Architektura tożsamości dla usługi Azure Stack Hub
Podczas wybierania dostawcy tożsamości do użycia z usługą Azure Stack Hub należy zrozumieć ważne różnice między opcjami identyfikatora Microsoft Entra i Active Directory Federation Services (AD FS).
Możliwości i ograniczenia
Wybrany dostawca tożsamości może ograniczyć opcje, w tym obsługę wielu dzierżaw.
| Możliwości lub scenariusz | Microsoft Entra ID | AD FS |
|---|---|---|
| Połączenie z Internetem | Tak | Opcjonalne |
| Obsługa wielu dzierżaw | Tak | Nie |
| Elementy oferty w witrynie Marketplace | Tak | Tak (wymaga użycia narzędzia syndykacji witryny Marketplace w trybie offline ) |
| Obsługa biblioteki uwierzytelniania usługi Active Directory (ADAL) | Tak | Tak |
| Obsługa narzędzi, takich jak interfejs wiersza polecenia platformy Azure, program Visual Studio i program PowerShell | Tak | Tak |
| Tworzenie jednostek usługi za pomocą Azure Portal | Tak | Nie |
| Tworzenie jednostek usługi przy użyciu certyfikatów | Tak | Tak |
| Tworzenie jednostek usługi przy użyciu wpisów tajnych (kluczy) | Tak | Tak |
| Aplikacje mogą korzystać z usługi Graph | Tak | Nie |
| Aplikacje mogą używać dostawcy tożsamości do logowania | Tak | Tak (wymaga federacji aplikacji z lokalnymi wystąpieniami usług AD FS) |
| Tożsamości zarządzane | Nie | Nie |
Topologie
W poniższych sekcjach omówiono różne topologie tożsamości, których można użyć.
identyfikator Microsoft Entra: topologia z jedną dzierżawą
Domyślnie podczas instalowania usługi Azure Stack Hub i używania identyfikatora Microsoft Entra usługa Azure Stack Hub używa topologii z jedną dzierżawą.
Topologia z jedną dzierżawą jest przydatna, gdy:
- Wszyscy użytkownicy są częścią tej samej dzierżawy.
- Dostawca usług hostuje wystąpienie usługi Azure Stack Hub dla organizacji.
Ta topologia ma następujące cechy:
- Usługa Azure Stack Hub rejestruje wszystkie aplikacje i usługi w tym samym katalogu dzierżawy Microsoft Entra.
- Usługa Azure Stack Hub uwierzytelnia tylko użytkowników i aplikacje z tego katalogu, w tym tokeny.
- Tożsamości dla administratorów (operatorów chmury) i użytkowników dzierżawy znajdują się w tej samej dzierżawie katalogu.
- Aby umożliwić użytkownikowi z innego katalogu dostęp do tego środowiska usługi Azure Stack Hub, musisz zaprosić użytkownika jako gościa do katalogu dzierżawy.
identyfikator Microsoft Entra: topologia z wieloma dzierżawami
Operatorzy chmury mogą skonfigurować usługę Azure Stack Hub, aby umożliwić dostęp do aplikacji według dzierżaw z co najmniej jednej organizacji. Użytkownicy uzyskują dostęp do aplikacji za pośrednictwem portalu użytkowników usługi Azure Stack Hub. W tej konfiguracji portal administratora (używany przez operatora chmury) jest ograniczony do użytkowników z jednego katalogu.
Topologia z wieloma dzierżawami jest przydatna, gdy:
- Dostawca usług chce zezwolić użytkownikom z wielu organizacji na dostęp do usługi Azure Stack Hub.
Ta topologia ma następujące cechy:
- Dostęp do zasobów powinien znajdować się w poszczególnych organizacjach.
- Użytkownicy z jednej organizacji nie mogą udzielać dostępu do zasobów użytkownikom spoza organizacji.
- Tożsamości dla administratorów (operatorów chmury) mogą znajdować się w oddzielnej dzierżawie katalogu od tożsamości użytkowników. Ta separacja zapewnia izolację konta na poziomie dostawcy tożsamości.
AD FS
Topologia usług AD FS jest wymagana, gdy jeden z następujących warunków jest spełniony:
- Usługa Azure Stack Hub nie łączy się z Internetem.
- Usługa Azure Stack Hub może nawiązać połączenie z Internetem, ale należy użyć usług AD FS dla dostawcy tożsamości.
Ta topologia ma następujące cechy:
Aby zapewnić obsługę tej topologii w środowisku produkcyjnym, należy zintegrować wbudowane wystąpienie usług AD FS usługi Azure Stack Hub z istniejącym wystąpieniem usług AD FS obsługiwanym przez usługę Active Directory za pośrednictwem relacji zaufania federacji.
Usługę Graph można zintegrować w usłudze Azure Stack Hub z istniejącym wystąpieniem usługi Active Directory. Możesz również użyć usługi interfejs Graph API opartej na protokole OData, która obsługuje interfejsy API zgodne z Azure AD interfejs Graph API.
Aby wchodzić w interakcje z wystąpieniem usługi Active Directory, interfejs Graph API wymaga poświadczeń użytkownika z uprawnieniami tylko do odczytu do wystąpienia usługi Active Directory i uzyskuje do niej dostęp:
- Wbudowane wystąpienie usług AD FS.
- Wystąpienia usług AD FS i Active Directory, które muszą być oparte na Windows Server 2012 lub nowszym.
Między wystąpieniem usługi Active Directory a wbudowanym wystąpieniem usług AD FS interakcje nie są ograniczone do programu OpenID Connect i mogą używać wzajemnie obsługiwanego protokołu.
- Konta użytkowników są tworzone i zarządzane w wystąpieniu lokalna usługa Active Directory.
- Jednostki usługi i rejestracje aplikacji są zarządzane w wbudowanym wystąpieniu usługi Active Directory.