Omówienie dostawców tożsamości dla usługi Azure Stack Hub
Usługa Azure Stack Hub wymaga identyfikatora Microsoft Entra lub Active Directory Federation Services (AD FS), wspieranego przez usługę Active Directory jako dostawcę tożsamości. Wybór dostawcy to jednorazowa decyzja podjęta podczas pierwszego wdrażania usługi Azure Stack Hub. Pojęcia i szczegóły autoryzacji w tym artykule mogą ułatwić wybór między dostawcami tożsamości.
Wybór identyfikatora Microsoft Entra lub usług AD FS zależy od trybu wdrażania usługi Azure Stack Hub:
- Podczas wdrażania go w trybie połączonym można użyć identyfikatora Microsoft Entra lub usług AD FS.
- Podczas wdrażania go w trybie rozłączonym bez połączenia z Internetem obsługiwane są tylko usługi AD FS.
Aby uzyskać więcej informacji na temat opcji, które zależą od środowiska usługi Azure Stack Hub, zobacz następujące artykuły:
- Zestaw deweloperów usługi Azure Stack Hub: zagadnienia dotyczące tożsamości.
- Zintegrowane systemy usługi Azure Stack Hub: decyzje dotyczące planowania wdrożenia dla zintegrowanych systemów usługi Azure Stack Hub.
Ważne
Azure AD Graph jest przestarzały i zostanie wycofany 30 czerwca 2023 r. Aby uzyskać więcej informacji, zobacz tę sekcję.
Typowe pojęcia dotyczące dostawców tożsamości
W następnych sekcjach omówiono typowe pojęcia dotyczące dostawców tożsamości i ich użycia w usłudze Azure Stack Hub.
Dzierżawy katalogów i organizacje
Katalog to kontener, który zawiera informacje o użytkownikach, aplikacjach, grupach i jednostkach usługi.
Dzierżawa katalogu to organizacja, taka jak firma Microsoft lub twoja firma.
- Microsoft Entra ID obsługuje wiele dzierżaw i może obsługiwać wiele organizacji, z których każdy jest w swoim katalogu. Jeśli używasz identyfikatora Microsoft Entra i masz wiele dzierżaw, możesz przyznać aplikacjom i użytkownikom z jednego dzierżawy dostęp do innych dzierżaw tego samego katalogu.
- Usługi AD FS obsługują tylko jedną dzierżawę i w związku z tym tylko jedną organizację.
Użytkownicy i grupy
Konta użytkowników (tożsamości) to konta standardowe, które uwierzytelniają osoby przy użyciu identyfikatora użytkownika i hasła. Grupy mogą obejmować użytkowników lub inne grupy.
Sposób tworzenia użytkowników i grup oraz zarządzania nimi zależy od używanego rozwiązania do obsługi tożsamości.
W usłudze Azure Stack Hub konta użytkowników:
- Są tworzone w formacie username@domain . Chociaż usługi AD FS mapuje konta użytkowników na wystąpienie usługi Active Directory, usługi AD FS nie obsługują korzystania z formatu \<domain>\<alias> .
- Można skonfigurować do korzystania z uwierzytelniania wieloskładnikowego.
- Są ograniczone do katalogu, w którym najpierw się rejestrują, czyli katalogu organizacji.
- Można zaimportować z katalogów lokalnych. Aby uzyskać więcej informacji, zobacz Integrowanie katalogów lokalnych z identyfikatorem Microsoft Entra.
Po zalogowaniu się do portalu użytkowników organizacji użyjesz https://portal.local.azurestack.external adresu URL. Podczas logowania się do portalu usługi Azure Stack Hub z domen innych niż używane do rejestrowania usługi Azure Stack Hub nazwa domeny używana do rejestrowania usługi Azure Stack Hub musi zostać dołączona do adresu URL portalu. Jeśli na przykład usługa Azure Stack Hub została zarejestrowana w usłudze fabrikam.onmicrosoft.com, a logowanie konta użytkownika to admin@contoso.com, adres URL używany do logowania się do portalu użytkowników to: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.
Użytkownicy-goście
Użytkownicy-goście to konta użytkowników z innych dzierżaw katalogu, którym udzielono dostępu do zasobów w katalogu. Aby obsługiwać użytkowników-gości, należy użyć identyfikatora Microsoft Entra i włączyć obsługę wielu dzierżaw. Po włączeniu obsługi można zaprosić użytkowników-gości do uzyskiwania dostępu do zasobów w dzierżawie katalogu, co z kolei umożliwia współpracę z organizacjami zewnętrznymi.
Aby zaprosić użytkowników-gości, operatorzy chmury i użytkownicy mogą korzystać z Microsoft Entra współpracy B2B. Zaproszeni użytkownicy uzyskują dostęp do dokumentów, zasobów i aplikacji z katalogu, a ty utrzymujesz kontrolę nad własnymi zasobami i danymi.
Jako użytkownik-gość możesz zalogować się do dzierżawy katalogów innej organizacji. W tym celu należy dołączyć nazwę katalogu tej organizacji do adresu URL portalu. Jeśli na przykład należysz do organizacji firmy Contoso i chcesz zalogować się do katalogu Fabrikam, użyjesz polecenia https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.
Apps
Możesz zarejestrować aplikacje w celu Microsoft Entra identyfikatora lub usług AD FS, a następnie zaoferować aplikacje użytkownikom w organizacji.
Aplikacje obejmują:
- Aplikacje internetowe: przykłady obejmują Azure Portal i platformę Azure Resource Manager. Obsługują wywołania internetowego interfejsu API.
- Klient natywny: przykłady obejmują Azure PowerShell, program Visual Studio i interfejs wiersza polecenia platformy Azure.
Aplikacje mogą obsługiwać dwa typy dzierżawy:
Pojedyncza dzierżawa: obsługuje użytkowników i usługi tylko z tego samego katalogu, w którym aplikacja jest zarejestrowana.
Uwaga
Ponieważ usługi AD FS obsługują tylko jeden katalog, aplikacje tworzone w topologii usług AD FS są, zgodnie z projektem, aplikacje z jedną dzierżawą.
Wiele dzierżaw: obsługuje użycie przez użytkowników i usługi zarówno z katalogu, w którym aplikacja jest zarejestrowana, jak i dodatkowe katalogi dzierżawy. W przypadku aplikacji wielodostępnych użytkownicy innego katalogu dzierżawy (innej dzierżawy Microsoft Entra) mogą logować się do aplikacji.
Aby uzyskać więcej informacji na temat wielu dzierżaw, zobacz Włączanie wielodostępności.
Aby uzyskać więcej informacji na temat tworzenia aplikacji wielodostępnej, zobacz Aplikacje wielodostępne.
Podczas rejestrowania aplikacji tworzone są dwa obiekty:
Obiekt aplikacji: globalna reprezentacja aplikacji we wszystkich dzierżawach. Ta relacja jest jeden do jednego z aplikacją oprogramowania i istnieje tylko w katalogu, w którym aplikacja jest najpierw zarejestrowana.
Obiekt jednostki usługi: poświadczenie utworzone dla aplikacji w katalogu, w którym aplikacja jest najpierw zarejestrowana. Jednostka usługi jest również tworzona w katalogu każdej dodatkowej dzierżawy, w której jest używana ta aplikacja. Ta relacja może być relacją jeden do wielu z aplikacją oprogramowania.
Aby dowiedzieć się więcej o obiektach aplikacji i jednostki usługi, zobacz Obiekty aplikacji i jednostki usługi w identyfikatorze Microsoft Entra.
Jednostki usługi
Jednostka usługi to zestaw poświadczeń dla aplikacji lub usługi, która udziela dostępu do zasobów w usłudze Azure Stack Hub. Użycie jednostki usługi oddziela uprawnienia aplikacji od uprawnień użytkownika aplikacji.
Jednostka usługi jest tworzona w każdej dzierżawie, w której jest używana aplikacja. Jednostka usługi ustanawia tożsamość logowania i dostępu do zasobów (takich jak użytkownicy), które są zabezpieczone przez dzierżawę.
- Aplikacja z jedną dzierżawą ma tylko jedną jednostkę usługi, która znajduje się w katalogu, w którym została utworzona. Ta jednostka usługi jest tworzona i wyraża zgodę na jej zastosowanie podczas rejestracji aplikacji.
- Aplikacja internetowa z wieloma dzierżawami lub interfejs API ma jednostkę usługi utworzoną w każdej dzierżawie, w której użytkownik z tej dzierżawy wyraża zgodę na korzystanie z aplikacji.
Poświadczenia jednostek usługi mogą być kluczem generowanym za pośrednictwem Azure Portal lub certyfikatu. Użycie certyfikatu jest odpowiednie do automatyzacji, ponieważ certyfikaty są uważane za bezpieczniejsze niż klucze.
Uwaga
W przypadku korzystania z usług AD FS z usługą Azure Stack Hub tylko administrator może tworzyć jednostki usługi. W usługach AD FS jednostki usługi wymagają certyfikatów i są tworzone za pośrednictwem uprzywilejowanego punktu końcowego (PEP). Aby uzyskać więcej informacji, zobacz Używanie tożsamości aplikacji do uzyskiwania dostępu do zasobów.
Aby dowiedzieć się więcej o jednostkach usługi dla usługi Azure Stack Hub, zobacz Tworzenie jednostek usługi.
Usługi
Usługi w usłudze Azure Stack Hub, które wchodzą w interakcję z dostawcą tożsamości, są rejestrowane jako aplikacje u dostawcy tożsamości. Podobnie jak aplikacje, rejestracja umożliwia usłudze uwierzytelnianie za pomocą systemu tożsamości.
Wszystkie usługi platformy Azure używają protokołów OpenID Connect i tokenów sieci Web JSON w celu ustanowienia ich tożsamości. Ponieważ identyfikator Microsoft Entra i usługi AD FS konsekwentnie używają protokołów, możesz użyć biblioteki Microsoft Authentication Library (MSAL) do uzyskania tokenu zabezpieczającego do uwierzytelniania lokalnego lub do platformy Azure (w połączonym scenariuszu). Za pomocą biblioteki MSAL można również używać narzędzi, takich jak Azure PowerShell i interfejs wiersza polecenia platformy Azure do zarządzania zasobami między chmurami i zasobami lokalnymi.
Tożsamości i system tożsamości
Tożsamości usługi Azure Stack Hub obejmują konta użytkowników, grupy i jednostki usługi.
Podczas instalowania usługi Azure Stack Hub kilka wbudowanych aplikacji i usług automatycznie rejestruje się u dostawcy tożsamości w dzierżawie katalogu. Niektóre usługi, które rejestrują się, są używane do administrowania. Inne usługi są dostępne dla użytkowników. Domyślne rejestracje zapewniają tożsamości usług podstawowych, które mogą współdziałać ze sobą i tożsamościami dodanymi później.
W przypadku skonfigurowania identyfikatora Microsoft Entra z wieloma dzierżawami niektóre aplikacje są propagowane do nowych katalogów.
Uwierzytelnianie i autoryzacja
Uwierzytelnianie według aplikacji i użytkowników
W przypadku aplikacji i użytkowników architektura usługi Azure Stack Hub jest opisana przez cztery warstwy. Interakcje między poszczególnymi warstwami mogą używać różnych typów uwierzytelniania.
Warstwa | Uwierzytelnianie między warstwami |
---|---|
Narzędzia i klienci, tacy jak portal administratora | Aby uzyskać dostęp do zasobu w usłudze Azure Stack Hub lub zmodyfikować go, narzędzia i klienci używają tokenu internetowego JSON do umieszczenia wywołania do usługi Azure Resource Manager. Usługa Azure Resource Manager weryfikuje token internetowy JSON i sprawdza oświadczenia w wystawionym tokenie, aby oszacować poziom autoryzacji, który użytkownik lub jednostka usługi ma w usłudze Azure Stack Hub. |
Usługa Azure Resource Manager i jej podstawowe usługi | Usługa Azure Resource Manager komunikuje się z dostawcami zasobów w celu transferu komunikacji od użytkowników. Transfery używają bezpośrednich wywołań imperatywnych lub wywołań deklaratywnych za pośrednictwem szablonów usługi Azure Resource Manager. |
Dostawcy zasobów | Wywołania przekazywane do dostawców zasobów są zabezpieczone za pomocą uwierzytelniania opartego na certyfikatach. Usługa Azure Resource Manager i dostawca zasobów pozostają w komunikacji za pośrednictwem interfejsu API. Dla każdego wywołania odebranego z usługi Azure Resource Manager dostawca zasobów weryfikuje wywołanie za pomocą tego certyfikatu. |
Infrastruktura i logika biznesowa | Dostawcy zasobów komunikują się z logiką biznesową i infrastrukturą przy użyciu wybranego trybu uwierzytelniania. Domyślni dostawcy zasobów dostarczane z usługą Azure Stack Hub używają uwierzytelniania systemu Windows do zabezpieczenia tej komunikacji. |
Uwierzytelnianie w usłudze Azure Resource Manager
Aby uwierzytelnić się za pomocą dostawcy tożsamości i otrzymać token internetowy JSON, musisz mieć następujące informacje:
- Adres URL systemu tożsamości (Authority): adres URL, pod którym można uzyskać dostęp do dostawcy tożsamości. Na przykład https://login.windows.net.
- Identyfikator URI identyfikatora aplikacji dla usługi Azure Resource Manager: unikatowy identyfikator usługi Azure Resource Manager zarejestrowany u dostawcy tożsamości. Jest ona również unikatowa dla każdej instalacji usługi Azure Stack Hub.
- Poświadczenia: poświadczenia używane do uwierzytelniania za pomocą dostawcy tożsamości.
- Adres URL usługi Azure Resource Manager: adres URL to lokalizacja usługi Azure Resource Manager. Na przykład: https://management.azure.com lub https://management.local.azurestack.external.
Gdy podmiot zabezpieczeń (klient, aplikacje lub użytkownik) wysyła żądanie uwierzytelnienia w celu uzyskania dostępu do zasobu, żądanie musi zawierać następujące elementy:
- Poświadczenia podmiotu zabezpieczeń.
- Identyfikator URI aplikacji zasobu, do którego podmiot zabezpieczeń chce uzyskać dostęp.
Poświadczenia są weryfikowane przez dostawcę tożsamości. Dostawca tożsamości sprawdza również, czy identyfikator URI identyfikatora aplikacji jest przeznaczony dla zarejestrowanej aplikacji, oraz że podmiot zabezpieczeń ma odpowiednie uprawnienia do uzyskania tokenu dla tego zasobu. Jeśli żądanie jest prawidłowe, zostanie udzielony token internetowy JSON.
Token musi następnie przekazać nagłówek żądania do usługi Azure Resource Manager. Usługa Azure Resource Manager wykonuje następujące czynności w określonej kolejności:
- Weryfikuje oświadczenie wystawcy (iss), aby potwierdzić, że token pochodzi od odpowiedniego dostawcy tożsamości.
- Weryfikuje oświadczenie odbiorców (aud), aby potwierdzić, że token został wystawiony na platformie Azure Resource Manager.
- Sprawdza, czy token internetowy JSON jest podpisany przy użyciu certyfikatu skonfigurowanego za pomocą identyfikatora OpenID i znanego platformie Azure Resource Manager.
- Zapoznaj się z wystawionymi oświadczeniami (iat) i wygaśnięciem (exp), aby potwierdzić, że token jest aktywny i można go zaakceptować.
Po zakończeniu wszystkich walidacji usługa Azure Resource Manager używa identyfikatora obiektu (oid) i oświadczeń grup w celu utworzenia listy zasobów, do których podmiot zabezpieczeń może uzyskać dostęp.
Uwaga
Po wdrożeniu Microsoft Entra uprawnienia administratora globalnego nie są wymagane. Jednak niektóre operacje mogą wymagać poświadczeń administratora globalnego (na przykład skryptu instalatora dostawcy zasobów lub nowej funkcji wymagającej udzielenia uprawnień). Możesz tymczasowo ponownie podawać uprawnienia administratora globalnego konta lub użyć oddzielnego konta administratora globalnego, które jest właścicielem domyślnej subskrypcji dostawcy.
Korzystanie z Role-Based Access Control
Role-Based Access Control (RBAC) w usłudze Azure Stack Hub jest zgodne z implementacją na platformie Microsoft Azure. Dostęp do zasobów można zarządzać, przypisując odpowiednią rolę RBAC użytkownikom, grupom i aplikacjom. Aby uzyskać informacje na temat korzystania z kontroli dostępu opartej na rolach w usłudze Azure Stack Hub, zobacz następujące artykuły:
- Rozpocznij pracę z Role-Based Access Control w Azure Portal.
- Użyj Role-Based Access Control do zarządzania dostępem do zasobów subskrypcji platformy Azure.
- Tworzenie ról niestandardowych dla usługi Azure Role-Based Access Control.
- Zarządzanie Role-Based Access Control w usłudze Azure Stack Hub.
Uwierzytelnianie za pomocą programu Azure PowerShell
Szczegółowe informacje na temat uwierzytelniania za pomocą Azure PowerShell w usłudze Azure Stack Hub można znaleźć w artykule Configure the Azure Stack Hub user's PowerShell environment (Konfigurowanie środowiska programu PowerShell użytkownika usługi Azure Stack Hub).
Uwierzytelnianie za pomocą interfejsu wiersza polecenia platformy Azure
Aby uzyskać informacje o używaniu Azure PowerShell do uwierzytelniania w usłudze Azure Stack Hub, zobacz Instalowanie i konfigurowanie interfejsu wiersza polecenia platformy Azure do użycia z usługą Azure Stack Hub.
Azure Policy
Azure Policy pomaga wymusić standardy organizacyjne i ocenić zgodność na dużą skalę. Za pośrednictwem pulpitu nawigacyjnego zgodności udostępnia zagregowany widok do oceny ogólnego stanu środowiska z możliwością przechodzenia do szczegółów poszczególnych zasobów i szczegółowości poszczególnych zasad. Pomaga również zapewnić zgodność zasobów dzięki korygowaniu zbiorczemu istniejących zasobów i automatycznemu korygowaniu nowych zasobów.
Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Definicje zasad dla tych typowych przypadków użycia są już wbudowane w środowisko platformy Azure, aby ułatwić rozpoczęcie pracy.
Uwaga
Azure Policy nie jest obecnie obsługiwane w usłudze Azure Stack Hub.
Azure AD Graph
Platforma Microsoft Azure ogłosiła wycofanie programu Azure AD Graph 30 czerwca 2020 r. oraz jej datę wycofania z 30 czerwca 2023 r. Firma Microsoft poinformowała klientów pocztą e-mail o tej zmianie. Aby uzyskać bardziej szczegółowe informacje, zobacz blog dotyczący wycofywania programu Graph Azure AD Graph i wycofywania modułu programu PowerShell.
W poniższej sekcji opisano, jak wycofanie wpływa na usługę Azure Stack Hub.
Zespół usługi Azure Stack Hub ściśle współpracuje z zespołem usługi Azure Graph, aby upewnić się, że twoje systemy będą nadal działać poza 30 czerwca 2023 r., jeśli to konieczne, aby zapewnić bezproblemowe przejście. Najważniejszą akcją jest zapewnienie zgodności z zasadami obsługi usługi Azure Stack Hub. Klienci otrzymają alert w portalu administratora usługi Azure Stack Hub i będą musieli zaktualizować katalog macierzysty i wszystkie dołączone katalogi gościa.
Większość samej migracji zostanie przeprowadzona przez zintegrowane środowisko aktualizacji systemu; Klienci będą musieli ręcznie udzielić nowych uprawnień tym aplikacjom, co będzie wymagać uprawnień administratora globalnego w każdym katalogu Microsoft Entra używanym w środowiskach usługi Azure Stack Hub. Po zakończeniu instalowania pakietu aktualizacji wraz z tymi zmianami w portalu administracyjnym zostanie zgłoszony alert kierujący Cię do wykonania tego kroku przy użyciu interfejsu użytkownika z wieloma dzierżawami lub skryptów programu PowerShell. Jest to ta sama operacja wykonywana podczas dołączania dodatkowych katalogów lub dostawców zasobów; Aby uzyskać więcej informacji, zobacz Konfigurowanie wielu dzierżaw w usłudze Azure Stack Hub.
Jeśli używasz usług AD FS jako systemu tożsamości w usłudze Azure Stack Hub, te zmiany programu Graph nie będą mieć bezpośredniego wpływu na system. Jednak najnowsze wersje narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell itp., wymagają nowych interfejsów API programu Graph i nie będą działać. Upewnij się, że używasz tylko wersji tych narzędzi, które są jawnie obsługiwane w danej kompilacji usługi Azure Stack Hub.
Oprócz alertu w portalu administracyjnym przekażemy zmiany za pośrednictwem informacji o wersji aktualizacji i przekażemy, który pakiet aktualizacji wymaga aktualizacji katalogu macierzystego i wszystkich dołączonych katalogów gości.