Architettura dell'identità per l'hub di Azure Stack
Quando si sceglie un provider di identità da usare con l'hub di Azure Stack, è necessario comprendere le differenze importanti tra le opzioni di Microsoft Entra ID e Active Directory Federation Services (AD FS).
Funzionalità e limitazioni
Il provider di identità scelto può limitare le opzioni, incluso il supporto per la multi-tenancy.
| Funzionalità o scenario | Microsoft Entra ID | AD FS |
|---|---|---|
| Connesso a Internet | sì | Facoltativo |
| Supporto per la multi-tenancy | Sì | No |
| Articoli dell'offerta nel Marketplace | Sì | Sì (richiede l'uso dello strumento di diffusione del Marketplace offline ) |
| Supporto per ADAL (Active Directory Authentication Library) | Sì | Sì |
| Supporto per strumenti come l'interfaccia della riga di comando di Azure, Visual Studio e PowerShell | Sì | Sì |
| Creare entità servizio tramite l'portale di Azure | Sì | No |
| Creare entità servizio con certificati | Sì | Sì |
| Creare entità servizio con segreti (chiavi) | Sì | Sì |
| Le applicazioni possono usare il servizio Graph | Sì | No |
| Le applicazioni possono usare il provider di identità per l'accesso | Sì | Sì (richiede che le app siano federate con istanze locali di AD FS) |
| Identità gestite | No | No |
Topologie
Le sezioni seguenti illustrano le diverse topologie di identità che è possibile usare.
Microsoft Entra ID: topologia a tenant singolo
Per impostazione predefinita, quando si installa l'hub di Azure Stack e si usa Microsoft Entra ID, l'hub di Azure Stack usa una topologia a tenant singolo.
Una topologia a tenant singolo è utile quando:
- Tutti gli utenti fanno parte dello stesso tenant.
- Un provider di servizi ospita un'istanza dell'hub di Azure Stack per un'organizzazione.
Questa topologia presenta le caratteristiche seguenti:
- L'hub di Azure Stack registra tutte le app e i servizi nella stessa directory del tenant Microsoft Entra.
- L'hub di Azure Stack autentica solo gli utenti e le app di tale directory, inclusi i token.
- Le identità per gli amministratori (operatori cloud) e gli utenti del tenant si trovano nello stesso tenant della directory.
- Per abilitare un utente da un'altra directory per accedere a questo ambiente dell'hub di Azure Stack, è necessario invitare l'utente come guest alla directory tenant.
MICROSOFT ENTRA ID: topologia multi-tenant
Gli operatori cloud possono configurare l'hub di Azure Stack per consentire l'accesso alle app da una o più organizzazioni. Gli utenti accedono alle app tramite il portale utenti dell'hub di Azure Stack. In questa configurazione il portale di amministratori (usato dall'operatore cloud) è limitato agli utenti di una singola directory.
Una topologia multi-tenant è utile quando:
- Un provider di servizi vuole consentire agli utenti di più organizzazioni di accedere all'hub di Azure Stack.
Questa topologia presenta le caratteristiche seguenti:
- L'accesso alle risorse deve essere basato sulle singole organizzazioni.
- Gli utenti di un'organizzazione non devono concedere l'accesso alle risorse a utenti esterni all'organizzazione.
- Le identità per gli amministratori (operatori cloud) possono trovarsi in un tenant di directory diverso rispetto alle identità per gli utenti. Questa separazione consente l'isolamento degli account a livello di provider di identità.
AD FS
La topologia basata su AD FS è obbligatoria in presenza di una delle condizioni seguenti:
- L'hub di Azure Stack non si connette a Internet.
- L'hub di Azure Stack può connettersi a Internet, ma si sceglie di usare AD FS per il provider di identità.
Questa topologia presenta le caratteristiche seguenti:
Per supportare l'uso di questa topologia nell'ambiente di produzione, è necessario integrare l'istanza predefinita di AD FS per l'hub di Azure Stack con un'istanza di AD FS esistente supportata da Active Directory, tramite un trust federativo.
È possibile integrare il servizio Graph nell'hub di Azure Stack con l'istanza di Active Directory esistente. È anche possibile usare il servizio API Graph basato su OData che supporta le API coerenti con l'API Graph di Azure AD.
Per interagire con l'istanza di Active Directory, l'API Graph richiede una credenziale utente con autorizzazione di sola lettura per l'istanza di Active Directory e gli accessi:
- Istanza predefinita di AD FS.
- Le istanze di AD FS e Active Directory, che devono essere basate su Windows Server 2012 o versioni successive.
Tra l'istanza di Active Directory e l'istanza predefinita di AD FS, le interazioni non sono limitate a OpenID Connect e possono usare qualsiasi protocollo supportato reciprocamente.
- Gli account utente vengono creati e gestiti nell'istanza locale di Active Directory.
- Le entità servizio e le registrazioni per le app vengono gestite nell'istanza predefinita di Active Directory.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per