Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Stack Hub, kimlik sağlayıcısı olarak Active Directory tarafından desteklenen Microsoft Entra ID veya Active Directory Federasyon Hizmetleri (AD FS) gerektirir. Sağlayıcı seçimi, Azure Stack Hub'ı ilk kez dağıtırken tek seferlik bir karardır. Bu makaledeki kavramlar ve yetkilendirme ayrıntıları, kimlik sağlayıcıları arasında seçim yapmanıza yardımcı olabilir.
Microsoft Entra Id veya AD FS seçiminiz, Azure Stack Hub'ı dağıttığınız moda göre belirlenir:
- Bağlı modda dağıttığınızda, Microsoft Entra Id veya AD FS kullanabilirsiniz.
- Bağlantıyı kesen bir modda, İnternet bağlantısı olmadan dağıttığınızda yalnızca AD FS desteklenir.
Azure Stack Hub ortamınıza bağlı olan seçenekleriniz hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Azure Stack Hub geliştirme seti: Kimlikle ilgili dikkat edilmesi gerekenler.
- Azure Stack Hub tümleşik sistemleri: Azure Stack Hub tümleşik sistemleri için dağıtım planlama kararları.
Önemli
Azure AD Graph kullanımdan kaldırılıyor ve 30 Haziran 2023'te kullanımdan kaldırılacak. Daha fazla bilgi için bu bölüme bakın.
Kimlik sağlayıcıları için yaygın kavramlar
Sonraki bölümlerde kimlik sağlayıcıları ve Bunların Azure Stack Hub'daki kullanımı hakkındaki yaygın kavramlar ele alınmaktadır.
Dizin kiracıları ve kuruluşlar
Dizin, kullanıcılar, uygulamalar, gruplar ve hizmet sorumluları hakkında bilgi tutan bir kapsayıcıdır.
Dizin kiracısı, Microsoft veya kendi şirketiniz gibi bir kuruluştır.
- Microsoft Entra ID birden çok kiracıyı destekler ve her biri kendi dizininde yer alan birden çok kuruluşu destekleyebilir. Microsoft Entra Id kullanıyorsanız ve birden çok kiracınız varsa, bir kiracıdan uygulamalara ve kullanıcılara aynı dizinin diğer kiracılarına erişim vekleyebilirsiniz.
- AD FS yalnızca tek bir kiracıyı ve dolayısıyla tek bir kuruluşu destekler.
Kullanıcılar ve gruplar
Kullanıcı hesapları (kimlikler), bir kullanıcı kimliği ve parola kullanarak kişilerin kimliğini doğrulayan standart hesaplardır. Gruplar, kullanıcıları veya diğer grupları içerebilir.
Kullanıcıları ve grupları oluşturma ve yönetme şekliniz, kullandığınız kimlik çözümüne bağlıdır.
Azure Stack Hub'da kullanıcı hesapları:
- username@domain biçiminde oluşturulur. AD FS, kullanıcı hesaplarını bir Active Directory örneğine eşlese de, AD FS \<domain>\<alias> biçiminin kullanımını desteklemez.
- Çok faktörlü kimlik doğrulamasını kullanacak şekilde ayarlanabilir.
- İlk kaydettikleri dizinle sınırlıdır. Bu dizin, kuruluşlarının dizinidir.
- Şirket içi dizinlerinizden içeri aktarılabilir. Daha fazla bilgi için bkz . Şirket içi dizinlerinizi Microsoft Entra Id ile tümleştirme.
Kuruluşunuzun kullanıcı portalında oturum açtığınızda URL'yi https://portal.local.azurestack.external kullanırsınız. Azure Stack Hub'ı kaydetmek için kullanılan etki alanı dışındaki etki alanlarından Azure Stack Hub portalında oturum açarken, Azure Stack Hub'ı kaydetmek için kullanılan etki alanı adının portal url'sine eklenmesi gerekir. Örneğin, Azure Stack Hub fabrikam.onmicrosoft.com ile kaydedildiyse ve oturum açan kullanıcı hesabı ise admin@contoso.com, kullanıcı portalında oturum açmak için kullanılacak URL şöyle olacaktır: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.
Konuk kullanıcılar
Konuk kullanıcılar, dizininizdeki kaynaklara erişim verilmiş diğer dizin kiracılarından gelen kullanıcı hesaplarıdır. Konuk kullanıcıları desteklemek için Microsoft Entra Id kullanır ve çoklu kiracı desteğini etkinleştirirsiniz. Destek etkinleştirildiğinde, konuk kullanıcıları dizin kiracınızdaki kaynaklara erişmeye davet edebilirsiniz ve bu da dış kuruluşlarla işbirliğine olanak tanır.
Konuk kullanıcıları davet etmek için bulut operatörleri ve kullanıcılar Microsoft Entra B2B işbirliğini kullanabilir. Davet edilen kullanıcılar dizininizden belgelere, kaynaklara ve uygulamalara erişebilir ve kendi kaynaklarınız ve verileriniz üzerinde denetim sahibi olursunuz.
Konuk kullanıcı olarak, başka bir kuruluşun dizin kiracısında oturum açabilirsiniz. Bunu yapmak için, portalın URL'sine bu kuruluşun dizin adını eklersiniz. Örneğin, Contoso kuruluşuna aitseniz ve Fabrikam dizininde oturum açmak istiyorsanız https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.
Uygulamalar
Uygulamaları Microsoft Entra ID veya AD FS'ye kaydedebilir ve ardından uygulamaları kuruluşunuzdaki kullanıcılara sunabilirsiniz.
Uygulamalar şunlardır:
- Web uygulamaları: Örnek olarak Azure portalı ve Azure Resource Manager verilebilir. Web API çağrılarını destekler.
- Yerel istemci: Örnek olarak Azure PowerShell, Visual Studio ve Azure CLI verilebilir.
Uygulamalar iki kiracı türünü destekleyebilir:
Tek kiracılı: Yalnızca uygulamanın kayıtlı olduğu dizindeki kullanıcıları ve hizmetleri destekler.
Not
AD FS yalnızca tek bir dizini desteklediği için, AD FS topolojisinde oluşturduğunuz uygulamalar tasarım gereği tek kiracılı uygulamalardır.
Çok kiracılı: Hem uygulamanın kayıtlı olduğu dizinden hem de ek kiracı dizinlerinden kullanıcılar ve hizmetler tarafından kullanımı destekler. Çok kiracılı uygulamalarla, başka bir kiracı dizininin (başka bir Microsoft Entra kiracısı) kullanıcıları uygulamanızda oturum açabilir.
Çoklu kiracılığı etkinleştirme hakkında daha fazla bilgi için bkz: Çoklu kiracılığı etkinleştirme.
Çok kiracılı uygulama geliştirme hakkında daha fazla bilgi için bkz . Çok kiracılı uygulamalar.
Bir uygulamayı kaydettiğinizde iki nesne oluşturursunuz:
Uygulama nesnesi: Uygulamanın tüm kiracılar arasında genel gösterimi. Bu ilişki, yazılım uygulamasıyla bire bir ilişkidir ve yalnızca uygulamanın ilk kaydedildiği dizinde bulunur.
Hizmet sorumlusu nesnesi: Uygulamanın ilk kaydedildiği dizindeki bir uygulama için oluşturulan kimlik bilgisi. Ayrıca, uygulamanın kullanıldığı her ek kiracının dizininde bir hizmet sorumlusu oluşturulur. Bu ilişki yazılım uygulamasıyla birden çoğa olabilir.
Uygulama ve hizmet sorumlusu nesneleri hakkında daha fazla bilgi edinmek için Microsoft Entra ID'deki Uygulama ve hizmet sorumlusu nesneleri başlığına bakın.
Hizmet sorumluları
Hizmet sorumlusu, Azure Stack Hub'daki kaynaklara erişim izni veren bir uygulama veya hizmetin kimlik bilgileri kümesidir. Hizmet sorumlusu kullanımı, uygulama izinlerini uygulama kullanıcısının izinlerinden ayırır.
Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulur. Hizmet sorumlusu, oturum açma ve bu kiracı tarafından güvenliği sağlanan kaynaklara (kullanıcılar gibi) erişim için bir kimlik oluşturur.
- Tek kiracılı bir uygulama, ilk oluşturulduğu dizinde bulunan tek bir hizmet sorumlusuna sahiptir. Bu hizmet sorumlusu oluşturulur ve uygulamanın kaydı sırasında kullanılmasını onaylar.
- Çok kiracılı bir web uygulaması veya API,her kiracıda oluşturulmuş bir hizmet sorumlusuna sahiptir ve bu kiracıdaki bir kullanıcı uygulamanın kullanımına onay verir.
Hizmet sorumluları için kimlik bilgileri, Azure portalı aracılığıyla oluşturulan bir anahtar veya bir sertifika olabilir. Sertifikalar anahtarlardan daha güvenli olarak kabul edildiğinden, sertifika kullanımı otomasyon için uygundur.
Not
AD FS'yi Azure Stack Hub ile kullandığınızda, hizmet sorumlularını yalnızca yönetici oluşturabilir. AD FS ile hizmet sorumluları sertifika gerektirir ve ayrıcalıklı uç nokta (PEP) aracılığıyla oluşturulur. Daha fazla bilgi için bkz . Kaynaklara erişmek için uygulama kimliği kullanma.
Azure Stack Hub hizmet sorumluları hakkında bilgi edinmek için bkz Hizmet sorumluları oluşturma.
Hizmetler
Azure Stack Hub'da kimlik sağlayıcısıyla etkileşim kuran hizmetler, kimlik sağlayıcısına uygulama olarak kaydedilir. Uygulamalar gibi kayıt da bir hizmetin kimlik sistemiyle kimlik doğrulamasına olanak tanır.
Tüm Azure hizmetleri, kimliklerini oluşturmak için OpenID Connect protokollerini ve JSON Web Belirteçlerini kullanır. Microsoft Entra Id ve AD FS protokolleri tutarlı bir şekilde kullandığından, şirket içinde veya Azure'da (bağlı bir senaryoda) kimlik doğrulaması yapmak üzere bir güvenlik belirteci almak için Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanabilirsiniz. MSAL ile bulutlar arası ve şirket içi kaynak yönetimi için Azure PowerShell ve Azure CLI gibi araçları da kullanabilirsiniz.
Kimlikler ve kimlik sisteminiz
Azure Stack Hub kimlikleri kullanıcı hesaplarını, grupları ve hizmet sorumlularını içerir.
Azure Stack Hub'ı yüklediğinizde, birkaç yerleşik uygulama ve hizmet dizin kiracısında kimlik sağlayıcınıza otomatik olarak kaydedilir. Kaydedilen bazı hizmetler yönetim için kullanılır. Diğer hizmetler kullanıcılar tarafından kullanılabilir. Varsayılan kayıtlar, hem birbirleriyle hem de daha sonra eklediğiniz kimliklerle etkileşim kurabilen çekirdek hizmet kimlikleri sağlar.
Microsoft Entra ID'yi çok kiracılı olarak ayarlarsanız, bazı uygulamalar yeni dizinlere yayılır.
Kimlik doğrulaması ve yetkilendirme
Uygulamalar ve kullanıcılar tarafından kimlik doğrulaması
Uygulamalar ve kullanıcılar için Azure Stack Hub mimarisi dört katmanla açıklanmıştır. Bu katmanların her biri arasındaki etkileşimler farklı kimlik doğrulama türlerini kullanabilir.
| Katman | Katmanlar arasında kimlik doğrulaması |
|---|---|
| Yönetici portalı gibi araçlar ve istemciler | Azure Stack Hub'daki bir kaynağa erişmek veya bunları değiştirmek için araçlar ve istemciler, Azure Resource Manager'a çağrı yapmak için JSON Web Belirteci kullanır. Azure Resource Manager, kullanıcı veya hizmet sorumlusunun Azure Stack Hub'da sahip olduğu yetkilendirme düzeyini tahmin etmek için JSON Web Belirtecini doğrular ve verilen belirteçteki taleplere göz atar. |
| Azure Resource Manager ve temel hizmetleri | Azure Resource Manager, kullanıcılardan iletişim aktarmak için kaynak sağlayıcılarıyla iletişim kurar. Aktarımlar, Azure Resource Manager şablonları aracılığıyla doğrudan emir çağrıları veya bildirimsel çağrıları kullanır. |
| Kaynak sağlayıcıları | Kaynak sağlayıcılarına geçirilen çağrıların güvenliği sertifika tabanlı kimlik doğrulamasıyla sağlanır. Ardından Azure Resource Manager ve kaynak sağlayıcısı bir API aracılığıyla iletişim halinde kalır. Azure Resource Manager'dan alınan her çağrı için, kaynak sağlayıcısı aramayı bu sertifikayla doğrular. |
| Altyapı ve iş mantığı | Kaynak sağlayıcıları, tercih ettikleri bir kimlik doğrulama modunu kullanarak iş mantığı ve altyapısıyla iletişim kurar. Azure Stack Hub ile birlikte gönderilen varsayılan kaynak sağlayıcıları, bu iletişimin güvenliğini sağlamak için Windows Kimlik Doğrulaması'nı kullanır. |
Azure Resource Manager'da kimlik doğrulaması
Kimlik sağlayıcısıyla kimlik doğrulaması yapmak ve bir JSON Web Belirteci almak için aşağıdaki bilgilere sahip olmanız gerekir:
- Kimlik sisteminin (Yetkili) URL'si: Kimlik sağlayıcınıza ulaşabileceğiniz URL. Örneğin, https://login.windows.net.
- Azure Resource Manager için Uygulama Kimliği URI'si: Kimlik sağlayıcınıza kayıtlı Azure Resource Manager'ın benzersiz tanımlayıcısı. Ayrıca her Azure Stack Hub yüklemesi için benzersizdir.
- Kimlik bilgileri: Kimlik sağlayıcısında kimlik doğrulaması yapmak için kullandığınız kimlik bilgileri.
- Azure Resource Manager URL'si: URL, Azure Resource Manager hizmetinin konumudur. Örneğin, https://management.azure.com veya https://management.local.azurestack.external.
Bir sorumlu (istemci, uygulama veya kullanıcı) bir kaynağa erişmek için kimlik doğrulama isteğinde bulunursa, istek şunları içermelidir:
- Sorumlunun kimlik bilgileri.
- Sorumlunun erişmek istediği kaynağın uygulama kimliği URI'si.
Kimlik bilgileri kimlik sağlayıcısı tarafından doğrulanır. Kimlik sağlayıcısı ayrıca uygulama kimliği URI'sinin kayıtlı bir uygulamaya ait olduğunu ve sorumlunun bu kaynak için belirteç almak için doğru ayrıcalıklara sahip olduğunu doğrular. İstek geçerliyse bir JSON Web Belirteci verilir.
Belirtecin daha sonra isteğin üst bilgisini Azure Resource Manager'a geçirmesi gerekir. Azure Resource Manager aşağıdakileri belirli bir sırada yapmaz:
- Çıkaranın (iss) iddiasını doğrulayarak belirtecin doğru kimlik sağlayıcısından geldiğini onaylar.
- Hedef kitle (aud) iddiasını doğrulayarak belirtecin Azure Resource Manager’a ait olduğunu onaylar.
- JSON Web Belirtecinin OpenID aracılığıyla yapılandırılan ve Azure Resource Manager tarafından bilinen bir sertifikayla imzalandığını doğrular.
- Veriliş (iat) ve süre sonu (exp) taleplerini gözden geçirerek token'in aktif olduğundan emin olun ve kabul edilebilirliğini onaylayın.
Tüm doğrulamalar tamamlandığında, Azure Resource Manager nesne kimliğini (oid) kullanır ve gruplar sorumlunun erişebileceği kaynakların listesini oluşturmak için talep eder.
Rol Tabanlı Erişim Denetimi Kullanma
Azure Stack Hub'daki Rol Tabanlı Erişim Denetimi (RBAC), Microsoft Azure'daki uygulamayla tutarlıdır. Kullanıcılara, gruplara ve uygulamalara uygun RBAC rolünü atayarak kaynaklara erişimi yönetebilirsiniz. Azure Stack Hub ile RBAC kullanma hakkında bilgi için aşağıdaki makalelere bakın:
- Azure portalında Rol Tabanlı Erişim Denetimi'ni kullanmaya başlayın.
- Azure abonelik kaynaklarınıza erişimi yönetmek için Rol Tabanlı Erişim Denetimi'ni kullanın.
- Azure Rol Tabanlı Erişim Denetimi için özel roller oluşturun.
- Azure Stack Hub'da Rol Tabanlı Erişim Denetimini yönetme.
Azure PowerShell ile kimlik doğrulaması
Azure Stack Hub ile kimlik doğrulaması yapmak için Azure PowerShell kullanma hakkındaki ayrıntılara Azure Stack Hub kullanıcısının PowerShell ortamını yapılandırma bölümünden ulaşabilirsiniz.
Azure CLI ile kimlik doğrulaması
Azure Stack Hub ile kimlik doğrulaması yapmak için Azure PowerShell kullanma hakkında bilgi için bkz . Azure Stack Hub ile kullanmak üzere Azure CLI'yı yükleme ve yapılandırma.
Azure İlkesi
Azure İlkesi, kurumsal standartların uygulanmasına ve uygun ölçekte uyumluluğun değerlendirilmesine yardımcı olur. Uyumluluk panosu aracılığıyla, kaynak başına, ilke başına ayrıntı düzeyine inerek ortamın genel durumunu değerlendirmek için toplu bir görünüm sağlar. Bu pano mevcut kaynaklar için toplu düzeltme, yeni kaynaklar için de otomatik düzeltme eylemleriyle kaynaklarınızı uyumlu hale getirmenize de yardımcı olur.
Azure İlkesi'nin yaygın kullanım örnekleri kaynak tutarlılığı, mevzuata uyumluluk, güvenlik, maliyet ve yönetim için idare uygulamayı içerir. Bu yaygın kullanım örneklerine yönelik ilke tanımları, kullanmaya başlamanıza yardımcı olmak için Azure ortamınızda zaten yerleşik olarak bulunur.
Not
Azure İlkesi şu anda Azure Stack Hub'da desteklenmiyor.
Azure AD Graph
Microsoft Azure, Azure AD Graph'in 30 Haziran 2020'de kullanımdan kaldırıldığını ve 30 Haziran 2023'te kullanımdan kaldırıldığını duyurdu. Microsoft, müşterileri bu değişiklik hakkında e-posta yoluyla bilgilendirmiştir. Daha ayrıntılı bilgi için bkz. Azure AD Graph Kullanımdan Kaldırma ve PowerShell Modülünün Kaldırılması blogu.
Aşağıdaki bölümde bu kullanımdan kaldırma işleminin Azure Stack Hub'ı nasıl etkilediği açıklanmaktadır.
Azure Stack Hub ekibi, sorunsuz bir geçiş sağlamak amacıyla sistemlerinizin gerekirse 30 Haziran 2023'e kadar çalışmaya devam etmesini sağlamak için Azure Graph ekibiyle yakın bir şekilde çalışmaktadır. En önemli eylem, Azure Stack Hub hizmet ilkesiyle uyumlu olduğunuzdan emin olmaktır. Müşteriler Azure Stack Hub'ın yönetici portalında bir uyarı alır ve giriş dizinini ve eklenen tüm konuk dizinlerini güncelleştirmeleri gerekir.
Geçişin büyük bölümü tümleşik sistem güncelleştirme deneyimi tarafından gerçekleştirilir; Müşterilerin bu uygulamalara yeni izinler vermesi için el ile gereken bir adım olacaktır. Bu adım, Azure Stack Hub ortamlarınızda kullanılan her Microsoft Entra dizininde uygulama yöneticisi izinleri gerektirir. Bu değişiklikleri içeren güncelleştirme paketinin yüklenmesi tamamlandıktan sonra, yönetim portalında sizi çok kiracılı kullanıcı arabirimini veya PowerShell betiklerini kullanarak bu adımı tamamlamaya yönlendiren bir uyarı oluşturulur. Bu, ek dizinleri veya kaynak sağlayıcılarını eklerken gerçekleştirdiğiniz işlemle aynıdır; Daha fazla bilgi için bkz . Azure Stack Hub'da çoklu kiracıyı yapılandırma.
Azure Stack Hub ile kimlik sisteminiz olarak AD FS kullanırsanız, bu Graph değişiklikleri sisteminizi doğrudan etkilemez. Ancak, Azure CLI, Azure PowerShell gibi araçların en son sürümleri yeni Graph API'lerini gerektirir ve çalışmaz. Bu araçların yalnızca belirli Bir Azure Stack Hub derlemenizde açıkça desteklenen sürümlerini kullandığınızdan emin olun.
Yönetici portalındaki uyarıya ek olarak, güncelleştirme sürüm notları aracılığıyla değişiklikleri ileteceğiz ve hangi güncelleştirme paketinin giriş dizininin ve eklenen tüm konuk dizinlerinin güncelleştirilmesini gerektirdiğini bildireceğiz.