Azure Stack Hub için kimlik sağlayıcılarına genel bakış

  • Makale

Azure Stack Hub, kimlik sağlayıcısı olarak Active Directory tarafından yedeklenen Microsoft Entra kimliği veya Active Directory Federasyon Hizmetleri (AD FS) (AD FS) gerektirir. Sağlayıcı seçimi, Azure Stack Hub'ı ilk kez dağıtırken tek seferlik bir karardır. Bu makaledeki kavramlar ve yetkilendirme ayrıntıları, kimlik sağlayıcıları arasında seçim yapmanıza yardımcı olabilir.

Microsoft Entra kimliği veya AD FS seçiminiz, Azure Stack Hub'ı dağıttığınız moda göre belirlenir:

  • Bağlı modda dağıttığınızda, Microsoft Entra kimliğini veya AD FS'yi kullanabilirsiniz.
  • İnternet bağlantısı olmadan bağlantıyı kesme modunda dağıttığınızda yalnızca AD FS desteklenir.

Azure Stack Hub ortamınıza bağlı olan seçenekleriniz hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Önemli

Azure AD Graph kullanımdan kaldırılıyor ve 30 Haziran 2023'te kullanımdan kaldırılacak. Daha fazla bilgi için bu bölüme bakın.

Kimlik sağlayıcıları için yaygın kavramlar

Sonraki bölümlerde kimlik sağlayıcıları ve Azure Stack Hub'daki kullanımları hakkındaki yaygın kavramlar ele alınmaktadır.

Kimlik sağlayıcıları terminolojisi

Dizin kiracıları ve kuruluşlar

Dizin, kullanıcılar, uygulamalar, gruplar ve hizmet sorumluları hakkında bilgi tutan bir kapsayıcıdır.

Dizin kiracısı, Microsoft veya kendi şirketiniz gibi bir kuruluştır.

  • Microsoft Entra Kimliği birden çok kiracıyı destekler ve her biri kendi dizinindeki birden çok kuruluşu destekleyebilir. Microsoft Entra kimliği kullanıyorsanız ve birden çok kiracınız varsa, bir kiracıdan uygulama ve kullanıcılara aynı dizinin diğer kiracılarına erişim vekleyebilirsiniz.
  • AD FS yalnızca tek bir kiracıyı ve dolayısıyla tek bir kuruluşu destekler.

Kullanıcılar ve gruplar

Kullanıcı hesapları (kimlikler), bir kullanıcı kimliği ve parola kullanarak kişilerin kimliğini doğrulayan standart hesaplardır. Gruplar kullanıcıları veya diğer grupları içerebilir.

Kullanıcıları ve grupları oluşturma ve yönetme şekliniz, kullandığınız kimlik çözümüne bağlıdır.

Azure Stack Hub'da kullanıcı hesapları:

  • username@domain biçiminde oluşturulur. AD FS, kullanıcı hesaplarını bir Active Directory örneğine eşlese de, AD FS \<etkialanı>\<diğer ad> biçiminin kullanımını desteklemez.
  • Çok faktörlü kimlik doğrulamasını kullanacak şekilde ayarlanabilir.
  • İlk kaydettikleri dizinle sınırlıdır ve bu da kuruluşlarının dizinidir.
  • Şirket içi dizinlerinizden içeri aktarılabilir. Daha fazla bilgi için bkz. Şirket içi dizinlerinizi Microsoft Entra kimliğiyle tümleştirme.

Kuruluşunuzun kullanıcı portalında oturum açtığınızda URL'yi https://portal.local.azurestack.external kullanırsınız. Azure Stack Hub'ı kaydetmek için kullanılan dışındaki etki alanlarından Azure Stack Hub portalında oturum açarken, Azure Stack Hub'ı kaydetmek için kullanılan etki alanı adının portal URL'sine eklenmesi gerekir. Örneğin, Azure Stack Hub fabrikam.onmicrosoft.com ile kaydedilmişse ve oturum açan kullanıcı hesabı ise admin@contoso.com, kullanıcı portalında oturum açmak için kullanılacak URL şöyle olacaktır: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Konuk kullanıcılar

Konuk kullanıcılar, dizininizdeki kaynaklara erişim izni verilmiş diğer dizin kiracılarından gelen kullanıcı hesaplarıdır. Konuk kullanıcıları desteklemek için Microsoft Entra kimliğini kullanır ve çoklu kiracı desteğini etkinleştirirsiniz. Destek etkinleştirildiğinde, konuk kullanıcıları dizin kiracınızdaki kaynaklara erişmeye davet edebilirsiniz ve bu da dış kuruluşlarla işbirliğine olanak tanır.

Konuk kullanıcıları davet etmek için bulut operatörleri ve kullanıcılar Microsoft Entra B2B işbirliğini kullanabilir. Davet edilen kullanıcılar dizininizden belgelere, kaynaklara ve uygulamalara erişim elde eder ve kendi kaynaklarınız ve verileriniz üzerinde denetim sahibi olursunuz.

Konuk kullanıcı olarak, başka bir kuruluşun dizin kiracısında oturum açabilirsiniz. Bunu yapmak için bu kuruluşun dizin adını portal URL'sine eklersiniz. Örneğin, Contoso kuruluşuna aitseniz ve Fabrikam dizininde oturum açmak istiyorsanız https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Uygulamalar

Uygulamaları Microsoft Entra kimliğine veya AD FS'ye kaydedebilir ve ardından uygulamaları kuruluşunuzdaki kullanıcılara sunabilirsiniz.

Uygulamalar şunlardır:

  • Web uygulamaları: Örnekler arasında Azure portal ve Azure Resource Manager yer alır. Web API çağrılarını destekler.
  • Yerel istemci: Örnekler Azure PowerShell, Visual Studio ve Azure CLI'dır.

Uygulamalar iki kiracı türünü destekleyebilir:

  • Tek kiracılı: Yalnızca uygulamanın kayıtlı olduğu dizindeki kullanıcıları ve hizmetleri destekler.

    Not

    AD FS yalnızca tek bir dizini desteklediği için, AD FS topolojisinde oluşturduğunuz uygulamalar tasarım gereği tek kiracılı uygulamalardır.

  • Çok kiracılı: Kullanıcıların ve hizmetlerin hem uygulamanın kayıtlı olduğu dizinden hem de ek kiracı dizinlerinden kullanımını destekler. Çok kiracılı uygulamalarla, başka bir kiracı dizininin (başka bir Microsoft Entra kiracı) kullanıcıları uygulamanızda oturum açabilir.

    Çok kiracılılık hakkında daha fazla bilgi için bkz. Çoklu kiracıyı etkinleştirme.

    Çok kiracılı uygulama geliştirme hakkında daha fazla bilgi için bkz. Çok kiracılı uygulamalar.

Bir uygulamayı kaydettiğinizde iki nesne oluşturursunuz:

  • Uygulama nesnesi: Uygulamanın tüm kiracılar genelindeki genel gösterimi. Bu ilişki yazılım uygulamasıyla bire bir ilişkidir ve yalnızca uygulamanın ilk kaydedildiği dizinde bulunur.

  • Hizmet sorumlusu nesnesi: Uygulamanın ilk kaydedildiği dizindeki bir uygulama için oluşturulan kimlik bilgisi. Bu uygulamanın kullanıldığı her ek kiracının dizininde bir hizmet sorumlusu da oluşturulur. Bu ilişki yazılım uygulamasıyla bire çok olabilir.

Uygulama ve hizmet sorumlusu nesneleri hakkında daha fazla bilgi edinmek için bkz. Microsoft Entra kimliğindeki uygulama ve hizmet sorumlusu nesneleri.

Hizmet sorumluları

Hizmet sorumlusu, Azure Stack Hub'daki kaynaklara erişim izni veren bir uygulama veya hizmetin kimlik bilgileri kümesidir. Hizmet sorumlusunun kullanılması, uygulama izinlerini uygulama kullanıcısının izinlerinden ayırır.

Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulur. Hizmet sorumlusu, oturum açma ve söz konusu kiracı tarafından güvenliği sağlanan kaynaklara (kullanıcılar gibi) erişim için bir kimlik oluşturur.

  • Tek kiracılı bir uygulama, ilk oluşturulduğu dizinde yer alan tek bir hizmet sorumlusuna sahiptir. Bu hizmet sorumlusu oluşturulur ve uygulamanın kaydı sırasında kullanılmasını onaylar.
  • Çok kiracılı bir web uygulamasının veya API'sinin her kiracıda oluşturulmuş bir hizmet sorumlusu vardır ve bu kiracıdaki bir kullanıcı uygulamanın kullanımına onay verir.

Hizmet sorumluları için kimlik bilgileri, Azure portal veya sertifika aracılığıyla oluşturulan bir anahtar olabilir. Sertifikalar anahtarlardan daha güvenli kabul edildiğinden, sertifika kullanımı otomasyon için uygundur.

Not

AD FS'yi Azure Stack Hub ile kullandığınızda, hizmet sorumlularını yalnızca yönetici oluşturabilir. AD FS ile hizmet sorumluları sertifika gerektirir ve ayrıcalıklı uç nokta (PEP) aracılığıyla oluşturulur. Daha fazla bilgi için bkz. Kaynaklara erişmek için uygulama kimliği kullanma.

Azure Stack Hub hizmet sorumluları hakkında bilgi edinmek için bkz. Hizmet sorumluları oluşturma.

Hizmetler

Azure Stack Hub'da kimlik sağlayıcısıyla etkileşim kuran hizmetler, kimlik sağlayıcısına uygulama olarak kaydedilir. Uygulamalar gibi kayıt da bir hizmetin kimlik sistemiyle kimlik doğrulamasına olanak tanır.

Tüm Azure hizmetleri, kimliklerini oluşturmak için OpenID Connectprotokollerini ve JSON Web Belirteçlerini kullanır. Microsoft Entra Kimliği ve AD FS protokolleri tutarlı bir şekilde kullandığından, şirket içinde veya Azure'da (bağlı bir senaryoda) kimlik doğrulaması yapmak üzere bir güvenlik belirteci almak için Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanabilirsiniz. MSAL ile bulutlar arası ve şirket içi kaynak yönetimi için Azure PowerShell ve Azure CLI gibi araçları da kullanabilirsiniz.

Kimlikler ve kimlik sisteminiz

Azure Stack Hub kimlikleri kullanıcı hesaplarını, grupları ve hizmet sorumlularını içerir.

Azure Stack Hub'ı yüklediğinizde, birkaç yerleşik uygulama ve hizmet dizin kiracısında kimlik sağlayıcınıza otomatik olarak kaydedilir. Kaydolan bazı hizmetler yönetim için kullanılır. Diğer hizmetler kullanıcılar tarafından kullanılabilir. Varsayılan kayıtlar, hem birbirleriyle hem de daha sonra eklediğiniz kimliklerle etkileşim kurabilen temel hizmet kimlikleri sağlar.

Çok kiracılı Microsoft Entra kimliği ayarlarsanız, bazı uygulamalar yeni dizinlere yayılır.

Kimlik doğrulaması ve yetkilendirme

Uygulamalar ve kullanıcılar tarafından kimlik doğrulaması

Azure Stack Hub katmanları arasında kimlik

Uygulamalar ve kullanıcılar için Azure Stack Hub mimarisi dört katmanla açıklanmıştır. Bu katmanların her biri arasındaki etkileşimler farklı kimlik doğrulama türleri kullanabilir.

Katman Katmanlar arasında kimlik doğrulaması
Yönetici portalı gibi araçlar ve istemciler Azure Stack Hub'daki bir kaynağa erişmek veya bunları değiştirmek için araçlar ve istemciler, Azure Resource Manager çağrısı yapmak için JSON Web Belirteci kullanır.
Azure Resource Manager, kullanıcı veya hizmet sorumlusunun Azure Stack Hub'da sahip olduğu yetkilendirme düzeyini tahmin etmek için JSON Web Belirtecini doğrular ve verilen belirteçteki taleplere göz atarak.
Azure Resource Manager ve temel hizmetleri Azure Resource Manager, kullanıcılardan gelen iletişimi aktarmak için kaynak sağlayıcılarıyla iletişim kurar.
Aktarımlar, Azure Resource Manager şablonları aracılığıyla doğrudan kesinlik temelli çağrıları veya bildirim temelli çağrıları kullanır.
Kaynak sağlayıcıları Kaynak sağlayıcılarına geçirilen çağrıların güvenliği sertifika tabanlı kimlik doğrulamasıyla sağlanır.
Azure Resource Manager ve kaynak sağlayıcısı daha sonra bir API aracılığıyla iletişim halinde kalır. Azure Resource Manager'dan alınan her çağrı için kaynak sağlayıcısı bu sertifikayla çağrıyı doğrular.
Altyapı ve iş mantığı Kaynak sağlayıcıları, tercih ettikleri bir kimlik doğrulama modunu kullanarak iş mantığı ve altyapısıyla iletişim kurar. Azure Stack Hub ile gönderilen varsayılan kaynak sağlayıcıları, bu iletişimin güvenliğini sağlamak için Windows Kimlik Doğrulaması'nı kullanır.

Kimlik doğrulaması için gereken bilgiler

Azure Resource Manager'da kimlik doğrulaması

Kimlik sağlayıcısıyla kimlik doğrulaması yapmak ve JSON Web Belirteci almak için aşağıdaki bilgilere sahip olmanız gerekir:

  1. Kimlik sisteminin URL'si (Yetkili):Kimlik sağlayıcınıza ulaşabileceğiniz URL. Örneğin, https://login.windows.net.
  2. Azure Resource Manager için Uygulama Kimliği URI'si: Kimlik sağlayıcınıza kayıtlı Azure Resource Manager benzersiz tanımlayıcısı. Ayrıca her Azure Stack Hub yüklemesi için benzersizdir.
  3. Kimlik bilgileri: Kimlik sağlayıcısında kimlik doğrulaması yapmak için kullandığınız kimlik bilgisi.
  4. Azure Resource Manager URL'si: URL, Azure Resource Manager hizmetinin konumudur. Örneğin https://management.azure.com veya https://management.local.azurestack.external olabilir.

Sorumlu (istemci, uygulama veya kullanıcı) bir kaynağa erişmek için kimlik doğrulama isteğinde bulunursa, istek şunları içermelidir:

  • Sorumlunun kimlik bilgileri.
  • Sorumlunun erişmek istediği kaynağın uygulama kimliği URI'si.

Kimlik bilgileri kimlik sağlayıcısı tarafından doğrulanır. Kimlik sağlayıcısı ayrıca uygulama kimliği URI'sinin kayıtlı bir uygulama için olduğunu ve sorumlunun bu kaynak için belirteç almak için doğru ayrıcalıklara sahip olduğunu doğrular. İstek geçerliyse bir JSON Web Belirteci verilir.

Belirtecin daha sonra azure Resource Manager bir isteğin üst bilgisini geçirmesi gerekir. Azure Resource Manager aşağıdakileri belirli bir sırada yapmaz:

  • Belirtecin doğru kimlik sağlayıcısından geldiğini onaylamak için veren (iss) iddiasını doğrular.
  • Belirtecin Azure Resource Manager'a verildiğini onaylamak için hedef kitle (aud) iddiasını doğrular.
  • JSON Web Belirtecinin OpenID aracılığıyla yapılandırılan ve Azure Resource Manager tarafından bilinen bir sertifikayla imzalandığını doğrular.
  • Belirtecin etkin olduğunu ve kabul edilebileceğini onaylamak için (iat) ve süre sonu (exp) taleplerinde verilenleri gözden geçirin.

Tüm doğrulamalar tamamlandığında, Azure Resource Manager nesne kimliğini (oid) kullanır ve gruplar sorumlunun erişebileceği kaynakların listesini oluşturmak için talep eder.

Belirteç değişim protokolünün diyagramı

Not

Dağıtımdan sonra Microsoft Entra Genel Yönetici izni gerekmez. Ancak bazı işlemler genel yönetici kimlik bilgilerini (örneğin, bir kaynak sağlayıcısı yükleyici betiği veya izin verilmesini gerektiren yeni bir özellik) gerektirebilir. Hesabın genel yönetici izinlerini geçici olarak yeniden ifade edebilir veya varsayılan sağlayıcı aboneliğinin sahibi olan ayrı bir genel yönetici hesabı kullanabilirsiniz.

Role-Based Access Control kullanma

Azure Stack Hub'daki Role-Based Access Control (RBAC), Microsoft Azure'daki uygulamayla tutarlıdır. Kullanıcılara, gruplara ve uygulamalara uygun RBAC rolünü atayarak kaynaklara erişimi yönetebilirsiniz. RBAC'yi Azure Stack Hub ile kullanma hakkında bilgi için aşağıdaki makalelere bakın:

Azure PowerShell ile kimlik doğrulaması

Azure Stack Hub ile kimlik doğrulaması yapmak için Azure PowerShell kullanma hakkındaki ayrıntılara Azure Stack Hub kullanıcısının PowerShell ortamını yapılandırma bölümünden ulaşabilirsiniz.

Azure CLI ile kimlik doğrulaması

Azure Stack Hub ile kimlik doğrulaması yapmak için Azure PowerShell kullanma hakkında bilgi için bkz. Azure Stack Hub ile kullanmak üzere Azure CLI'yi yükleme ve yapılandırma.

Azure İlkesi

Azure İlkesi, kurumsal standartların uygulanmasına ve uygun ölçekte uyumluluğun değerlendirilmesine yardımcı olur. Uyumluluk panosu aracılığıyla ortamın genel durumunu değerlendirmek için toplu bir görünüm sağlar ve kaynak başına, ilke başına ayrıntı düzeyinde detaya gitme olanağı sunar. Bu pano mevcut kaynaklar için toplu düzeltme, yeni kaynaklar için de otomatik düzeltme eylemleriyle kaynaklarınızı uyumlu hale getirmenize de yardımcı olur.

Azure İlkesi'nin yaygın kullanım örnekleri kaynak tutarlılığı, mevzuata uyumluluk, güvenlik, maliyet ve yönetim için idare uygulamayı içerir. Bu yaygın kullanım örneklerine yönelik ilke tanımları, kullanmaya başlamanıza yardımcı olmak için Azure ortamınızda zaten yerleşik olarak bulunur.

Not

Azure İlkesi şu anda Azure Stack Hub'da desteklenmiyor.

Azure AD Graph

Microsoft Azure, 30 Haziran 2020'de Azure AD Graph'ın kullanımdan kaldırıldığını ve 30 Haziran 2023'te kullanımdan kaldırıldığını duyurdu. Microsoft , müşterileri bu değişiklik hakkında e-posta yoluyla bilgilendirmiştir. Daha ayrıntılı bilgi için Azure AD Graph Kullanımdan Kaldırma ve PowerShell Modülü Kullanımdan Kaldırma blogu'na bakın.

Aşağıdaki bölümde bu kullanımdan kaldırma işleminin Azure Stack Hub'ı nasıl etkilediği açıklanmaktadır.

Azure Stack Hub ekibi, sorunsuz bir geçiş sağlamak amacıyla sistemlerinizin gerekirse 30 Haziran 2023'e kadar çalışmaya devam etmesini sağlamak için Azure Graph ekibiyle yakın bir şekilde çalışmaktadır. En önemli eylem, Azure Stack Hub hizmet ilkesiyle uyumlu olduğunuzdan emin olmaktır. Müşteriler Azure Stack Hub'ın yönetici portalında bir uyarı alır ve giriş dizinini ve eklenen tüm konuk dizinlerini güncelleştirmeleri gerekir.

Geçişin büyük bölümü tümleşik sistem güncelleştirme deneyimi tarafından gerçekleştirilir; Müşterilerin bu uygulamalara yeni izinler vermesi için el ile gereken bir adım olacaktır. Bu adım, Azure Stack Hub ortamlarınızla kullanılan her Microsoft Entra dizininde genel yönetici izinleri gerektirir. Bu değişiklikleri içeren güncelleştirme paketinin yüklenmesi tamamlandıktan sonra, yönetim portalında sizi çok kiracılı kullanıcı arabirimini veya PowerShell betiklerini kullanarak bu adımı tamamlamaya yönlendiren bir uyarı oluşturulur. Bu, ek dizinleri veya kaynak sağlayıcılarını eklerken gerçekleştirdiğiniz işlemle aynıdır; Daha fazla bilgi için bkz. Azure Stack Hub'da çoklu kiracıyı yapılandırma.

Azure Stack Hub ile kimlik sisteminiz olarak AD FS kullanırsanız, bu Graph değişiklikleri sisteminizi doğrudan etkilemez. Ancak Azure CLI, Azure PowerShell vb. araçların en son sürümleri için yeni Graph API'leri gerekir ve bunlar çalışmaz. Bu araçların yalnızca belirli bir Azure Stack Hub derlemesinde açıkça desteklenen sürümlerini kullandığınızdan emin olun.

Yönetici portalındaki uyarıya ek olarak, güncelleştirme sürüm notları aracılığıyla değişiklikleri ileteceğiz ve hangi güncelleştirme paketinin giriş dizininin ve eklenen tüm konuk dizinlerinin güncelleştirilmesini gerektirdiğini bildireceğiz.

Sonraki adımlar