Udostępnij za pośrednictwem


Architektura tożsamości dla usługi Azure Stack Hub

Podczas wybierania dostawcy tożsamości do użycia z usługą Azure Stack Hub należy zrozumieć ważne różnice między opcjami identyfikatora Microsoft Entra i Active Directory Federation Services (AD FS).

Możliwości i ograniczenia

Wybrany dostawca tożsamości może ograniczyć opcje, w tym obsługę wielu dzierżaw.

Możliwości lub scenariusz Microsoft Entra ID AD FS
Połączenie z Internetem Tak Opcjonalne
Obsługa wielu dzierżaw Tak Nie
Elementy oferty w witrynie Marketplace Tak Tak (wymaga użycia narzędzia syndykacji witryny Marketplace w trybie offline )
Obsługa biblioteki uwierzytelniania usługi Active Directory (ADAL) Tak Tak
Obsługa narzędzi, takich jak interfejs wiersza polecenia platformy Azure, program Visual Studio i program PowerShell Tak Tak
Tworzenie jednostek usługi za pomocą Azure Portal Tak Nie
Tworzenie jednostek usługi przy użyciu certyfikatów Tak Tak
Tworzenie jednostek usługi przy użyciu wpisów tajnych (kluczy) Tak Tak
Aplikacje mogą korzystać z usługi Graph Tak Nie
Aplikacje mogą używać dostawcy tożsamości do logowania Tak Tak (wymaga federacji aplikacji z lokalnymi wystąpieniami usług AD FS)
Tożsamości zarządzane Nie Nie

Topologie

W poniższych sekcjach omówiono różne topologie tożsamości, których można użyć.

identyfikator Microsoft Entra: topologia z jedną dzierżawą

Domyślnie podczas instalowania usługi Azure Stack Hub i używania identyfikatora Microsoft Entra usługa Azure Stack Hub używa topologii z jedną dzierżawą.

Topologia z jedną dzierżawą jest przydatna, gdy:

  • Wszyscy użytkownicy są częścią tej samej dzierżawy.
  • Dostawca usług hostuje wystąpienie usługi Azure Stack Hub dla organizacji.

Topologia pojedynczej dzierżawy usługi Azure Stack Hub z identyfikatorem Microsoft Entra

Ta topologia ma następujące cechy:

  • Usługa Azure Stack Hub rejestruje wszystkie aplikacje i usługi w tym samym katalogu dzierżawy Microsoft Entra.
  • Usługa Azure Stack Hub uwierzytelnia tylko użytkowników i aplikacje z tego katalogu, w tym tokeny.
  • Tożsamości dla administratorów (operatorów chmury) i użytkowników dzierżawy znajdują się w tej samej dzierżawie katalogu.
  • Aby umożliwić użytkownikowi z innego katalogu dostęp do tego środowiska usługi Azure Stack Hub, musisz zaprosić użytkownika jako gościa do katalogu dzierżawy.

identyfikator Microsoft Entra: topologia z wieloma dzierżawami

Operatorzy chmury mogą skonfigurować usługę Azure Stack Hub, aby umożliwić dostęp do aplikacji według dzierżaw z co najmniej jednej organizacji. Użytkownicy uzyskują dostęp do aplikacji za pośrednictwem portalu użytkowników usługi Azure Stack Hub. W tej konfiguracji portal administratora (używany przez operatora chmury) jest ograniczony do użytkowników z jednego katalogu.

Topologia z wieloma dzierżawami jest przydatna, gdy:

  • Dostawca usług chce zezwolić użytkownikom z wielu organizacji na dostęp do usługi Azure Stack Hub.

Topologia wielu dzierżaw usługi Azure Stack Hub z identyfikatorem Microsoft Entra

Ta topologia ma następujące cechy:

  • Dostęp do zasobów powinien znajdować się w poszczególnych organizacjach.
  • Użytkownicy z jednej organizacji nie mogą udzielać dostępu do zasobów użytkownikom spoza organizacji.
  • Tożsamości dla administratorów (operatorów chmury) mogą znajdować się w oddzielnej dzierżawie katalogu od tożsamości użytkowników. Ta separacja zapewnia izolację konta na poziomie dostawcy tożsamości.

AD FS

Topologia usług AD FS jest wymagana, gdy jeden z następujących warunków jest spełniony:

  • Usługa Azure Stack Hub nie łączy się z Internetem.
  • Usługa Azure Stack Hub może nawiązać połączenie z Internetem, ale należy użyć usług AD FS dla dostawcy tożsamości.

Topologia usługi Azure Stack Hub przy użyciu usług AD FS

Ta topologia ma następujące cechy:

  • Aby zapewnić obsługę tej topologii w środowisku produkcyjnym, należy zintegrować wbudowane wystąpienie usług AD FS usługi Azure Stack Hub z istniejącym wystąpieniem usług AD FS obsługiwanym przez usługę Active Directory za pośrednictwem relacji zaufania federacji.

  • Usługę Graph można zintegrować w usłudze Azure Stack Hub z istniejącym wystąpieniem usługi Active Directory. Możesz również użyć usługi interfejs Graph API opartej na protokole OData, która obsługuje interfejsy API zgodne z Azure AD interfejs Graph API.

    Aby wchodzić w interakcje z wystąpieniem usługi Active Directory, interfejs Graph API wymaga poświadczeń użytkownika z uprawnieniami tylko do odczytu do wystąpienia usługi Active Directory i uzyskuje do niej dostęp:

    • Wbudowane wystąpienie usług AD FS.
    • Wystąpienia usług AD FS i Active Directory, które muszą być oparte na Windows Server 2012 lub nowszym.

    Między wystąpieniem usługi Active Directory a wbudowanym wystąpieniem usług AD FS interakcje nie są ograniczone do programu OpenID Connect i mogą używać wzajemnie obsługiwanego protokołu.

    • Konta użytkowników są tworzone i zarządzane w wystąpieniu lokalna usługa Active Directory.
    • Jednostki usługi i rejestracje aplikacji są zarządzane w wbudowanym wystąpieniu usługi Active Directory.

Następne kroki