Share via


Azure Stack Hub için kimlik mimarisi

Azure Stack Hub ile kullanılacak bir kimlik sağlayıcısı seçerken, Microsoft Entra Kimliği ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS) seçenekleri arasındaki önemli farkları anlamanız gerekir.

Özellikler ve sınırlamalar

Seçtiğiniz kimlik sağlayıcısı, çoklu kiracı desteği de dahil olmak üzere seçeneklerinizi sınırlayabilir.

Yetenek veya senaryo Microsoft Entra Kimlik AD FS
İnternet'e bağlı Yes İsteğe Bağlı
Çoklu kiracı desteği Yes Hayır
Market'te ürün sunma Yes Evet ( çevrimdışı Market Dağıtım aracının kullanılmasını gerektirir)
Active Directory Kimlik Doğrulama Kitaplığı (ADAL) desteği Yes Yes
Azure CLI, Visual Studio ve PowerShell gibi araçlar için destek Yes Yes
Azure portal aracılığıyla hizmet sorumluları oluşturma Yes Hayır
Sertifikalarla hizmet sorumluları oluşturma Yes Yes
Gizli diziler (anahtarlar) ile hizmet sorumluları oluşturma Yes Yes
Uygulamalar Graph hizmetini kullanabilir Yes Hayır
Uygulamalar oturum açmak için kimlik sağlayıcısını kullanabilir Yes Evet (uygulamaların şirket içi AD FS örnekleriyle federasyon oluşturmasını gerektirir)
Yönetilen kimlikler Hayır Hayır

Topolojiler

Aşağıdaki bölümlerde kullanabileceğiniz farklı kimlik topolojileri açıklanmıştır.

Microsoft Entra Kimliği: tek kiracılı topoloji

Varsayılan olarak, Azure Stack Hub'ı yüklediğinizde ve Microsoft Entra kimliğini kullandığınızda, Azure Stack Hub tek kiracılı bir topoloji kullanır.

Tek kiracılı topoloji aşağıdaki durumlarda kullanışlıdır:

  • Tüm kullanıcılar aynı kiracının parçasıdır.
  • Hizmet sağlayıcısı, bir kuruluş için Azure Stack Hub örneğini barındırıyor.

Microsoft Entra kimliğine sahip Azure Stack Hub tek kiracılı topolojisi

Bu topoloji aşağıdaki özellikleri içerir:

  • Azure Stack Hub tüm uygulamaları ve hizmetleri aynı Microsoft Entra kiracı dizinine kaydeder.
  • Azure Stack Hub, belirteçler de dahil olmak üzere yalnızca bu dizindeki kullanıcıların ve uygulamaların kimliğini doğrular.
  • Yöneticiler (bulut operatörleri) ve kiracı kullanıcıları için kimlikler aynı dizin kiracısındadır.
  • Başka bir dizindeki bir kullanıcının bu Azure Stack Hub ortamına erişmesini sağlamak için kullanıcıyı kiracı dizinine konuk olarak davet etmeniz gerekir.

Microsoft Entra Kimliği: çok kiracılı topoloji

Bulut operatörleri, Azure Stack Hub'ı bir veya daha fazla kuruluşun kiracıları tarafından uygulamalara erişim izni verecek şekilde yapılandırabilir. Kullanıcılar uygulamalara Azure Stack Hub kullanıcı portalı üzerinden erişebilir. Bu yapılandırmada, yönetici portalı (bulut operatörü tarafından kullanılır) tek bir dizindeki kullanıcılarla sınırlıdır.

Çok kiracılı topoloji aşağıdaki durumlarda kullanışlıdır:

  • Hizmet sağlayıcısı, birden çok kuruluştan kullanıcıların Azure Stack Hub'a erişmesine izin vermek ister.

Microsoft Entra kimliğine sahip Azure Stack Hub çok kiracılı topolojisi

Bu topoloji aşağıdaki özellikleri içerir:

  • Kaynaklara erişim kuruluşa göre olmalıdır.
  • Bir kuruluştan kullanıcılar, kuruluş dışındaki kullanıcılara kaynaklara erişim verememelidir.
  • Yöneticiler için kimlikler (bulut işleçleri), kullanıcıların kimliklerinden ayrı bir dizin kiracısında olabilir. Bu ayrım, kimlik sağlayıcısı düzeyinde hesap yalıtımı sağlar.

AD FS

Aşağıdaki koşullardan biri doğru olduğunda AD FS topolojisi gereklidir:

  • Azure Stack Hub İnternet'e bağlanmaz.
  • Azure Stack Hub İnternet'e bağlanabilir, ancak kimlik sağlayıcınız için AD FS kullanmayı tercih edebilirsiniz.

AD FS kullanarak Azure Stack Hub topolojisi

Bu topoloji aşağıdaki özellikleri içerir:

  • Bu topolojinin üretimde kullanımını desteklemek için, yerleşik Azure Stack Hub AD FS örneğini Active Directory tarafından desteklenen mevcut bir AD FS örneğiyle federasyon güveni aracılığıyla tümleştirmeniz gerekir.

  • Azure Stack Hub'daki Graph hizmetini mevcut Active Directory örneğiniz ile tümleştirebilirsiniz. Azure AD Graph API tutarlı API'leri destekleyen OData tabanlı Graph API hizmetini de kullanabilirsiniz.

    Active Directory örneğinle etkileşime geçmek için, Graph API Active Directory örneğinde salt okunur izne sahip bir kullanıcı kimlik bilgisi gerekir ve şunlara erişir:

    • Yerleşik AD FS örneği.
    • AD FS ve Active Directory örnekleriniz, Windows Server 2012 veya üzerini temel almalıdır.

    Active Directory örneğiniz ve yerleşik AD FS örneği arasında etkileşimler OpenID Connect ile sınırlı değildir ve karşılıklı olarak desteklenen herhangi bir protokolü kullanabilir.

    • Kullanıcı hesapları şirket içi Active Directory örneğinizde oluşturulur ve yönetilir.
    • Uygulamalar için hizmet sorumluları ve kayıtları yerleşik Active Directory örneğinde yönetilir.

Sonraki adımlar