Azure Stack Hub で使用する ID プロバイダーを選択する場合は、Microsoft Entra ID と Active Directory フェデレーション サービス (AD FS) のオプションの重要な違いを理解する必要があります。
機能と制限
選択する ID プロバイダーによっては、マルチテナントのサポートなどのオプションが制限されることがあります。
| 機能またはシナリオ | マイクロソフト エントラ ID | AD FS |
|---|---|---|
| インターネットに接続されている | イエス | オプション |
| マルチテナントのサポート | イエス | いいえ |
| Marketplace でアイテムを提供する | イエス | はい ( オフラインの Marketplace 配信 ツールを使用する必要があります) |
| Active Directory Authentication Library (ADAL) のサポート | イエス | イエス |
| Azure CLI、Visual Studio、PowerShell などのツールのサポート | イエス | イエス |
| Azure portal を使用してサービス プリンシパルを作成する | イエス | いいえ |
| 証明書を使用してサービス プリンシパルを作成する | イエス | イエス |
| シークレット (キー) を使用してサービス プリンシパルを作成する | イエス | イエス |
| アプリケーションで Graph サービスを使用できる | イエス | いいえ |
| アプリケーションはサインインに ID プロバイダーを使用できます | イエス | はい (アプリがオンプレミスの AD FS インスタンスとフェデレーションする必要があります) |
| 管理されたアイデンティティー | いいえ | いいえ |
トポロジ
以降のセクションでは、使用できる各種 ID トポロジについて説明します。
Microsoft Entra ID: シングルテナント トポロジ
既定では、Azure Stack Hub をインストールして Microsoft Entra ID を使用すると、Azure Stack Hub でシングルテナント トポロジが使用されます。
シングルテナント トポロジは、次のような場合に便利です。
- すべてのユーザーが、同じテナントに属している。
- サービス プロバイダーが、組織の Azure Stack Hub インスタンスをホストする。
このトポロジには次の特徴があります。
- Azure Stack Hub では、すべてのアプリとサービスが同一の Microsoft Entra テナント ディレクトリに登録されます。
- Azure Stack Hub では、トークンを含む、そのディレクトリのユーザーとアプリのみが認証されます。
- 管理者 (クラウド オペレーター) とテナント ユーザーの ID が、同じディレクトリ テナントにあります。
- 別のディレクトリのユーザーがこの Azure Stack Hub 環境にアクセスできるようにするには、 ユーザーをゲストとして テナント ディレクトリに招待する必要があります。
Microsoft Entra ID: マルチテナント トポロジ
クラウド オペレーターは、1 つまたは複数の組織のテナントからアプリにアクセスすることを許可するように、Azure Stack Hub を構成できます。 ユーザーは、Azure Stack Hub ユーザー ポータルからアプリにアクセスします。 この構成では、管理者ポータル (クラウド オペレーターによって使用されます) は、単一のディレクトリのユーザーに限定されます。
マルチテナント トポロジは、次のような場合に便利です。
- サービス プロバイダーが、複数の組織のユーザーに Azure Stack Hub へのアクセスを許可しようとしている。
このトポロジには次の特徴があります。
- リソースへのアクセスは、組織単位で行う必要があります。
- 1 つの組織のユーザーが組織外のユーザーにリソースへのアクセスを許可できないようにする必要があります。
- 管理者 (クラウド オペレーター) の ID は、ユーザーの ID とは別のディレクトリ テナントに置くことができます。 このように分けることで、ID プロバイダー レベルでのアカウント分離が実現します。
AD FS
AD FS トポロジは、次のいずれかの条件に該当する場合に必要です。
- Azure Stack Hub がインターネットに接続されない。
- Azure Stack Hub はインターネットに接続できるが、ID プロバイダーのために AD FS を使用することを選択する。
このトポロジには次の特徴があります。
運用環境でのこのトポロジの使用をサポートするには、フェデレーションの信頼を介して、組み込みの Azure Stack Hub AD FS インスタンスを、Active Directory で支援されている既存の AD FS インスタンスに統合する必要があります。
Azure Stack Hub の Graph サービスを、既存の Active Directory インスタンスと統合することができます。 また、Azure AD Graph API との一貫性がある API をサポートしている OData ベースの Graph API サービスを使用することもできます。
Active Directory インスタンスと対話するためには、Graph API は、Active Directory インスタンスへの読み取り専用のアクセス権限を持つユーザー資格情報を必要とし、以下にアクセスします。
- 組み込みの AD FS インスタンス。
- AD FS と Active Directory インスタンス。Windows Server 2012 以降に基づいている必要があります。
使用する Active Directory インスタンスと組み込み AD FS インスタンスの間で、対話は OpenID Connect に限定されず、相互にサポートされている任意のプロトコルを使用できます。
- ユーザー アカウントは、オンプレミスの Active Directory インスタンスで作成され、管理されます。
- アプリのサービス プリンシパルと登録は、組み込みの Active Directory インスタンス内で管理されます。