Identiteitsarchitectuur voor Azure Stack Hub
Wanneer u een id-provider kiest om te gebruiken met Azure Stack Hub, moet u de belangrijke verschillen begrijpen tussen de opties van Microsoft Entra id en Active Directory Federation Services (AD FS).
Mogelijkheden en beperkingen
De id-provider die u kiest, kan uw opties beperken, waaronder ondersteuning voor multitenancy.
| Mogelijkheid of scenario | Microsoft Entra ID | AD FS |
|---|---|---|
| Verbonden met internet | Ja | Optioneel |
| Ondersteuning voor multitenancy | Ja | Nee |
| Aanbiedingsitems in de Marketplace | Yes | Ja (hiervoor is het gebruik van het offline-hulpprogramma Marketplace Syndication vereist) |
| Ondersteuning voor Active Directory Authentication Library (ADAL) | Ja | Ja |
| Ondersteuning voor hulpprogramma's zoals Azure CLI, Visual Studio en PowerShell | Ja | Ja |
| Service-principals maken via de Azure Portal | Ja | Nee |
| Service-principals maken met certificaten | Ja | Ja |
| Service-principals maken met geheimen (sleutels) | Ja | Ja |
| Toepassingen kunnen de Graph-service gebruiken | Ja | Nee |
| Toepassingen kunnen een id-provider gebruiken voor aanmelding | Yes | Ja (vereist dat apps worden gefedereerd met on-premises AD FS-exemplaren) |
| Beheerde identiteiten | No | Nee |
Topologieën
In de volgende secties worden de verschillende identiteitstopologieën besproken die u kunt gebruiken.
Microsoft Entra-id: topologie met één tenant
Wanneer u Azure Stack Hub installeert en Microsoft Entra-id gebruikt, gebruikt Azure Stack Hub standaard een topologie met één tenant.
Een topologie met één tenant is handig wanneer:
- Alle gebruikers maken deel uit van dezelfde tenant.
- Een serviceprovider host een Azure Stack Hub-exemplaar voor een organisatie.
Deze topologie heeft de volgende kenmerken:
- Azure Stack Hub registreert alle apps en services in dezelfde Microsoft Entra tenantmap.
- Azure Stack Hub verifieert alleen de gebruikers en apps uit die directory, inclusief tokens.
- Identiteiten voor beheerders (cloudoperators) en tenantgebruikers bevinden zich in dezelfde directorytenant.
- Als u een gebruiker uit een andere directory toegang wilt geven tot deze Azure Stack Hub-omgeving, moet u de gebruiker uitnodigen als gast voor de tenantmap.
Microsoft Entra-id: topologie met meerdere tenants
Cloudoperators kunnen Azure Stack Hub configureren om toegang tot apps toe te staan door tenants van een of meer organisaties. Gebruikers hebben toegang tot apps via de Azure Stack Hub-gebruikersportal. In deze configuratie is de beheerdersportal (gebruikt door de cloudoperator) beperkt tot gebruikers uit één directory.
Een topologie met meerdere tenants is handig in de volgende gevallen:
- Een serviceprovider wil gebruikers van meerdere organisaties toegang geven tot Azure Stack Hub.
Deze topologie heeft de volgende kenmerken:
- Toegang tot resources moet per organisatie zijn.
- Gebruikers van één organisatie mogen geen toegang tot resources verlenen aan gebruikers die zich buiten hun organisatie bevinden.
- Identiteiten voor beheerders (cloudoperators) kunnen zich in een afzonderlijke directorytenant bevinden van de identiteiten voor gebruikers. Deze scheiding biedt accountisolatie op het niveau van de id-provider.
AD FS
De AD FS-topologie is vereist wanneer aan een van de volgende voorwaarden wordt voldaan:
- Azure Stack Hub maakt geen verbinding met internet.
- Azure Stack Hub kan verbinding maken met internet, maar u kiest ervoor om AD FS te gebruiken voor uw id-provider.
Deze topologie heeft de volgende kenmerken:
Ter ondersteuning van het gebruik van deze topologie in productie, moet u het ingebouwde Azure Stack Hub AD FS-exemplaar integreren met een bestaand AD FS-exemplaar dat wordt ondersteund door Active Directory, via een federatieve vertrouwensrelatie.
U kunt de Graph-service in Azure Stack Hub integreren met uw bestaande Active Directory-exemplaar. U kunt ook de op OData gebaseerde Graph API-service gebruiken die ondersteuning biedt voor API's die consistent zijn met de Azure AD Graph API.
Voor interactie met uw Active Directory-exemplaar heeft de Graph API een gebruikersreferentie met alleen-lezenmachtiging nodig voor uw Active Directory-exemplaar en heeft toegang tot:
- Het ingebouwde AD FS-exemplaar.
- Uw AD FS- en Active Directory-exemplaren, die moeten zijn gebaseerd op Windows Server 2012 of hoger.
Tussen uw Active Directory-exemplaar en het ingebouwde AD FS-exemplaar zijn interacties niet beperkt tot OpenID Connect en kunnen ze elk wederzijds ondersteund protocol gebruiken.
- Gebruikersaccounts worden gemaakt en beheerd in uw on-premises Active Directory-exemplaar.
- Service-principals en registraties voor apps worden beheerd in het ingebouwde Active Directory-exemplaar.