda.
Topologi ini menampilkan karakteristik berikut:
Untuk mendukung penggunaan topologi ini dalam produksi, Anda harus mengintegrasikan instans Azure Stack Hub AD FS bawaan dengan instans AD FS yang ada yang didukung oleh Active Directory, melalui kepercayaan federasi.
Anda dapat mengintegrasikan layanan Graph di Azure Stack Hub dengan instans Direktori Aktif yang ada. Anda juga dapat menggunakan layanan Graph API berbasis OData yang mendukung API yang konsisten dengan Azure AD Graph API.
Untuk berinteraksi dengan instans Active Directory Anda, Graph API memerlukan kredensial pengguna dengan izin baca-saja ke instans Active Directory Anda, dan akses:
- Instans AD FS bawaan.
- Instans AD FS dan Active Directory Anda, yang harus berbasis Windows Server 2012 atau yang lebih baru.
Antara instans Direktori Aktif Anda dan instans layanan federasi Direktori Aktif bawaan, interaksi tidak hanya terbatas pada OpenID Connect, dan mereka dapat menggunakan protokol apa pun yang didukung bersama.
- Akun pengguna dibuat dan dikelola di instans Active Directory lokal Anda.
- Prinsip layanan dan pendaftaran untuk aplikasi dikelola dalam instans Direktori Aktif bawaan.