Azure Stack Hub için kimlik mimarisi
Azure Stack Hub ile kullanılacak bir kimlik sağlayıcısı seçerken, Microsoft Entra Kimliği ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS) seçenekleri arasındaki önemli farkları anlamanız gerekir.
Özellikler ve sınırlamalar
Seçtiğiniz kimlik sağlayıcısı, çoklu kiracı desteği de dahil olmak üzere seçeneklerinizi sınırlayabilir.
| Yetenek veya senaryo | Microsoft Entra Kimlik | AD FS |
|---|---|---|
| İnternet'e bağlı | Yes | İsteğe Bağlı |
| Çoklu kiracı desteği | Yes | Hayır |
| Market'te ürün sunma | Yes | Evet ( çevrimdışı Market Dağıtım aracının kullanılmasını gerektirir) |
| Active Directory Kimlik Doğrulama Kitaplığı (ADAL) desteği | Yes | Yes |
| Azure CLI, Visual Studio ve PowerShell gibi araçlar için destek | Yes | Yes |
| Azure portal aracılığıyla hizmet sorumluları oluşturma | Yes | Hayır |
| Sertifikalarla hizmet sorumluları oluşturma | Yes | Yes |
| Gizli diziler (anahtarlar) ile hizmet sorumluları oluşturma | Yes | Yes |
| Uygulamalar Graph hizmetini kullanabilir | Yes | Hayır |
| Uygulamalar oturum açmak için kimlik sağlayıcısını kullanabilir | Yes | Evet (uygulamaların şirket içi AD FS örnekleriyle federasyon oluşturmasını gerektirir) |
| Yönetilen kimlikler | Hayır | Hayır |
Topolojiler
Aşağıdaki bölümlerde kullanabileceğiniz farklı kimlik topolojileri açıklanmıştır.
Microsoft Entra Kimliği: tek kiracılı topoloji
Varsayılan olarak, Azure Stack Hub'ı yüklediğinizde ve Microsoft Entra kimliğini kullandığınızda, Azure Stack Hub tek kiracılı bir topoloji kullanır.
Tek kiracılı topoloji aşağıdaki durumlarda kullanışlıdır:
- Tüm kullanıcılar aynı kiracının parçasıdır.
- Hizmet sağlayıcısı, bir kuruluş için Azure Stack Hub örneğini barındırıyor.
Bu topoloji aşağıdaki özellikleri içerir:
- Azure Stack Hub tüm uygulamaları ve hizmetleri aynı Microsoft Entra kiracı dizinine kaydeder.
- Azure Stack Hub, belirteçler de dahil olmak üzere yalnızca bu dizindeki kullanıcıların ve uygulamaların kimliğini doğrular.
- Yöneticiler (bulut operatörleri) ve kiracı kullanıcıları için kimlikler aynı dizin kiracısındadır.
- Başka bir dizindeki bir kullanıcının bu Azure Stack Hub ortamına erişmesini sağlamak için kullanıcıyı kiracı dizinine konuk olarak davet etmeniz gerekir.
Microsoft Entra Kimliği: çok kiracılı topoloji
Bulut operatörleri, Azure Stack Hub'ı bir veya daha fazla kuruluşun kiracıları tarafından uygulamalara erişim izni verecek şekilde yapılandırabilir. Kullanıcılar uygulamalara Azure Stack Hub kullanıcı portalı üzerinden erişebilir. Bu yapılandırmada, yönetici portalı (bulut operatörü tarafından kullanılır) tek bir dizindeki kullanıcılarla sınırlıdır.
Çok kiracılı topoloji aşağıdaki durumlarda kullanışlıdır:
- Hizmet sağlayıcısı, birden çok kuruluştan kullanıcıların Azure Stack Hub'a erişmesine izin vermek ister.
Bu topoloji aşağıdaki özellikleri içerir:
- Kaynaklara erişim kuruluşa göre olmalıdır.
- Bir kuruluştan kullanıcılar, kuruluş dışındaki kullanıcılara kaynaklara erişim verememelidir.
- Yöneticiler için kimlikler (bulut işleçleri), kullanıcıların kimliklerinden ayrı bir dizin kiracısında olabilir. Bu ayrım, kimlik sağlayıcısı düzeyinde hesap yalıtımı sağlar.
AD FS
Aşağıdaki koşullardan biri doğru olduğunda AD FS topolojisi gereklidir:
- Azure Stack Hub İnternet'e bağlanmaz.
- Azure Stack Hub İnternet'e bağlanabilir, ancak kimlik sağlayıcınız için AD FS kullanmayı tercih edebilirsiniz.
Bu topoloji aşağıdaki özellikleri içerir:
Bu topolojinin üretimde kullanımını desteklemek için, yerleşik Azure Stack Hub AD FS örneğini Active Directory tarafından desteklenen mevcut bir AD FS örneğiyle federasyon güveni aracılığıyla tümleştirmeniz gerekir.
Azure Stack Hub'daki Graph hizmetini mevcut Active Directory örneğiniz ile tümleştirebilirsiniz. Azure AD Graph API tutarlı API'leri destekleyen OData tabanlı Graph API hizmetini de kullanabilirsiniz.
Active Directory örneğinle etkileşime geçmek için, Graph API Active Directory örneğinde salt okunur izne sahip bir kullanıcı kimlik bilgisi gerekir ve şunlara erişir:
- Yerleşik AD FS örneği.
- AD FS ve Active Directory örnekleriniz, Windows Server 2012 veya üzerini temel almalıdır.
Active Directory örneğiniz ve yerleşik AD FS örneği arasında etkileşimler OpenID Connect ile sınırlı değildir ve karşılıklı olarak desteklenen herhangi bir protokolü kullanabilir.
- Kullanıcı hesapları şirket içi Active Directory örneğinizde oluşturulur ve yönetilir.
- Uygulamalar için hizmet sorumluları ve kayıtları yerleşik Active Directory örneğinde yönetilir.