Översikt över identitetsprovidrar för Azure Stack Hub
Azure Stack Hub kräver Microsoft Entra-ID eller Active Directory Federation Services (AD FS) (AD FS), som backas upp av Active Directory som identitetsprovider. Valet av leverantör är ett engångsbeslut som du fattar när du först distribuerar Azure Stack Hub. Begreppen och auktoriseringsinformationen i den här artikeln kan hjälpa dig att välja mellan identitetsprovidrar.
Valet av antingen Microsoft Entra-ID eller AD FS bestäms av det läge där du distribuerar Azure Stack Hub:
- När du distribuerar den i anslutet läge kan du använda antingen Microsoft Entra-ID eller AD FS.
- När du distribuerar den i frånkopplat läge, utan en anslutning till Internet, stöds endast AD FS.
Mer information om dina alternativ, som beror på din Azure Stack Hub-miljö, finns i följande artiklar:
- Azure Stack Hub Development Kit: Identitetsöverväganden.
- Azure Stack Hub-integrerade system: Beslut om distributionsplanering för integrerade Azure Stack Hub-system.
Viktigt
Azure AD Graph håller på att bli inaktuell och kommer att dras tillbaka den 30 juni 2023. Mer information finns i det här avsnittet.
Vanliga begrepp för identitetsprovidrar
I nästa avsnitt beskrivs vanliga begrepp om identitetsprovidrar och deras användning i Azure Stack Hub.
Katalogklienter och organisationer
En katalog är en container som innehåller information om användare, program, grupper och tjänstens huvudnamn.
En katalogklientorganisation är en organisation, till exempel Microsoft eller ditt eget företag.
- Microsoft Entra-ID stöder flera klienter och kan stödja flera organisationer, var och en i sin egen katalog. Om du använder Microsoft Entra-ID och har flera klientorganisationer kan du bevilja appar och användare från en klientåtkomst till andra klienter i samma katalog.
- AD FS stöder endast en enda klientorganisation och därför endast en enda organisation.
Användare och grupper
Användarkonton (identiteter) är standardkonton som autentiserar individer med hjälp av ett användar-ID och lösenord. Grupper kan innehålla användare eller andra grupper.
Hur du skapar och hanterar användare och grupper beror på vilken identitetslösning du använder.
Användarkonton i Azure Stack Hub:
- Skapas i username@domain format. Även om AD FS mappar användarkonton till en Active Directory-instans stöder AD FS inte användning av formatet \<domain>\<alias> .
- Kan konfigureras för att använda multifaktorautentisering.
- Är begränsade till katalogen där de först registrerar sig, vilket är organisationens katalog.
- Kan importeras från dina lokala kataloger. Mer information finns i Integrera dina lokala kataloger med Microsoft Entra-ID.
När du loggar in på organisationens användarportal använder https://portal.local.azurestack.external du URL:en. När du loggar in på Azure Stack Hub-portalen från andra domäner än den som används för att registrera Azure Stack Hub, måste domännamnet som används för att registrera Azure Stack Hub läggas till i portalens URL. Om Azure Stack Hub till exempel har registrerats med fabrikam.onmicrosoft.com och användarkontologgningen är admin@contoso.comär , skulle URL:en som ska användas för att logga in på användarportalen vara: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.
Gästanvändare
Gästanvändare är användarkonton från andra katalogklienter som har beviljats åtkomst till resurser i din katalog. För att stödja gästanvändare använder du Microsoft Entra-ID och aktiverar stöd för flera innehavare. När support är aktiverat kan du bjuda in gästanvändare att komma åt resurser i katalogklientorganisationen, vilket i sin tur möjliggör deras samarbete med externa organisationer.
För att bjuda in gästanvändare kan molnoperatörer och användare använda Microsoft Entra B2B-samarbete. Inbjudna användare får åtkomst till dokument, resurser och appar från din katalog och du behåller kontrollen över dina egna resurser och data.
Som gästanvändare kan du logga in på en annan organisations katalogklientorganisation. Det gör du genom att lägga till organisationens katalognamn i portalens URL. Om du till exempel tillhör Contoso-organisationen och vill logga in på Fabrikam-katalogen använder du https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.
Appar
Du kan registrera appar till Microsoft Entra-ID eller AD FS och sedan erbjuda apparna till användare i din organisation.
Apparna omfattar:
- Webbappar: Exempel är Azure Portal och Azure Resource Manager. De stöder webb-API-anrop.
- Intern klient: Exempel är Azure PowerShell, Visual Studio och Azure CLI.
Appar har stöd för två typer av innehav:
Enskild klientorganisation: Stöder endast användare och tjänster från samma katalog där appen är registrerad.
Anteckning
Eftersom AD FS endast stöder en enda katalog är appar som du skapar i en AD FS-topologi, avsiktligt, appar med en enda klientorganisation.
Flera klientorganisationer: Stöder användning av användare och tjänster från både katalogen där appen är registrerad och ytterligare klientkataloger. Med appar för flera klientorganisationer kan användare av en annan klientkatalog (en annan Microsoft Entra klientorganisation) logga in på din app.
Mer information om flera innehavare finns i Aktivera flera innehavare.
Mer information om hur du utvecklar en app för flera klientorganisationer finns i Appar för flera klientorganisationer.
När du registrerar en app skapar du två objekt:
Programobjekt: Den globala representationen av appen för alla klienter. Den här relationen är en-till-en med programappen och finns bara i katalogen där appen först registreras.
Objekt för tjänstens huvudnamn: En autentiseringsuppgift som skapas för en app i katalogen där appen först registreras. Ett huvudnamn för tjänsten skapas också i katalogen för varje ytterligare klientorganisation där appen används. Den här relationen kan vara en-till-många med programappen.
Mer information om app- och tjänsthuvudnamnsobjekt finns i Program- och tjänstobjekt i Microsoft Entra-ID.
Tjänstens huvudnamn
Tjänstens huvudnamn är en uppsättning autentiseringsuppgifter för en app eller tjänst som ger åtkomst till resurser i Azure Stack Hub. Användningen av ett huvudnamn för tjänsten skiljer appbehörigheterna från behörigheterna för användaren av appen.
Ett huvudnamn för tjänsten skapas i varje klientorganisation där appen används. Tjänstens huvudnamn upprättar en identitet för inloggning och åtkomst till resurser (till exempel användare) som skyddas av den klientorganisationen.
- En app för en enda klientorganisation har bara ett huvudnamn för tjänsten, som finns i katalogen där den först skapas. Tjänstens huvudnamn skapas och samtycker till att användas under registreringen av appen.
- En webbapp eller ETT API för flera klientorganisationer har ett huvudnamn för tjänsten som skapas i varje klientorganisation där en användare från den klientorganisationen godkänner användningen av appen.
Autentiseringsuppgifter för tjänstens huvudnamn kan antingen vara en nyckel som genereras via Azure Portal eller ett certifikat. Användningen av ett certifikat passar för automatisering eftersom certifikat anses vara säkrare än nycklar.
Anteckning
När du använder AD FS med Azure Stack Hub kan endast administratören skapa tjänstens huvudnamn. Med AD FS kräver tjänstens huvudnamn certifikat och skapas via den privilegierade slutpunkten (PEP). Mer information finns i Använda en appidentitet för att komma åt resurser.
Mer information om tjänstens huvudnamn för Azure Stack Hub finns i Skapa tjänstens huvudnamn.
Tjänster
Tjänster i Azure Stack Hub som interagerar med identitetsprovidern registreras som appar med identitetsprovidern. Precis som appar gör registreringen det möjligt för en tjänst att autentisera med identitetssystemet.
Alla Azure-tjänster använder OpenID Connect-protokoll och JSON-webbtoken för att upprätta sin identitet. Eftersom Microsoft Entra ID och AD FS använder protokoll konsekvent kan du använda Microsoft Authentication Library (MSAL) för att hämta en säkerhetstoken för att autentisera lokalt eller till Azure (i ett anslutet scenario). Med MSAL kan du också använda verktyg som Azure PowerShell och Azure CLI för hantering av resurser mellan moln och lokalt.
Identiteter och ditt identitetssystem
Identiteter för Azure Stack Hub omfattar användarkonton, grupper och tjänstens huvudnamn.
När du installerar Azure Stack Hub registreras flera inbyggda appar och tjänster automatiskt hos din identitetsprovider i katalogklienten. Vissa tjänster som registreras används för administration. Andra tjänster är tillgängliga för användare. Standardregistreringarna ger kärntjänstidentiteter som kan interagera både med varandra och med identiteter som du lägger till senare.
Om du konfigurerar Microsoft Entra-ID med flera klientorganisationer sprids vissa appar till de nya katalogerna.
Autentisering och auktorisering
Autentisering av appar och användare
För appar och användare beskrivs arkitekturen i Azure Stack Hub av fyra lager. Interaktioner mellan vart och ett av dessa lager kan använda olika typer av autentisering.
Skikt | Autentisering mellan lager |
---|---|
Verktyg och klienter, till exempel administratörsportalen | För att komma åt eller ändra en resurs i Azure Stack Hub använder verktyg och klienter en JSON-webbtoken för att ringa ett anrop till Azure Resource Manager. Azure Resource Manager verifierar JSON-webbtoken och tittar på anspråken i den utfärdade token för att beräkna den auktoriseringsnivå som användaren eller tjänstens huvudnamn har i Azure Stack Hub. |
Azure Resource Manager och dess kärntjänster | Azure Resource Manager kommunicerar med resursprovidrar för att överföra kommunikation från användare. Överföringar använder direkta imperativa anrop eller deklarativa anrop via Azure Resource Manager-mallar. |
Resursproviders | Anrop som skickas till resursprovidrar skyddas med certifikatbaserad autentisering. Azure Resource Manager och resursprovidern förblir sedan i kommunikation via ett API. För varje anrop som tas emot från Azure Resource Manager validerar resursprovidern anropet med certifikatet. |
Infrastruktur och affärslogik | Resursprovidrar kommunicerar med affärslogik och infrastruktur med hjälp av ett autentiseringsläge som de väljer. Standardresursprovidrar som levereras med Azure Stack Hub använder Windows-autentisering för att skydda den här kommunikationen. |
Autentisera till Azure Resource Manager
Om du vill autentisera med identitetsprovidern och ta emot en JSON-webbtoken måste du ha följande information:
- URL för identitetssystemet (utfärdare): DEN URL där identitetsprovidern kan nås. Till exempel https://login.windows.net.
- App-ID URI för Azure Resource Manager: Den unika identifieraren för Azure Resource Manager som är registrerad hos din identitetsprovider. Det är också unikt för varje Azure Stack Hub-installation.
- Autentiseringsuppgifter: De autentiseringsuppgifter som du använder för att autentisera med identitetsprovidern.
- URL för Azure Resource Manager: URL:en är platsen för Tjänsten Azure Resource Manager. Exempel: https://management.azure.com eller https://management.local.azurestack.external.
När ett huvudnamn (en klient, appar eller användare) gör en autentiseringsbegäran för att få åtkomst till en resurs måste begäran innehålla:
- Huvudkontots autentiseringsuppgifter.
- App-ID-URI:n för resursen som huvudnamnet vill komma åt.
Autentiseringsuppgifterna verifieras av identitetsprovidern. Identitetsprovidern verifierar också att app-ID-URI:n är för en registrerad app och att huvudkontot har rätt behörigheter för att hämta en token för den resursen. Om begäran är giltig beviljas en JSON-webbtoken.
Token måste sedan skicka rubriken för en begäran till Azure Resource Manager. Azure Resource Manager gör följande, i ingen specifik ordning:
- Verifierar utfärdarens anspråk (iss) för att bekräfta att token kommer från rätt identitetsprovider.
- Verifierar målgruppsanspråket (aud) för att bekräfta att token har utfärdats till Azure Resource Manager.
- Verifierar att JSON-webbtoken är signerad med ett certifikat som har konfigurerats via OpenID och är känt för Azure Resource Manager.
- Granska de utfärdade (iat) och utgångsanspråken (exp) för att bekräfta att token är aktiv och kan accepteras.
När alla valideringar är klara använder Azure Resource Manager objekt-ID :t (oid) och grupperna gör anspråk på att göra en lista över resurser som huvudkontot kan komma åt.
Anteckning
Efter distributionen krävs inte Microsoft Entra global administratörsbehörighet. Vissa åtgärder kan dock kräva autentiseringsuppgifter för global administratör (till exempel ett installationsskript för resursprovidern eller en ny funktion som kräver att en behörighet beviljas). Du kan antingen tillfälligt ange kontots globala administratörsbehörigheter igen eller använda ett separat globalt administratörskonto som är ägare till standardleverantörsprenumerationen.
Använda Role-Based Access Control
Role-Based Access Control (RBAC) i Azure Stack Hub överensstämmer med implementeringen i Microsoft Azure. Du kan hantera åtkomst till resurser genom att tilldela lämplig RBAC-roll till användare, grupper och appar. Information om hur du använder RBAC med Azure Stack Hub finns i följande artiklar:
- Kom igång med Role-Based Access Control i Azure Portal.
- Använd Role-Based Access Control för att hantera åtkomst till dina Azure-prenumerationsresurser.
- Skapa anpassade roller för Azure Role-Based Access Control.
- Hantera Role-Based Access Control i Azure Stack Hub.
Autentisera med Azure PowerShell
Information om hur du använder Azure PowerShell för att autentisera med Azure Stack Hub finns i Konfigurera Azure Stack Hub-användarens PowerShell-miljö.
Autentisera med Azure CLI
Information om hur du använder Azure PowerShell för att autentisera med Azure Stack Hub finns i Installera och konfigurera Azure CLI för användning med Azure Stack Hub.
Azure Policy
Azure Policy hjälper till att genomdriva organisationens standarder och utvärdera efterlevnad i stor skala. Via instrumentpanelen för efterlevnad ger den en aggregerad vy för att utvärdera miljöns övergripande tillstånd, med möjlighet att öka detaljnivån till kornigheten per resurs och per princip. Du får också hjälp att säkerställa att resurserna efterlever kraven via massåtgärder för befintliga resurser och automatisk reparation för nya resurser.
Några vanliga användningsområden för Azure Policy är att implementera styrning för resurskonsekvens, regelefterlevnad, säkerhet, kostnad och hantering. Principdefinitioner för dessa vanliga användningsfall är redan inbyggda i din Azure-miljö för att hjälpa dig att komma igång.
Anteckning
Azure Policy stöds för närvarande inte på Azure Stack Hub.
Azure AD Graph
Microsoft Azure har meddelat utfasningen av Azure AD Graph den 30 juni 2020 och dess slutdatum den 30 juni 2023. Microsoft har informerat kunder via e-post om den här ändringen. Mer detaljerad information finns i bloggen Azure AD Graph Retirement and Powershell Module Deprecation (Utfasning av powershell-modul).
I följande avsnitt beskrivs hur utfasningen påverkar Azure Stack Hub.
Azure Stack Hub-teamet har ett nära samarbete med Azure Graph-teamet för att säkerställa att dina system fortsätter att fungera efter den 30 juni 2023 om det behövs för att säkerställa en smidig övergång. Den viktigaste åtgärden är att se till att du är kompatibel med Azure Stack Hub-servicepolicyn. Kunder får en avisering i administratörsportalen för Azure Stack Hub och måste uppdatera hemkatalogen och alla registrerade gästkataloger.
Merparten av själva migreringen kommer att utföras av den integrerade systemuppdateringen. Det kommer att krävas ett manuellt steg av kunderna för att bevilja nya behörigheter till dessa program, vilket kräver global administratörsbehörighet i varje Microsoft Entra katalog som används med dina Azure Stack Hub-miljöer. När uppdateringspaketet med de här ändringarna har installerats aktiveras en avisering i administratörsportalen där du uppmanas att slutföra det här steget med hjälp av användargränssnittet för flera innehavare eller PowerShell-skript. Det här är samma åtgärd som du utför när du registrerar ytterligare kataloger eller resursprovidrar. Mer information finns i Konfigurera flera innehavare i Azure Stack Hub.
Om du använder AD FS som identitetssystem med Azure Stack Hub påverkar dessa Graph-ändringar inte systemet direkt. De senaste versionerna av verktyg som Azure CLI, Azure PowerShell osv. kräver dock de nya Graph-API:erna, och de fungerar inte. Se till att du bara använder versionerna av dessa verktyg som uttryckligen stöds med din angivna Azure Stack Hub-version.
Förutom aviseringen i administratörsportalen kommunicerar vi ändringar via viktig information om uppdateringen och meddelar vilket uppdateringspaket som kräver uppdatering av hemkatalogen och alla registrerade gästkataloger.