Gambaran umum IdP untuk Azure Stack Hub
Azure Stack Hub memerlukan ID Microsoft Entra atau Active Directory Federation Services (AD FS), yang didukung oleh Direktori Aktif sebagai penyedia identitas. Pilihan penyedia adalah keputusan satu kali yang Anda buat saat pertama kali menyebarkan Azure Stack Hub. Konsep dan rincian otorisasi dalam artikel ini dapat membantu Anda memilih antara IdP.
Pilihan Anda baik ID Microsoft Entra atau LAYANAN Federasi Direktori Aktif ditentukan oleh mode di mana Anda menyebarkan Azure Stack Hub:
- Saat menyebarkannya dalam mode terhubung, Anda dapat menggunakan ID Microsoft Entra atau LAYANAN Federasi Direktori Aktif.
- Saat Anda menyebarkannya dalam mode terputus, tanpa koneksi ke internet, hanya FS AD yang didukung.
Untuk informasi selengkapnya tentang opsi Anda, yang bergantung pada lingkungan Azure Stack Hub Anda, lihat artikel berikut:
- Kit pengembangan Azure Stack Hub: Pertimbangan identitas.
- Sistem terintegrasi Azure Stack Hub: Keputusan rencana penyebaran untuk sistem terintegrasi Azure Stack Hub.
Penting
Azure AD Graph tidak digunakan lagi, dan akan dihentikan pada 30 Juni 2023. Untuk informasi selengkapnya, lihat bagian ini.
Konsep umum untuk penyedia identitas
Bagian selanjutnya membahas konsep umum tentang IdP dan penggunaannya di Azure Stack Hub.
Penyewa direktori dan organisasi
Direktori adalah kontainer yang menyimpan informasi tentang pengguna, aplikasi, grup, dan perwakilan layanan.
Penyewa direktori adalah organisasi, seperti Microsoft atau perusahaan Anda sendiri.
- Microsoft Entra ID mendukung beberapa penyewa, dan dapat mendukung beberapa organisasi, masing-masing dalam direktorinya sendiri. Jika Anda menggunakan ID Microsoft Entra dan memiliki beberapa penyewa, Anda dapat memberikan aplikasi dan pengguna dari satu akses penyewa ke penyewa lain dari direktori yang sama.
- AD FS hanya mendukung satu penyewa dan, oleh karena itu, hanya satu organisasi.
Pengguna dan grup
Akun pengguna (identitas) adalah akun standar yang mengautentikasi individu dengan menggunakan ID pengguna dan kata sandi. Grup dapat berisi pengguna atau grup lain.
Cara Anda membuat dan mengelola pengguna dan grup tergantung solusi identitas yang Anda gunakan.
Di Azure Stack Hub, akun pengguna:
- Dibuat dalam format nama pengguna@domain. Meskipun Active Directory Federation Services memetakan akun ke instans Active Directory, Active Directory Federation Services tidak mendukung penggunaan format \<>domain<alias>.
- Dapat disiapkan untuk menggunakan autentikasi multifaktor.
- Dibatasi pada direktori tempat mereka pertama kali mendaftar, yang merupakan direktori organisasi mereka.
- Dapat diimpor dari direktori lokal Anda. Untuk informasi selengkapnya, lihat Mengintegrasikan direktori lokal Anda dengan ID Microsoft Entra.
Saat masuk ke portal pengguna organisasi Anda, Anda menggunakan URL https://portal.local.azurestack.external. Saat masuk ke portal Azure Stack Hub dari domain selain yang digunakan untuk mendaftarkan Azure Stack Hub, nama domain yang digunakan untuk mendaftarkan Azure Stack Hub harus ditambahkan ke url portal. Misalnya, jika Azure Stack Hub telah terdaftar dengan fabrikam.onmicrosoft.com dan pengelogan akun pengguna adalah admin@contoso.com, URL yang akan digunakan untuk masuk ke portal pengguna adalah: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.
Pengguna tamu
Pengguna tamu adalah akun pengguna dari penyewa direktori lain yang telah diberikan akses ke sumber daya di direktori Anda. Untuk mendukung pengguna tamu, Anda menggunakan ID Microsoft Entra dan mengaktifkan dukungan untuk multi-penyewaan. Begitu dukungan diaktifkan, Anda dapat mengundang pengguna tamu untuk mengakses sumber daya di penyewa direktori Anda, yang secara bergantian memungkinkan kolaborasi mereka dengan organisasi luar.
Untuk mengundang pengguna tamu, operator cloud, dan pengguna dapat menggunakan kolaborasi B2B Microsoft Entra. Pengguna yang diundang akan mendapatkan akses ke dokumen, sumber daya, dan aplikasi dari direktori Anda, dan Anda mempertahankan kendali atas sumber daya dan data Anda sendiri.
Sebagai pengguna tamu, Anda dapat masuk ke penyewa direktori organisasi lain. Untuk melakukannya, Anda harus menambahkan nama direktori organisasi itu ke URL portal. Misalnya, jika Anda termasuk dalam organisasi Contoso dan ingin masuk ke direktori Fabrikam, Anda menggunakan https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.
Aplikasi
Anda dapat mendaftarkan aplikasi ke ID Microsoft Entra atau LAYANAN Federasi Direktori Aktif, lalu menawarkan aplikasi kepada pengguna di organisasi Anda.
Aplikasi meliputi:
- Aplikasi web: Contohnya meliputi portal Azure dan Azure Resource Manager. Aplikasi tersebut mendukung panggilan API Web.
- Klien asli: Contohnya meliputi Azure PowerShell, Visual Studio, dan Azure CLI.
Aplikasi dapat mendukung dua jenis penyewaan:
Penyewa tunggal: Mendukung pengguna dan layanan hanya dari direktori yang sama di mana aplikasi terdaftar.
Catatan
Karena AD FS hanya mendukung satu direktori, aplikasi yang Anda buat dalam topologi AD FS, berdasarkan desain, adalah aplikasi penyewa tunggal.
Multi-penyewa: Mendukung penggunaan oleh pengguna dan layanan dari kedua direktori tempat aplikasi terdaftar dan direktori penyewa tambahan. Dengan aplikasi multi-penyewa, pengguna direktori penyewa lain (penyewa Microsoft Entra lain) dapat masuk ke aplikasi Anda.
Untuk informasi selengkapnya tentang multi-tenancy, lihat Aktifkan multi-penyewaan.
Untuk informasi selengkapnya tentang mengembangkan aplikasi multi-penyewa, lihat Aplikasi Multi-penyewa.
Saat mendaftarkan aplikasi, Anda akan membuat dua objek:
Objek aplikasi: Representasi global aplikasi di semua penyewa. Hubungan ini adalah bersifat satu-ke-satu dengan aplikasi perangkat lunak dan hanya ada di direktori di mana aplikasi pertama kali terdaftar.
Objek perwakilan layanan: Kredensial yang dibuat untuk aplikasi di direktori tempat aplikasi pertama kali terdaftar. Perwakilan layanan juga dibuat di direktori setiap penyewa tambahan tempat aplikasi itu digunakan. Hubungan ini bisa bersifat satu-ke-banyak dengan aplikasi perangkat lunak.
Untuk mempelajari selengkapnya tentang objek perwakilan aplikasi dan layanan, lihat Objek aplikasi dan perwakilan layanan dalam ID Microsoft Entra.
Perwakilan layanan
Perwakilan layanan adalah serangkaian kredensial untuk aplikasi atau layanan yang memberikan akses ke sumber daya di Azure Stack Hub. Penggunaan perwakilan layanan memisahkan izin aplikasi dari izin pengguna aplikasi.
Perwakilan layanan dibuat di setiap penyewa tempat aplikasi digunakan. Perwakilan layanan menetapkan identitas untuk masuk dan akses ke sumber daya (seperti pengguna) yang dijamin oleh penyewa tersebut.
- Aplikasi penyewa tunggal hanya memiliki satu perwakilan layanan, yang ada di direktori tempat pertama kali dibuat. Perwakilan layanan ini dibuat dan disetujui untuk digunakan selama pendaftaran aplikasi.
- Aplikasi web multi-penyewa atau API memiliki perwakilan layanan yang dibuat di setiap penyewa di mana pengguna dari penyewa tersebut menyetujui penggunaan aplikasi.
Kredensial untuk perwakilan layanan dapat berupa kunci yang dibuat melalui portal Azure atau sertifikat. Penggunaan sertifikat cocok untuk otomatisasi karena sertifikat dianggap lebih aman dari kunci.
Catatan
Jika Anda menggunakan AD FS dengan Azure Stack Hub, hanya administrator yang dapat membuat perwakilan layanan. Dengan AD FS, perwakilan layanan memerlukan sertifikat dan dibuat melalui endpoint dengan hak istimewa (PEP). Untuk informasi selengkapnya, lihat Gunakan identitas aplikasi untuk mengakses sumber daya.
Untuk mempelajari tentang perwakilan layanan untuk Azure Stack Hub, lihat Membuat perwakilan layanan.
Layanan
Layanan di Azure Stack Hub yang berinteraksi dengan penyedia identitas terdaftar sebagai aplikasi dengan penyedia identitas. Seperti aplikasi, pendaftaran memungkinkan layanan mengautentikasi dengan sistem identitas.
Semua layanan Azure menggunakan protokol OpenID Connect dan JSON Web Token untuk menetapkan identitas mereka. Karena ID Microsoft Entra dan LAYANAN Federasi Direktori Aktif menggunakan protokol secara konsisten, Anda dapat menggunakan Microsoft Authentication Library (MSAL) untuk mendapatkan token keamanan untuk mengautentikasi lokal atau ke Azure (dalam skenario yang terhubung). Dengan MSAL, Anda juga dapat menggunakan alat seperti Azure PowerShell dan Azure CLI untuk manajemen sumber daya lintas cloud dan lokal.
Identitas dan sistem identitas Anda
Identitas untuk Azure Stack Hub meliputi akun pengguna, grup, dan perwakilan layanan.
Saat Anda menginstal Azure Stack Hub, beberapa aplikasi dan layanan bawaan secara otomatis didaftarkan ke penyedia identitas Anda di penyewa direktori. Beberapa layanan yang mendaftar digunakan untuk administrasi. Layanan lain akan tersedia untuk pengguna. Pendaftaran default akan memberikan identitas layanan inti yang dapat berinteraksi satu sama lain dan dengan identitas yang Anda tambahkan nantinya.
Jika Anda menyiapkan ID Microsoft Entra dengan multi-penyewaan, beberapa aplikasi menyebar ke direktori baru.
Autentikasi dan Otorisasi
Autentikasi oleh aplikasi dan pengguna
Untuk aplikasi dan pengguna, arsitektur Azure Stack Hub dijelaskan oleh empat lapisan. Interaksi antara masing-masing lapisan ini dapat menggunakan berbagai jenis autentikasi.
Lapisan | Autentikasi antar lapisan |
---|---|
Alat dan klien, seperti portal administrator | Untuk mengakses atau memodifikasi sumber daya di Azure Stack Hub, alat dan klien menggunakan JSON Web Token untuk melakukan panggilan ke Azure Resource Manager. Azure Resource Manager memvalidasi JSON Web Token dan mengintip klaim dalam token yang bermasalah untuk memperkirakan tingkat otorisasi yang dimiliki pengguna atau perwakilan layanan di Azure Stack Hub. |
Azure Resource Manager dan layanan intinya | Azure Resource Manager berkomunikasi dengan penyedia sumber daya untuk mentransfer komunikasi dari pengguna. Transfer menggunakan panggilan imperatif langsung atau panggilan deklaratif melalui pola dasar Azure Resource Manager. |
Penyedia sumber | Panggilan yang diteruskan ke penyedia sumber daya akan diamankan dengan autentikasi berbasis sertifikat. Azure Resource Manager dan penyedia sumber daya kemudian tetap berkomunikasi melalui API. Untuk setiap panggilan yang diterima dari Azure Resource Manager, penyedia sumber daya memvalidasi panggilan dengan sertifikat tersebut. |
Infrastruktur dan logika bisnis | Penyedia sumber daya berkomunikasi dengan infrastruktur dan logika bisnis dengan menggunakan mode autentikasi pilihan mereka. Penyedia sumber daya default yang dikirimkan dengan Azure Stack Hub menggunakan Autentikasi Windows untuk mengamankan komunikasi ini. |
Mengautentikasi ke Azure Resource Manager
Untuk mengautentikasi dengan penyedia identitas dan menerima Web JSON Token, Anda harus memiliki informasi berikut:
- URL untuk sistem identitas (Otoritas): URL yang dapat dijangkau oleh penyedia identitas Anda. Contohnya:https://login.windows.net
- App ID URI for Azure Resource Manager: Pengidentifikasi unik untuk Azure Resource Manager yang terdaftar di penyedia identitas Anda. Ini juga bersifat unik untuk setiap penginstalan Azure Stack Hub.
- Kredensial: Kredensial yang Anda gunakan untuk mengautentikasi dengan penyedia identitas.
- URL untuk Azure Resource Manager: URL adalah lokasi layanan Azure Resource Manager. Misalnya, https://management.azure.com atau https://management.local.azurestack.external.
Ketika perwakilan (klien, aplikasi, atau pengguna) membuat permintaan autentikasi untuk mengakses sumber daya, permintaan harus meliputi:
- Kredensial perwakilan.
- URI ID aplikasi sumber daya yang ingin diakses oleh perwakilan.
Kredensial divalidasi oleh penyedia identitas. Penyedia identitas juga memvalidasi bahwa URI ID aplikasi hanya untuk aplikasi terdaftar, dan bahwa perwakilan memiliki hak istimewa yang benar untuk mendapatkan token untuk sumber daya itu. Jika permintaan tersebut valid, Web JSON Token akan diberikan.
Token kemudian harus diteruskan di header permintaan ke Azure Resource Manager. Azure Resource Manager akan melakukan hal berikut, tanpa urutan tertentu:
- Memvalidasi klaim penerbit (iss) untuk mengonfirmasi bahwa token berasal dari penyedia identitas yang benar.
- Memvalidasi klaim audiens (aud) untuk mengonfirmasi bahwa token dikeluarkan untuk Azure Resource Manager.
- Memvalidasi bahwa Web JSON Token ditandatangani dengan sertifikat yang dikonfigurasi melalui OpenID dan diketahui oleh Azure Resource Manager.
- Tinjau klaim yang dikeluarkan pada (iat) dan kedaluwarsa (exp) untuk mengonfirmasi bahwa token aktif dan dapat diterima.
Ketika semua validasi selesai, Azure Resource Manager akan menggunakan klaim id objek (oid) dan grup untuk membuat daftar sumber daya yang dapat diakses oleh perwakilan.
Catatan
Setelah penyebaran, izin Administrator Global Microsoft Entra tidak diperlukan. Namun, beberapa operasi mungkin memerlukan info masuk admin global (misalnya, skrip penginstal penyedia sumber daya atau fitur baru yang memerlukan izin untuk diberikan). Anda dapat mengembalikan izin admin global akun untuk sementara waktu atau menggunakan akun admin global terpisah yang merupakan pemilik langganan penyedia default.
Gunakan Microsoft Azure Access Control Berbasis Peran
Role-Based Access Control (RBAC) di Azure Stack Hub konsisten dengan implementasi di Microsoft Azure. Anda dapat mengelola akses ke sumber daya dengan menetapkan peran RBAC yang sesuai untuk pengguna, grup, dan aplikasi. Untuk informasi tentang cara menggunakan RBAC dengan Azure Stack Hub, lihat artikel berikut:
- Mulai menggunakan Kontrol Akses Berbasis Peran di portal Azure.
- Gunakan Microsof Azure Access Control Berbasis Peran untuk mengelola akses ke sumber daya langganan Azure Anda.
- Buat peran kustom untuk Kontrol Akses Berbasis Peran Azure.
- Manage Kontrol Akses Berbasis Peran in Azure Stack Hub.
Mengautentikasi dengan Azure PowerShell
Detail tentang menggunakan Azure PowerShell untuk mengautentikasi dengan Azure Stack Hub dapat ditemukan di Mengonfigurasi lingkungan PowerShell pengguna Azure Stack Hub.
Mengautentikasi dengan Azure CLI
Untuk informasi tentang menggunakan Azure PowerShell untuk mengautentikasi dengan Azure Stack Hub, lihat Memasang dan mengonfigurasi Azure CLI untuk digunakan dengan Azure Stack Hub.
Kebijakan Azure
Azure Policy membantu memberlakukan standar organisasi dan menilai kepatuhan dalam skala besar. Melalui dasbor kepatuhannya, ia memberikan tampilan agregat untuk mengevaluasi keadaan keseluruhan lingkungan, dengan kemampuan untuk telusuri paling detail per sumber daya, per-kebijakan granularitas. Ini juga membantu untuk membawa sumber daya Anda ke kepatuhan melalui remediasi massal untuk sumber daya yang sudah ada dan remediasi otomatis untuk sumber daya baru.
Penggunaan umum Azure Policy meliputi menerapkan tata kelola untuk konsistensi sumber daya, kepatuhan terhadap peraturan, keamanan, biaya, dan manajemen. Definisi kebijakan untuk kasus penggunaan umum ini sudah dibangun ke lingkungan Azure Anda untuk membantu Anda memulai.
Catatan
Azure Policy saat ini tidak didukung di Azure Stack Hub.
Azure AD Graph
Microsoft Azure telah mengumumkan penghentian Azure AD Graph pada 30 Juni 2020, dan tanggal penghentiannya pada 30 Juni 2023. Microsoft telah memberi tahu pelanggan melalui email tentang perubahan ini. Untuk informasi selengkapnya, lihat blog penghentian Azure AD Graph dan Penghentian Modul Powershell.
Bagian berikut menjelaskan bagaimana penghentian ini memengaruhi Azure Stack Hub.
Tim Azure Stack Hub bekerja sama dengan tim Azure Graph untuk memastikan sistem Anda terus bekerja melebihi 30 Juni 2023 jika perlu, untuk memastikan transisi yang lancar. Tindakan yang paling penting adalah memastikan Anda mematuhi kebijakan servis Azure Stack Hub. Pelanggan akan menerima pemberitahuan di portal administrator Azure Stack Hub dan akan diminta untuk memperbarui direktori rumah dan semua direktori tamu onboard.
Sebagian besar migrasi itu sendiri akan dilakukan oleh pengalaman pembaruan sistem terintegrasi; akan ada langkah manual yang diperlukan oleh pelanggan untuk memberikan izin baru ke aplikasi tersebut, yang akan memerlukan izin administrator global di setiap direktori Microsoft Entra yang digunakan dengan lingkungan Azure Stack Hub Anda. Setelah paket pembaruan dengan perubahan ini selesai diinstal, pemberitahuan dimunculkan di portal admin yang mengarahkan Anda untuk menyelesaikan langkah ini menggunakan UI multi-penyewa atau skrip PowerShell. Ini adalah operasi yang sama dengan yang Anda lakukan saat onboarding direktori atau penyedia sumber daya tambahan; untuk informasi selengkapnya, lihat Mengonfigurasi multi-penyewaan di Azure Stack Hub.
Jika Anda menggunakan Active Directory Federation Services sebagai sistem identitas Anda dengan Azure Stack Hub, perubahan Graph ini tidak akan memengaruhi sistem Anda secara langsung. Namun, versi terbaru alat seperti Azure CLI, Azure PowerShell, dll., memerlukan Graph API baru, dan tidak akan berfungsi. Pastikan Anda hanya menggunakan versi alat ini yang didukung secara eksplisit dengan membangun Azure Stack Hub yang Anda berikan.
Selain untuk peringatan di portal admin, kami akan mengkomunikasikan perubahan melalui catatan rilis pembaruan dan akan mengkomunikasikan paket pembaruan mana yang memerlukan pembaruan direktori rumah dan semua direktori tamu onboard.