Architettura dell'identità per l'hub di Azure Stack

Quando si sceglie un provider di identità da usare con l'hub di Azure Stack, è necessario comprendere le differenze importanti tra le opzioni di Microsoft Entra ID e Active Directory Federation Services (AD FS).

Funzionalità e limitazioni

Il provider di identità scelto può limitare le opzioni, incluso il supporto per la multi-tenancy.

Funzionalità o scenario Microsoft Entra ID AD FS
Connesso a Internet Facoltativo
Supporto per la multi-tenancy No
Articoli dell'offerta nel Marketplace Sì (richiede l'uso dello strumento di diffusione del Marketplace offline )
Supporto per ADAL (Active Directory Authentication Library)
Supporto per strumenti come l'interfaccia della riga di comando di Azure, Visual Studio e PowerShell
Creare entità servizio tramite l'portale di Azure No
Creare entità servizio con certificati
Creare entità servizio con segreti (chiavi)
Le applicazioni possono usare il servizio Graph No
Le applicazioni possono usare il provider di identità per l'accesso Sì (richiede che le app siano federate con istanze locali di AD FS)
Identità gestite No No

Topologie

Le sezioni seguenti illustrano le diverse topologie di identità che è possibile usare.

Microsoft Entra ID: topologia a tenant singolo

Per impostazione predefinita, quando si installa l'hub di Azure Stack e si usa Microsoft Entra ID, l'hub di Azure Stack usa una topologia a tenant singolo.

Una topologia a tenant singolo è utile quando:

  • Tutti gli utenti fanno parte dello stesso tenant.
  • Un provider di servizi ospita un'istanza dell'hub di Azure Stack per un'organizzazione.

Topologia a tenant singolo dell'hub di Azure Stack con ID Microsoft Entra

Questa topologia presenta le caratteristiche seguenti:

  • L'hub di Azure Stack registra tutte le app e i servizi nella stessa directory del tenant Microsoft Entra.
  • L'hub di Azure Stack autentica solo gli utenti e le app di tale directory, inclusi i token.
  • Le identità per gli amministratori (operatori cloud) e gli utenti del tenant si trovano nello stesso tenant della directory.
  • Per abilitare un utente da un'altra directory per accedere a questo ambiente dell'hub di Azure Stack, è necessario invitare l'utente come guest alla directory tenant.

MICROSOFT ENTRA ID: topologia multi-tenant

Gli operatori cloud possono configurare l'hub di Azure Stack per consentire l'accesso alle app da una o più organizzazioni. Gli utenti accedono alle app tramite il portale utenti dell'hub di Azure Stack. In questa configurazione il portale di amministratori (usato dall'operatore cloud) è limitato agli utenti di una singola directory.

Una topologia multi-tenant è utile quando:

  • Un provider di servizi vuole consentire agli utenti di più organizzazioni di accedere all'hub di Azure Stack.

Topologia multi-tenant dell'hub di Azure Stack con ID Microsoft Entra

Questa topologia presenta le caratteristiche seguenti:

  • L'accesso alle risorse deve essere basato sulle singole organizzazioni.
  • Gli utenti di un'organizzazione non devono concedere l'accesso alle risorse a utenti esterni all'organizzazione.
  • Le identità per gli amministratori (operatori cloud) possono trovarsi in un tenant di directory diverso rispetto alle identità per gli utenti. Questa separazione consente l'isolamento degli account a livello di provider di identità.

AD FS

La topologia basata su AD FS è obbligatoria in presenza di una delle condizioni seguenti:

  • L'hub di Azure Stack non si connette a Internet.
  • L'hub di Azure Stack può connettersi a Internet, ma si sceglie di usare AD FS per il provider di identità.

Topologia dell'hub di Azure Stack con AD FS

Questa topologia presenta le caratteristiche seguenti:

  • Per supportare l'uso di questa topologia nell'ambiente di produzione, è necessario integrare l'istanza predefinita di AD FS per l'hub di Azure Stack con un'istanza di AD FS esistente supportata da Active Directory, tramite un trust federativo.

  • È possibile integrare il servizio Graph nell'hub di Azure Stack con l'istanza di Active Directory esistente. È anche possibile usare il servizio API Graph basato su OData che supporta le API coerenti con l'API Graph di Azure AD.

    Per interagire con l'istanza di Active Directory, l'API Graph richiede una credenziale utente con autorizzazione di sola lettura per l'istanza di Active Directory e gli accessi:

    • Istanza predefinita di AD FS.
    • Le istanze di AD FS e Active Directory, che devono essere basate su Windows Server 2012 o versioni successive.

    Tra l'istanza di Active Directory e l'istanza predefinita di AD FS, le interazioni non sono limitate a OpenID Connect e possono usare qualsiasi protocollo supportato reciprocamente.

    • Gli account utente vengono creati e gestiti nell'istanza locale di Active Directory.
    • Le entità servizio e le registrazioni per le app vengono gestite nell'istanza predefinita di Active Directory.

Passaggi successivi