Partilhar via


Arquitetura de identidade para o Azure Stack Hub

Ao escolher um fornecedor de identidade para utilizar com o Azure Stack Hub, deve compreender as diferenças importantes entre as opções de Microsoft Entra ID e Serviços de Federação do Active Directory (AD FS) (AD FS).

Capacidades e limitações

O fornecedor de identidade que escolher pode limitar as suas opções, incluindo suporte para multi-inquilinos.

Capacidade ou cenário Microsoft Entra ID AD FS
Ligado à Internet Yes Opcional
Suporte para multi-inquilinos Yes No
Oferecer itens no Marketplace Yes Sim (requer a utilização da ferramenta Desindicação do Marketplace offline )
Suporte para a Biblioteca de Autenticação do Active Directory (ADAL) Yes Yes
Suporte para ferramentas como a CLI do Azure, o Visual Studio e o PowerShell Yes Yes
Criar principais de serviço através do portal do Azure Yes No
Criar principais de serviço com certificados Yes Yes
Criar principais de serviço com segredos (chaves) Yes Yes
As aplicações podem utilizar o serviço Graph Yes No
As aplicações podem utilizar o fornecedor de identidade para iniciar sessão Yes Sim (requer aplicações para federar com instâncias do AD FS no local)
Identidades geridas No No

Topologias

As secções seguintes abordam as diferentes topologias de identidade que pode utilizar.

Microsoft Entra ID: topologia de inquilino único

Por predefinição, quando instala o Azure Stack Hub e utiliza Microsoft Entra ID, o Azure Stack Hub utiliza uma topologia de inquilino único.

Uma topologia de inquilino único é útil quando:

  • Todos os utilizadores fazem parte do mesmo inquilino.
  • Um fornecedor de serviços aloja uma instância do Azure Stack Hub para uma organização.

Topologia de inquilino único do Azure Stack Hub com Microsoft Entra ID

Esta topologia apresenta as seguintes características:

  • O Azure Stack Hub regista todas as aplicações e serviços no mesmo Microsoft Entra diretório de inquilinos.
  • O Azure Stack Hub autentica apenas os utilizadores e aplicações desse diretório, incluindo tokens.
  • As identidades dos administradores (operadores de cloud) e dos utilizadores inquilinos estão no mesmo inquilino do diretório.
  • Para permitir que um utilizador de outro diretório aceda a este ambiente do Azure Stack Hub, tem de convidar o utilizador como convidado para o diretório de inquilinos.

Microsoft Entra ID: topologia multi-inquilino

Os operadores de cloud podem configurar o Azure Stack Hub para permitir o acesso a aplicações por inquilinos de uma ou mais organizações. Os utilizadores acedem a aplicações através do portal de utilizador do Azure Stack Hub. Nesta configuração, o portal de administrador (utilizado pelo operador da cloud) está limitado aos utilizadores de um único diretório.

Uma topologia multi-inquilino é útil quando:

  • Um fornecedor de serviços quer permitir que utilizadores de várias organizações acedam ao Azure Stack Hub.

Topologia multi-inquilino do Azure Stack Hub com Microsoft Entra ID

Esta topologia apresenta as seguintes características:

  • O acesso aos recursos deve ser por organização.
  • Os utilizadores de uma organização não devem poder conceder acesso a recursos a utilizadores fora da organização.
  • As identidades dos administradores (operadores de cloud) podem estar num inquilino de diretório separado das identidades dos utilizadores. Esta separação fornece isolamento de conta ao nível do fornecedor de identidade.

AD FS

A topologia do AD FS é necessária quando uma das seguintes condições é verdadeira:

  • O Azure Stack Hub não liga à Internet.
  • O Azure Stack Hub pode ligar-se à Internet, mas opta por utilizar o AD FS para o seu fornecedor de identidade.

Topologia do Azure Stack Hub com o AD FS

Esta topologia apresenta as seguintes características:

  • Para suportar a utilização desta topologia em produção, tem de integrar a instância do AD FS incorporada do Azure Stack Hub com uma instância do AD FS existente que é apoiada pelo Active Directory, através de uma confiança de federação.

  • Pode integrar o serviço Graph no Azure Stack Hub com a instância do Active Directory existente. Também pode utilizar o serviço Graph API baseado em OData que suporta APIs consistentes com o Azure AD Graph API.

    Para interagir com a sua instância do Active Directory, o Graph API requer uma credencial de utilizador com permissão só de leitura para a sua instância do Active Directory e acede:

    • A instância do AD FS incorporada.
    • As instâncias do AD FS e do Active Directory, que têm de ser baseadas em Windows Server 2012 ou posterior.

    Entre a instância do Active Directory e a instância do AD FS incorporada, as interações não estão restritas ao OpenID Connect e podem utilizar qualquer protocolo suportado mutuamente.

    • As contas de utilizador são criadas e geridas na sua instância de Active Directory no local.
    • Os principais de serviço e os registos das aplicações são geridos na instância incorporada do Active Directory.

Passos seguintes