Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bei der Auswahl eines Identitätsanbieters zur Verwendung mit Azure Stack Hub ist es wichtig, die wesentlichen Unterschiede zwischen Microsoft Entra ID und den Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) zu kennen.
Funktionen und Einschränkungen
Die Wahl des Identitätsanbieters schränkt unter Umständen Ihre Optionen ein – einschließlich der Unterstützung mehrerer Mandanten.
| Fähigkeit oder Szenario | Microsoft Entra ID | AD FS |
|---|---|---|
| Verbindung mit dem Internet vorhanden | Ja | Wahlfrei |
| Unterstützung mehrerer Mandanten | Ja | Nein |
| Anbieten von Artikeln auf dem Marketplace | Ja | Ja (erfordert die Verwendung des Offline-Marketplace Syndication-Tools ) |
| Unterstützung der Active Directory Authentication Library (ADAL) | Ja | Ja |
| Unterstützung von Tools wie Azure-Befehlszeilenschnittstelle, Visual Studio und PowerShell | Ja | Ja |
| Erstellen von Dienstprinzipalen über das Azure-Portal | Ja | Nein |
| Erstellen von Dienstprinzipalen mit Zertifikaten | Ja | Ja |
| Erstellen von Dienstprinzipalen mit Geheimnissen (Schlüsseln) | Ja | Ja |
| Anwendungen können den Graph-Dienst verwenden | Ja | Nein |
| Anwendungen können den Identitätsanbieter für die Anmeldung verwenden. | Ja | Ja (für Anwendungen muss ein Verbund mit lokalen AD FS-Instanzen eingerichtet werden) |
| Verwaltete Identitäten | Nein | Nein |
Topologien
In den folgenden Abschnitten werden die verschiedenen Identitätstopologien behandelt, die Sie verwenden können.
Microsoft Entra ID: Topologie mit einem einzigen Mandanten
Bei der Installation von Azure Stack Hub und der Verwendung von Microsoft Entra ID nutzt Azure Stack Hub standardmäßig eine Topologie mit nur einem Mandanten.
Eine Topologie mit nur einem Mandanten ist geeignet, wenn Folgendes gilt:
- Alle Benutzer sind Teil desselben Mandanten.
- Ein Dienstanbieter hostet eine Azure Stack Hub-Instanz für eine Organisation.
Merkmale dieser Topologie:
- Azure Stack Hub registriert alle Apps und Dienste im selben Microsoft Entra-Mandantenverzeichnis.
- Azure Stack Hub authentifiziert nur die Benutzer und Apps aus diesem Verzeichnis (einschließlich Token).
- Identitäten für Administratoren (Cloudbetreiber) und Mandantenbenutzer befinden sich unter demselben Verzeichnismandanten.
- Damit ein Benutzer aus einem anderen Verzeichnis auf diese Azure Stack Hub-Umgebung zugreifen kann, müssen Sie den Benutzer als Gast in das Mandantenverzeichnis einladen.
Microsoft Entra ID: mehrinstanzenfähige Topologie
Cloudoperatoren können Azure Stack Hub so konfigurieren, dass der Zugriff auf Apps durch Mandanten einer oder mehrerer Organisationen zulässig ist. Benutzer greifen über das Azure Stack Hub-Benutzerportal auf Apps zu. In dieser Konfiguration ist das Administratorportal (vom Cloudbetreiber genutzt) auf Benutzer aus einem bestimmten Verzeichnis beschränkt.
Eine Topologie mit mehreren Mandanten ist geeignet, wenn Folgendes gilt:
- Ein Dienstanbieter möchte für Benutzer mehrerer Organisationen den Zugriff auf Azure Stack Hub zulassen.
Merkmale dieser Topologie:
- Der Zugriff auf Ressourcen sollte pro Organisation erfolgen.
- Den Benutzern einer Organisation sollte es nicht möglich sein, Benutzern außerhalb ihrer Organisation Zugriff auf Ressourcen zu gewähren.
- Identitäten für Administratoren (Cloudbetreiber) können sich in einem anderen Verzeichnismandanten befinden als die Identitäten für Benutzer. Diese Trennung sorgt auf Identitätsanbieterebene für Kontoisolation.
AD FS
Die AD FS-Topologie ist erforderlich, wenn eine der folgenden Bedingungen zutrifft:
- Azure Stack Hub stellt keine Verbindung mit dem Internet her.
- Azure Stack Hub kann eine Verbindung mit dem Internet herstellen, aber Sie entscheiden sich für AD FS als Identitätsanbieter.
Merkmale dieser Topologie:
Um die Verwendung dieser Topologie in einer Produktionsumgebung zu unterstützen, müssen Sie die integrierte Azure Stack Hub-AD FS-Instanz über eine Verbundvertrauensstellung in eine vorhandene AD FS-Instanz integrieren, die auf Active Directory basiert.
Sie können den Graph-Dienst in Azure Stack Hub in Ihre vorhandene Active Directory-Instanz integrieren. Sie können auch den OData-basierten Graph-API-Dienst verwenden, der mit der Azure AD-Graph-API konsistente APIs unterstützt.
Um mit Ihrer Active Directory-Instanz zu interagieren, erfordert die Graph-API Benutzeranmeldedaten mit nur-Lese-Berechtigungen für Ihre Active Directory-Instanz und greift auf Folgendes zu:
- Die integrierte AD FS-Instanz.
- Ihre AD FS- und Active Directory-Instanzen, die auf Windows Server 2012 oder höher basieren müssen.
Zwischen Ihrer Active Directory-Instanz und der integrierten AD FS-Instanz sind Interaktionen nicht auf OpenID Connect beschränkt, und es können alle gegenseitig unterstützten Protokolle verwendet werden.
- Benutzerkonten werden in Ihrer lokalen Active Directory-Instanz erstellt und verwaltet.
- Dienstprinzipale und Registrierungen für Apps werden in der integrierten Active Directory-Instanz verwaltet.