Arquitetura de identidade do Azure Stack Hub
Ao escolher um provedor de identidade para usar com o Azure Stack Hub, você deve entender as diferenças importantes entre as opções de ID de Microsoft Entra e Serviços de Federação do Active Directory (AD FS) (AD FS).
Funcionalidades e limitações
O provedor de identidade que você escolher pode limitar suas opções, incluindo suporte para multilocação.
Funcionalidade ou cenário | Microsoft Entra ID | AD FS |
---|---|---|
Conectado à Internet | Sim | Opcional |
Suporte para multilocação | Yes | No |
Oferecer itens no Marketplace | Yes | Sim (requer o uso da ferramenta de Sindicalização do Marketplace offline ) |
Suporte para ADAL (Biblioteca de Autenticação do Active Directory) | Sim | Sim |
Suporte para ferramentas como CLI do Azure, Visual Studio e PowerShell | Sim | Yes |
Criar entidades de serviço por meio do portal do Azure | Yes | No |
Criar entidades de serviço com certificados | Yes | Yes |
Criar entidades de serviço com segredos (chaves) | Yes | Yes |
Os aplicativos podem usar o serviço Graph | Yes | No |
Os aplicativos podem usar o provedor de identidade para entrar | Sim | Sim (requer que os aplicativos sejam federados nas instâncias de AD FS locais) |
Identidades gerenciadas | No | Não |
Topologias
As seções a seguir discutem as diferentes topologias de identidade que você pode usar.
Microsoft Entra ID: topologia de locatário único
Por padrão, quando você instala o Azure Stack Hub e usa Microsoft Entra ID, o Azure Stack Hub usa uma topologia de locatário único.
Uma topologia de locatário único é útil quando:
- Todos os usuários fazem parte do mesmo locatário.
- Um provedor de serviços hospeda uma instância do Azure Stack Hub para uma organização.
Essa topologia apresenta as seguintes características:
- O Azure Stack Hub registra todos os aplicativos e serviços no mesmo Microsoft Entra diretório de locatário.
- O Azure Stack Hub autentica apenas os usuários e aplicativos desse diretório, incluindo tokens.
- As identidades para administradores (operadores de nuvem) e usuários de locatário estão no mesmo locatário de diretório.
- Para permitir que um usuário de outro diretório acesse esse ambiente do Azure Stack Hub, você deve convidar o usuário como convidado para o diretório do locatário.
Microsoft Entra ID: topologia multilocatário
Os operadores de nuvem podem configurar o Azure Stack Hub para permitir o acesso a aplicativos por locatários de uma ou mais organizações. Os usuários acessam aplicativos por meio do portal de usuário do Azure Stack Hub. Nessa configuração, o portal do administrador (usado pelo operador de nuvem) está limitado aos usuários de um único diretório.
Uma topologia multilocatário é útil quando:
- Um provedor de serviços deseja permitir que os usuários de várias organizações acessem o Azure Stack Hub.
Essa topologia apresenta as seguintes características:
- O acesso aos recursos deve ser feito com base na organização.
- Os usuários de uma organização não devem ser capazes de conceder acesso a recursos para usuários que estão fora de sua organização.
- As identidades para administradores (operadores de nuvem) podem estar em um locatário de diretório separado das identidades para usuários. Essa separação fornece isolamento de conta no nível do provedor de identidade.
AD FS
A topologia de AD FS é necessária quando qualquer uma das seguintes condições é verdadeira:
- O Azure Stack Hub não se conecta à Internet.
- O Azure Stack Hub pode se conectar à Internet, mas você opta por usar o AD FS como provedor de identidade.
Essa topologia apresenta as seguintes características:
Para dar suporte ao uso dessa topologia em produção, você deve integrar a instância de AD FS do Azure Stack Hub interno a uma instância existente de AD FS com suporte do Active Directory, por meio de uma confiança de federação.
Você pode integrar o serviço de Graph no Azure Stack Hub com a sua instância existente do Active Directory. Você também pode usar o serviço de API do Graph baseado em OData que dá suporte a APIs que são consistentes com a API do Graph do Azure AD.
Para interagir com sua instância do Active Directory, o API do Graph requer uma credencial de usuário com permissão somente leitura para sua instância do Active Directory e acessa:
- A instância interna do AD FS.
- Suas instâncias do AD FS e do Active Directory, que devem ser baseadas em Windows Server 2012 ou posterior.
Entre a sua instância do Active Directory e a instância de AD FS interna, as interações não estão restritas ao OpenID Connect e podem usar qualquer protocolo com suporte mútuo.
- As contas de usuário são criadas e gerenciadas na sua instância do Active Directory local.
- As entidades de serviço e os registros para aplicativos são gerenciados na instância interna do Active Directory.