Bagikan melalui


Arsitektur identitas untuk Azure Stack Hub

Saat memilih IdP untuk digunakan dengan Azure Stack Hub, Anda harus memahami perbedaan penting antara opsi ID Microsoft Entra dan Active Directory Federation Services (AD FS).

Kemampuan dan batasan

Penyedia identitas yang Anda pilih dapat membatasi pilihan Anda, termasuk dukungan untuk multi-penyewa.

Kemampuan atau skenario Microsoft Entra ID Layanan Federasi Direktori Aktif
Tersambung ke internet Ya Opsional
Dukungan untuk multi-penyewa Ya Tidak
Tawarkan barang-barang di Marketplace Ya Ya (mengharuskan penggunaan alat Sindikasi Marketplace offline)
Dukungan untuk Pustaka Autentikasi Direktori Aktif (ADAL) Ya Ya
Dukungan untuk alat seperti Azure CLI, Visual Studio, dan PowerShell Ya Ya
Buat perwakilan layanan melalui portal Azure Ya Tidak
Buat perwakilan layanan dengan sertifikat Ya Ya
Buat perwakilan layanan dengan rahasia (kunci) Ya Ya
Aplikasi dapat menggunakan layanan Graph Ya Tidak
Aplikasi dapat menggunakan penyedia identitas untuk masuk Ya Ya (mengharuskan aplikasi untuk bergabung dengan instans AD FS di lokal)
Identitas Terkelola Tidak Tidak

Topologi

Bagian berikut akan membahas berbagai topologi identitas yang dapat Anda gunakan.

ID Microsoft Entra: topologi penyewa tunggal

Secara default, saat Anda menginstal Azure Stack Hub dan menggunakan ID Microsoft Entra, Azure Stack Hub menggunakan topologi penyewa tunggal.

Topologi penyewa tunggal berguna ketika:

  • Semua pengguna adalah bagian dari penyewa yang sama.
  • Penyedia layanan meng-hosting instans Azure Stack Hub untuk organisasi.

Topologi penyewa tunggal Azure Stack Hub dengan ID Microsoft Entra

Topologi ini menampilkan karakteristik berikut:

  • Azure Stack Hub mendaftarkan semua aplikasi dan layanan ke direktori penyewa Microsoft Entra yang sama.
  • Azure Stack Hub hanya mengautentikasi pengguna dan aplikasi dari direktori tersebut, termasuk token.
  • Identitas untuk administrator (operator cloud) dan pengguna penyewa berada di penyewa direktori yang sama.
  • Untuk mengaktifkan pengguna dari direktori lain agar dapat mengakses lingkungan Azure Stack Hub ini, Anda harus mengundang pengguna sebagai tamu ke direktori penyewa.

ID Microsoft Entra: topologi multi-penyewa

Operator cloud dapat mengonfigurasi Azure Stack Hub untuk mengizinkan akses ke aplikasi oleh penyewa dari satu atau beberapa organisasi. Pengguna dapat mengakses aplikasi melalui portal pengguna Azure Stack Hub. Dalam konfigurasi ini, portal administrator (digunakan oleh operator cloud) terbatas pada pengguna dari satu direktori.

Topologi multi-penyewa akan berguna ketika:

  • Penyedia layanan ingin mengizinkan pengguna dari beberapa organisasi untuk mengakses Azure Stack Hub.

Topologi multi-penyewa Azure Stack Hub dengan ID Microsoft Entra

Topologi ini menampilkan karakteristik berikut:

  • Akses ke sumber daya harus berdasarkan per organisasi.
  • Pengguna dari satu organisasi harusnya tidak bisa memberikan akses ke sumber daya kepada pengguna yang berada di luar organisasi mereka.
  • Identitas untuk administrator (operator cloud) dapat berada di penyewa direktori terpisah dari identitas pengguna. Pemisahan ini memberikan isolasi akun di tingkat penyedia identitas.

Layanan Federasi Direktori Aktif

Topologi AD FS diperlukan jika salah satu dari kondisi berikut benar:

  • Azure Stack Hub tidak terhubung ke internet.
  • Azure Stack Hub dapat terhubung ke internet, tetapi Anda memilih untuk menggunakan AD FS untuk penyedia identitas Anda.

Topologi Azure Stack Hub menggunakan Layanan Federasi Direktori Aktif

Topologi ini menampilkan karakteristik berikut:

  • Untuk mendukung penggunaan topologi ini dalam produksi, Anda harus mengintegrasikan instans Azure Stack Hub AD FS bawaan dengan instans AD FS yang ada yang didukung oleh Direktori Aktif, melalui kepercayaan federasi.

  • Anda dapat mengintegrasikan layanan Graph di Azure Stack Hub dengan instans Direktori Aktif yang ada. Anda juga dapat menggunakan layanan API Graph berbasis OData yang mendukung API yang konsisten dengan API Graph Azure AD.

    Untuk berinteraksi dengan instans Active Directory Anda, API Graph memerlukan kredensial pengguna dengan izin baca-saja ke instans Active Directory Anda, dan mengakses:

    • Instans Active Directory Federation Services bawaan.
    • Instans Active Directory Federation Services dan Active Directory Anda, yang harus didasarkan pada Windows Server 2012 atau versi lebih baru.

    Antara instans Direktori Aktif dan instans AD FS bawaan, interaksi tidak terbatas pada OpenID Connect, dan mereka dapat menggunakan protokol yang didukung bersama.

    • Akun pengguna dibuat dan dikelola dalam instans Direktori Aktif lokal Anda.
    • Perwakilan layanan dan pendaftaran untuk aplikasi dikelola dalam instans Direktori Aktif bawaan.

Langkah berikutnya