Udostępnij przez

Architektura tożsamości dla usługi Azure Stack Hub

Podczas wybierania dostawcy tożsamości do użycia z usługą Azure Stack Hub należy zrozumieć ważne różnice między opcjami microsoft Entra ID i Active Directory Federation Services (AD FS).

Możliwości i ograniczenia

Dostawca tożsamości, którego wybierzesz, może ograniczyć Twoje opcje, w tym obsługę wielodzierżawowości.

Możliwość lub scenariusz Microsoft Entra ID AD FS
Połączono z Internetem Tak Fakultatywny
Obsługa wielodzierżawności Tak Nie
Oferuj przedmioty w Marketplace Tak Tak (wymaga użycia narzędzia syndykacji witryny Marketplace w trybie offline)
Obsługa biblioteki uwierzytelniania usługi Active Directory (ADAL) Tak Tak
Obsługa narzędzi, takich jak interfejs wiersza polecenia platformy Azure, program Visual Studio i program PowerShell Tak Tak
Tworzenie jednostek usługi za pośrednictwem witryny Azure Portal Tak Nie
Tworzyć principały usługi przy użyciu certyfikatów Tak Tak
Tworzenie tożsamości usługi z użyciem tajnych danych (kluczy) Tak Tak
Aplikacje mogą korzystać z usługi Graph Tak Nie
Aplikacje mogą używać dostawcy tożsamości do logowania Tak Tak (wymaga federacji aplikacji z lokalnymi wystąpieniami usług AD FS)
Tożsamości zarządzane Nie Nie

Topologii

W poniższych sekcjach omówiono różne topologie tożsamości, których można użyć.

Microsoft Entra ID: topologia z jednym dzierżawcą

Domyślnie, gdy instalujesz Azure Stack Hub i używasz Microsoft Entra ID, Azure Stack Hub korzysta z topologii jednoli-tenanckiej.

Topologia jednodzierżawowa jest przydatna w następujących przypadkach:

  • Wszyscy użytkownicy są częścią tego samego dzierżawcy.
  • Dostawca usług hostuje wystąpienie usługi Azure Stack Hub dla organizacji.

topologia usługi Azure Stack Hub dla pojedynczego dzierżawcy z Microsoft Entra ID

Ta topologia ma następujące cechy:

  • Usługa Azure Stack Hub rejestruje wszystkie aplikacje i usługi w tym samym katalogu tenant Microsoft Entra.
  • Usługa Azure Stack Hub uwierzytelnia tylko użytkowników i aplikacje z tego katalogu, w tym tokeny.
  • Tożsamości dla administratorów (operatorów chmury) i użytkowników klienta znajdują się w tym samym kliencie katalogu.
  • Aby umożliwić użytkownikowi z innego katalogu dostęp do tego środowiska usługi Azure Stack Hub, musisz zaprosić użytkownika jako gościa do katalogu dzierżawy.

Microsoft Entra ID: topologia z wieloma dzierżawami

Operatorzy chmury mogą skonfigurować usługę Azure Stack Hub, aby umożliwić dostęp do aplikacji przez dzierżawców z co najmniej jednej organizacji. Użytkownicy uzyskują dostęp do aplikacji za pośrednictwem portalu użytkowników usługi Azure Stack Hub. W tej konfiguracji portal administratora (używany przez operatora chmury) jest ograniczony do użytkowników z jednego katalogu.

Topologia wielodzierżawcza jest przydatna, gdy:

  • Dostawca usług chce zezwolić użytkownikom z wielu organizacji na dostęp do usługi Azure Stack Hub.

topologii wielodostępnej usługi Azure Stack Hub przy użyciu identyfikatora Entra firmy Microsoft

Ta topologia ma następujące cechy:

  • Dostęp do zasobów powinien być oparty na poszczególnych organizacjach.
  • Użytkownicy z jednej organizacji nie mogą udzielać dostępu do zasobów użytkownikom spoza organizacji.
  • Tożsamości dla administratorów (operatorów chmury) mogą znajdować się w oddzielnej dzierżawie katalogu niż tożsamości użytkowników. Ta separacja zapewnia izolację kont na poziomie dostawcy tożsamości.

AD FS

Topologia usług AD FS jest wymagana, gdy jeden z następujących warunków jest spełniony:

  • Usługa Azure Stack Hub nie łączy się z Internetem.
  • Usługa Azure Stack Hub może łączyć się z Internetem, ale możesz użyć usług AD FS dla dostawcy tożsamości.

topologia Azure Stack Hub z użyciem AD FS

Ta topologia ma następujące cechy:

  • Aby obsługiwać korzystanie z tej topologii w środowisku produkcyjnym, należy zintegrować wbudowaną instancję AD FS usługi Azure Stack Hub z istniejącą instancją AD FS wspieraną przez Active Directory, poprzez zaufanie federacyjne.

  • Usługę Graph można zintegrować w usłudze Azure Stack Hub z istniejącym wystąpieniem usługi Active Directory. Możesz również użyć usługi interfejsu API programu Graph opartej na protokole OData, która obsługuje interfejsy API zgodne z interfejsem API programu Graph usługi Azure AD.

    Aby wchodzić w interakcję z instancją Active Directory, interfejs API Graph wymaga poświadczeń użytkownika z uprawnieniami tylko do odczytu do tej instancji i uzyskuje dostęp do niej:

    • Wbudowane wystąpienie systemu AD FS.
    • Wystąpienia usług AD FS i Active Directory, które muszą działać na systemie Windows Server 2012 lub nowszym.

    Między wystąpieniem usługi Active Directory a wbudowanym wystąpieniem usług AD FS interakcje nie są ograniczone do protokołu OpenID Connect i mogą używać dowolnego wzajemnie obsługiwanego protokołu.

    • Konta użytkowników są tworzone i zarządzane w lokalnym wystąpieniu usługi Active Directory.
    • Zasady dostępu do usługi i rejestracje aplikacji są zarządzane w wbudowanej usłudze Active Directory.

Następne kroki

  • Last updated on